Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan izin untuk Mail Manager
Kebijakan dalam Bab ini disediakan sebagai titik acuan tunggal untuk kebijakan yang diperlukan untuk memanfaatkan semua fitur yang berbeda dari Mail Manager.
Di halaman fitur Mail Manager, tautan disediakan yang akan membawa Anda ke bagian masing-masing di halaman ini yang berisi kebijakan yang Anda butuhkan untuk memanfaatkan fitur tersebut. Pilih ikon salin kebijakan yang Anda butuhkan dan tempel sesuai petunjuk dalam narasi fitur masing-masing.
Kebijakan berikut memberi Anda izin untuk menggunakan berbagai fitur yang terdapat di Amazon SES Mail Manager melalui kebijakan dan AWS Secrets Manager kebijakan izin sumber daya. Jika Anda baru mengenal kebijakan izin, lihat Anatomi kebijakan Amazon SES dan Kebijakan Izin untuk AWS Secrets Manager.
Kebijakan izin untuk titik akhir Ingress
Kedua kebijakan di bagian ini diperlukan untuk membuat titik akhir ingress. Untuk mempelajari cara membuat titik akhir ingress dan tempat menggunakan kebijakan ini, lihat. Membuat titik akhir ingress di konsol SES
Secrets Manager merahasiakan kebijakan izin sumber daya untuk titik akhir ingress
Kebijakan izin sumber daya rahasia Secrets Manager berikut diperlukan untuk mengizinkan SES mengakses rahasia menggunakan sumber daya titik akhir ingress.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
Kebijakan kunci terkelola pelanggan KMS (CMK) untuk titik akhir ingress
Kebijakan kunci KMS Customer Managed Key (CMK) berikut diperlukan untuk memungkinkan SES menggunakan kunci Anda saat menggunakan rahasia Anda.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Kebijakan izin untuk relay SMTP
Kedua kebijakan di bagian ini diperlukan untuk membuat relai SMTP. Untuk mempelajari cara membuat relay SMTP dan tempat menggunakan kebijakan ini, lihat. Membuat relai SMTP di konsol SES
Secrets Manager merahasiakan kebijakan izin sumber daya untuk relay SMTP
Kebijakan izin sumber daya rahasia Secrets Manager berikut diperlukan untuk memungkinkan SES mengakses rahasia menggunakan sumber daya relai SMTP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
Kebijakan kunci terkelola pelanggan KMS (CMK) untuk relai SMTP
Kebijakan kunci KMS Customer Managed Key (CMK) berikut diperlukan untuk memungkinkan SES menggunakan kunci Anda saat menggunakan rahasia Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Kebijakan izin untuk pengarsipan Email
Pengarsipan ekspor
Panggilan identitas IAM StartArchiveExport harus memiliki akses ke bucket S3 tujuan yang dikonfigurasi oleh kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Ini adalah kebijakan untuk ember tujuan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
catatan
Pengarsipan tidak mendukung kunci kondisi wakil yang membingungkan (aws:SourceArn, aws:SourceAccount, aws: SourceOrg ID, atau aws:SourceOrgPaths). Ini karena pengarsipan email Mail Manager mencegah masalah deputi yang membingungkan dengan menguji apakah identitas panggilan memiliki izin tulis ke bucket tujuan ekspor menggunakan Sesi Akses Teruskan sebelum memulai ekspor yang sebenarnya.
Mengarsipkan enkripsi saat istirahat dengan KMS CMK
Panggilan identitas IAM CreateArchive dan UpdateArchive harus memiliki akses ke ARN kunci KMS melalui kebijakan berikut:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Ini adalah kebijakan kunci KMS yang diperlukan untuk pengarsipan email.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Kebijakan izin dan kepercayaan untuk menjalankan tindakan aturan
Peran eksekusi aturan SES adalah peran AWS Identity and Access Management (IAM) yang memberikan izin eksekusi aturan untuk mengakses AWS layanan dan sumber daya. Sebelum membuat aturan dalam kumpulan aturan, Anda harus membuat peran IAM dengan kebijakan yang memungkinkan akses ke AWS sumber daya yang diperlukan. SES mengasumsikan peran ini saat menjalankan tindakan aturan. Misalnya, Anda dapat membuat peran eksekusi aturan yang memiliki izin untuk menulis pesan email ke bucket S3 sebagai tindakan aturan yang harus diambil saat kondisi aturan terpenuhi.
Dengan demikian, kebijakan kepercayaan berikut diperlukan selain kebijakan izin individu di bagian ini yang diperlukan untuk menjalankan tindakan aturan Tulis ke S3, Kirim ke kotak pesan, dan Kirim ke internet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Kebijakan izin untuk tindakan aturan Menulis ke S3
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan Write to S3 yang mengirimkan email yang diterima ke bucket S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Jika Anda menggunakan kunci terkelola AWS KMS pelanggan untuk bucket S3 dengan enkripsi sisi server diaktifkan, Anda harus menambahkan tindakan kebijakan peran IAM,. "kms:GenerateDataKey*" Menggunakan contoh sebelumnya, menambahkan tindakan ini ke kebijakan peran Anda akan muncul sebagai berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Untuk informasi selengkapnya tentang melampirkan kebijakan ke AWS KMS kunci, lihat Menggunakan Kebijakan Utama AWS KMS di Panduan AWS Key Management Service Pengembang.
Kebijakan izin untuk tindakan aturan Kirim ke kotak pesan
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan Kirim ke kotak pesan yang mengirimkan email yang diterima ke akun Amazon WorkMail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Kebijakan izin untuk tindakan aturan Kirim ke internet
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan Kirim ke internet yang mengirimkan email yang diterima ke domain eksternal.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource": "arn:aws:ses:us-east-1:888888888888:identity/example.com" } ] }
Kebijakan izin untuk tindakan aturan Deliver to Q Business
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan Deliver to Q Business, yang mengirimkan email yang diterima ke indeks Amazon Q Business.
Kebijakan Bisnis Amazon Q:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
Kebijakan KMS untuk Amazon Q Business:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Untuk informasi selengkapnya tentang melampirkan kebijakan ke AWS KMS kunci, lihat Menggunakan Kebijakan Utama AWS KMS di Panduan AWS Key Management Service Pengembang.
