Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le politiche di questo capitolo sono fornite come unico punto di riferimento per le politiche necessarie per utilizzare tutte le diverse funzionalità di Mail Manager.
Nelle pagine delle funzionalità di Mail Manager, vengono forniti collegamenti che rimandano alla rispettiva sezione di questa pagina che contiene le politiche necessarie per utilizzare la funzionalità. Seleziona l'icona di copia della politica che ti serve e incollala come indicato nella descrizione della rispettiva funzionalità.
Le seguenti politiche consentono di utilizzare le diverse funzionalità contenute in Amazon SES Mail Manager tramite politiche e AWS Secrets Manager politiche di autorizzazione delle risorse. Se non conosci le politiche di autorizzazione, consulta Anatomia della policy Amazon SES e Politiche di autorizzazione per AWS Secrets Manager.
Politiche di autorizzazione per l'endpoint Ingress
Entrambe le policy di questa sezione sono necessarie per creare un endpoint di ingresso. Per informazioni su come creare un endpoint di ingresso e su dove utilizzare queste politiche, consulta. Creazione di un endpoint di ingresso nella console SES
Secrets Manager: politica di autorizzazione delle risorse segrete per l'endpoint di ingresso
La seguente politica di autorizzazione delle risorse segrete di Secrets Manager è necessaria per consentire a SES di accedere al segreto utilizzando la risorsa ingress endpoint.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
Politica relativa alle chiavi gestite dai clienti (CMK) di KMS per l'endpoint di ingresso
La seguente politica relativa alle chiavi gestite dai clienti (CMK) di KMS è necessaria per consentire a SES di utilizzare la chiave mentre utilizza la chiave segreta.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Politiche di autorizzazione per l'inoltro SMTP
Entrambe le policy di questa sezione sono necessarie per creare un relè SMTP. Per informazioni su come creare un relè SMTP e dove utilizzare queste politiche, consulta. Creazione di un relè SMTP nella console SES
Secrets Manager: politica di autorizzazione delle risorse segrete per l'inoltro SMTP
La seguente politica di autorizzazione delle risorse segrete di Secrets Manager è necessaria per consentire a SES di accedere al segreto utilizzando la risorsa di inoltro SMTP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
Politica delle chiavi CMK (Customer Managed Key) di KMS per il relè SMTP
La seguente politica di chiave CMK (Customer Managed Key) di KMS è necessaria per consentire a SES di utilizzare la chiave mentre utilizza la chiave segreta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Politiche di autorizzazione per l'archiviazione delle e-mail
Archiviazione ed esportazione
La chiamata di identità IAM StartArchiveExport deve avere accesso al bucket S3 di destinazione configurato dalle seguenti policy:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Questa è la politica per il bucket di destinazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Nota
L'archiviazione non supporta chiavi sostitutive confuse (aws:SourceArn, aws:SourceAccount, aws: SourceOrg ID o aws:SourceOrgPaths). Questo perché l'archiviazione delle e-mail di Mail Manager previene il problema del confuso vice verificando se l'identità chiamante dispone delle autorizzazioni di scrittura per il bucket di destinazione dell'esportazione utilizzando Forward Access Sessions prima di iniziare l'esportazione effettiva.
Archiviazione della crittografia inattiva con KMS CMK
L'identità IAM chiama CreateArchive e UpdateArchive deve avere accesso alla chiave KMS ARN tramite le seguenti politiche:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Questa è la politica chiave KMS richiesta per l'archiviazione delle e-mail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Policy di autorizzazione e fiducia per l'esecuzione delle azioni relative alle regole
Il ruolo di esecuzione delle regole SES è un ruolo AWS Identity and Access Management (IAM) che concede l'autorizzazione all'esecuzione delle regole per accedere a AWS servizi e risorse. Prima di creare una regola in un set di regole, è necessario creare un ruolo IAM con una policy che consenta l'accesso alle AWS risorse richieste. SES assume questo ruolo durante l'esecuzione di un'azione relativa a una regola. Ad esempio, potresti creare un ruolo di esecuzione delle regole con l'autorizzazione a scrivere un messaggio di posta elettronica in un bucket S3 come azione di regola da intraprendere quando le condizioni della regola sono soddisfatte.
Pertanto, oltre ai criteri di autorizzazione individuali di questa sezione, necessari per eseguire le azioni delle regole Write to S3, Delivery to mailbox e Invia a Internet, sono necessari i seguenti criteri di attendibilità.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Politica di autorizzazione per l'azione della regola Write to S3
La seguente politica è necessaria per utilizzare l'azione della regola Write to S3 che recapita l'e-mail ricevuta a un bucket S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Se stai utilizzando una chiave gestita AWS KMS dal cliente per un bucket S3 con crittografia lato server abilitata, dovrai aggiungere l'azione IAM role policy,. "kms:GenerateDataKey*" Utilizzando l'esempio precedente, l'aggiunta di questa azione alla policy relativa ai ruoli apparirebbe come segue:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Per ulteriori informazioni sull'associazione delle politiche alle AWS KMS chiavi, vedere Using Key Policies AWS KMS nella AWS Key Management Service Developer Guide.
Politica di autorizzazione per l'azione relativa alla regola Delivery to mailbox
La seguente politica è necessaria per utilizzare l'azione della regola Delivery to mailbox che recapita l'e-mail ricevuta a un WorkMail account Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Politica di autorizzazione per l'azione relativa alla regola Invia a Internet
La seguente politica è necessaria per utilizzare l'azione della regola Invia a Internet che invia l'e-mail ricevuta a un dominio esterno.
Nota
Se la tua identità SES utilizza un set di configurazione predefinito, dovrai aggiungere anche la risorsa del set di configurazione, come mostrato nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource":[ "arn:aws:ses:us-east-1:888888888888:identity/example.com", "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set" ] } ] }
Politica di autorizzazione per l'azione delle regole Deliver to Q Business
Le seguenti politiche sono necessarie per utilizzare l'azione della regola Deliver to Q Business, che recapita l'e-mail ricevuta a un indice Amazon Q Business.
Politica di Amazon Q Business:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
Politica KMS per Amazon Q Business:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Per ulteriori informazioni su come allegare le politiche alle AWS KMS chiavi, consulta Using Key Policies AWS KMS nella AWS Key Management Service Developer Guide.
