翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
この章のポリシーは、Mail Manager のさまざまな機能をすべて活用するうえで必要となるポリシーの単一のリファレンスポイントとなるように提供されています。
Mail Manager の機能ページには、機能を利用するために必要なポリシーを記載した、このページの各セクションへのリンクが提供されています。必要なポリシーのコピーアイコンをクリックして、各機能の説明の指示に従って貼り付けます。
次のポリシーでは、リソースアクセス許可ポリシーと AWS Secrets Manager ポリシーを通じて Amazon SES Mail Manager に含まれるさまざまな機能を使用するアクセス許可を付与します。アクセス許可ポリシーを初めて使用する場合は、「Amazon SES ポリシーの構造分析」と「AWS Secrets Managerのアクセス許可ポリシー」を参照してください。
イングレスエンドポイントのアクセス許可ポリシー
このセクションのポリシーはどちらも、イングレスエンドポイントの作成に必要となります。イングレスエンドポイントを作成する方法と、これらのポリシーを使用する個所については、「SES コンソールでのイングレスエンドポイントの作成」を参照してください。
イングレスエンドポイントのための Secrets Manager シークレットのリソースアクセス許可ポリシー
SES がイングレスエンドポイントのリソースを使用してシークレットにアクセスできるようにするには、以下の Secrets Manager シークレットリソースアクセス許可ポリシーが必要です。
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
イングレスエンドポイントのための KMS カスタマーマネージドキー (CMK) のキーポリシー
シークレットを使用する際に SES がキーを利用できるようにするには、以下の KMS カスタマーマネージドキー (CMK) のキーポリシーが必要です。
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
SMTP リレーのアクセス許可ポリシー
このセクションのポリシーはどちらも、SMTP リレーの作成に必要となります。SMTP リレーを作成する方法と、これらのポリシーを使用する個所については、「SES コンソールでの SMTP リレーの作成」を参照してください。
SMTP リレーための Secrets Manager シークレットのリソースアクセス許可ポリシー
SES が SMTP リレーのリソースを使用してシークレットにアクセスできるようにするには、以下の Secrets Manager シークレットリソースアクセス許可ポリシーが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
SMTP リレーのための KMS カスタマーマネージドキー (CMK) のキーポリシー
シークレットを使用する際に SES がキーを利用できるようにするには、以下の KMS カスタマーマネージドキー (CMK) のキーポリシーが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
E メールアーカイブのアクセス許可ポリシー
エクスポートのアーカイブ
IAM ID 呼び出しは、次のポリシーで設定された送信先 S3 バケットにアクセスできるStartArchiveExport必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
これは、保存先のバケットのためのポリシーです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
注記
アーカイブでは、混乱した代理条件キー (aws:SourceArn、aws:SourceAccount、aws:SourceOrgID、または aws:SourceOrgPaths) をサポートしていません。これは、Mail Manager の E メールアーカイブでは、実際にエクスポートを開始する前に、転送アクセスセッションを使用して、呼び出し元の ID にエクスポート先のバケットへの書き込みアクセス許可があるかをテストすることで、混乱した代理の問題を回避しているためです。
KMS CMK を利用した保管時の暗号化のアーカイブ
CreateArchive および を呼び出す IAM ID は、次のポリシーを通じて KMS キー ARN にアクセスできるUpdateArchive必要があります。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
これは、E メールアーカイブに必要な KMS キーポリシーです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
ルールアクションを実行するためのアクセス許可と信頼ポリシー
SES ルール実行ロールは、 AWS サービスとリソースにアクセスするためのルール実行アクセス許可を付与する AWS Identity and Access Management (IAM) ロールです。ルールセットでルールを作成する前に、必要な AWS リソースへのアクセスを許可するポリシーを持つ IAM ロールを作成する必要があります。SES は、ルールアクションを実行する際に、このロールを引き受けます。例えば、ルールの条件が満たされた場合に実行するルールアクションとして、S3 バケットに E メールメッセージを書き込むアクセス許可が付与されたルール実行ロールを作成できます。
したがって、S3 への書き込みルールアクション、メールボックスへの配信ルールアクション、インターネットへの送信ルールアクションを実行するために必要となる、このセクションに記載の個別のアクセス許可ポリシーに加え、以下の信頼ポリシーが必要となります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
S3 への書き込みルールアクションのアクセス許可ポリシー
受信した E メールを S3 バケットに配信する S3 への書き込みルールアクションを使用するには、以下のポリシーが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
サーバー側の暗号化が有効になっている S3 バケットに AWS KMS カスタマーマネージドキーを使用している場合は、IAM ロールポリシーアクション を追加する必要があります"kms:GenerateDataKey*"。前の例を使用して、このアクションをポリシーに追加すると、以下のとおりになります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
AWS KMS キーへのポリシーのアタッチの詳細については、 AWS Key Management Service デベロッパーガイドの「 でのキーポリシーの使用 AWS KMS」を参照してください。
メールボックスに配信ルールアクションの許可ポリシー
受信した E メールを Amazon WorkMail アカウントに配信する メールボックスに配信ルールアクションを使用するには、以下のポリシーが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
インターネットに送信ルールアクションの許可ポリシー
受信した E メールを外部ドメインに送信するインターネットに送信ルールアクションを使用するには、以下のポリシーが必要です。
注記
SES ID がデフォルト設定セットを使用している場合は、次の例に示すように、設定セットリソースも追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource":[ "arn:aws:ses:us-east-1:888888888888:identity/example.com", "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set" ] } ] }
Q Business への配信ルールアクションのアクセス許可ポリシー
受信した E メールを Amazon Q Business インデックスに配信する「Q Business への配信」ルールアクションを使用するには、次のポリシーが必要です。
Amazon Q Business ポリシー:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
Amazon Q Business の KMS ポリシー:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
AWS KMS キーへのポリシーのアタッチの詳細については、 AWS Key Management Service デベロッパーガイドの「 でのキーポリシーの使用 AWS KMS」を参照してください。
