Mail Manager のアクセス許可ポリシー - Amazon Simple Email Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Mail Manager のアクセス許可ポリシー

この章のポリシーは、Mail Manager のすべてのさまざまな機能を利用するために必要なポリシーの単一のリファレンスポイントとして提供されています。

Mail Manager 機能ページには、機能を利用するために必要なポリシーを含むこのページの各セクションへのリンクが用意されています。必要なポリシーのコピーアイコンを選択し、それぞれの機能の説明の指示に従って貼り付けます。

次のポリシーでは、リソースアクセス許可ポリシーと ポリシーを通じて、Amazon SES Mail Manager に含まれるさまざまな機能を使用するアクセス許可を付与します AWS Secrets Manager 。アクセス許可ポリシーを初めて使用する場合は、Amazon SES ポリシーの構造分析「」および「 のアクセス許可ポリシー AWS Secrets Manager」を参照してください。

Ingress エンドポイントのアクセス許可ポリシー

Ingress エンドポイントを作成するには、このセクションのポリシーの両方が必要です。Ingress エンドポイントを作成する方法と、これらのポリシーを使用する場所については、「」を参照してくださいSES コンソールでのイングレスエンドポイントの作成

イングレスエンドポイントの Secrets Manager シークレットリソース許可ポリシー

が Ingress エンドポイントリソースを使用してシークレットにアクセスSESできるようにするには、次の Secrets Manager シークレットリソース許可ポリシーが必要です。

{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }

KMS Ingress エンドポイントの カスタマーマネージドキー (CMK) キーポリシー

シークレットの使用中に がキーを使用できるようにするにはSES、次のKMSカスタマーマネージドキー (CMK) キーポリシーが必要です。

{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }

SMTP リレーのアクセス許可ポリシー

SMTP リレーを作成するには、このセクションのポリシーの両方が必要です。SMTP リレーを作成する方法と、これらのポリシーを使用する場所については、「」を参照してくださいSES コンソールでの SMTP リレーの作成

SMTP リレーの Secrets Manager シークレットリソース許可ポリシー

SMTP がリレーリソースを使用してシークレットにアクセスできるようにするにはSES、次の Secrets Manager シークレットリソース許可ポリシーが必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }

KMS SMTPリレーのカスタマーマネージドキー (CMK) キーポリシー

シークレットの使用中に がキーを使用できるようにするにはSES、次のKMSカスタマーマネージドキー (CMK) キーポリシーが必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }

E メールアーカイブのアクセス許可ポリシー

IAM ID ポリシーの基本的なアーカイブ

これらは、アーカイブオペレーションを承認するための IAM ID ポリシーです。これらのポリシーだけでは、一部のオペレーションでは不十分である場合があります (「 による保管時の暗号化のアーカイブKMS」およびCMK「エクスポートのアーカイブ」を参照)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:CreateArchive", "ses:TagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:RequestTag/key-name": [ "value1", "value2" ] } } }, { "Effect": "Allow", "Action": [ "ses:ListArchives" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchive", "ses:DeleteArchive", "ses:UpdateArchive" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveSearches" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveSearch", "ses:GetArchiveSearchResults", "ses:StartArchiveSearch", "ses:StopArchiveSearch" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveMessage", "ses:GetArchiveMessageContent" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveExports" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveExport", "ses:StartArchiveExport", "ses:StopArchiveExport" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListTagsForResource", "ses:UntagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] } ] }
エクスポートのアーカイブ

これらは、 に必要な IAM ID ポリシー (上記の基本アーカイブポリシーに加えて) ですStartArchiveExport

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }

これは、レプリケート先バケットのポリシーです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
注記

アーカイブは、混乱した代理条件キー (aws:SourceArn、aws:SourceAccount、aws:SourceOrgID、aws:) をサポートしていませんSourceOrgPaths。これは、メールマネージャーの E メールアーカイブにより、実際のエクスポートを開始する前に、呼び出し元の ID が転送アクセスセッションを使用してエクスポート先バケットへの書き込み許可を持っているかどうかをテストすることで、混乱した代理問題が防止されるためです。

を使用した保管時の暗号化のアーカイブ KMS CMK

これらは、アーカイブの作成と操作 (アーカイブ を呼び出すCMK) に必要なKMSカスタマーマネージドキー () ポリシー (上記の基本的なアーカイブポリシーに加えて) による保管時の暗号化ですAPIs。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }

これは、E メールのアーカイブに必要なKMSキーポリシーです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }

ルールアクションを実行するためのアクセス許可と信頼ポリシー

SES ルール実行ロールは、 AWS サービスとリソースにアクセスするためのルール実行アクセス許可を付与する AWS Identity and Access Management (IAM) ロールです。ルールセットでルールを作成する前に、必要な AWS リソースへのアクセスを許可するポリシーを持つ IAMロールを作成する必要があります。SES は、ルールアクションを実行するときにこのロールを引き受けます。例えば、ルールの条件が満たされたときに実行するルールアクションとして、S3 バケットに E メールメッセージを書き込むアクセス許可を持つルール実行ロールを作成できます。

したがって、S3 への書き込みメールボックスへの配信インターネットへの送信のルールアクションを実行するには、このセクションの個々のアクセス許可ポリシーに加えて、次の信頼ポリシーが必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }

S3 ルールへの書き込みアクションのアクセス許可ポリシー

受信した E メールを S3 バケットに配信する S3 への書き込みルールアクションを使用するには、次のポリシーが必要です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }

サーバー側の暗号化が有効になっている S3 バケットに AWS KMS カスタマーマネージドキーを使用している場合は、IAMロールポリシーアクション を追加する必要があります"kms:GenerateDataKey*"。前の例を使用して、このアクションをロールポリシーに追加すると、次のようになります。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }

AWS KMS キーへのポリシーのアタッチの詳細については、「 AWS Key Management Service デベロッパーガイド」の「 でのキーポリシーの使用 AWS KMS」を参照してください。

メールボックスへの配信ルールアクションのアクセス許可ポリシー

受信した E メールを Amazon WorkMail アカウントに配信するメールボックスへの配信ルールアクションを使用するには、次のポリシーが必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }

インターネットへの送信ルールアクションのアクセス許可ポリシー

受信した E メールを外部ドメインに送信するインターネットへの送信ルールアクションを使用するには、次のポリシーが必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource": "arn:aws:ses:us-east-1:888888888888:identity/example.com" } ] }