기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이 장에 나와 있는 정책은 Mail Manager의 모든 다양한 기능을 활용하는 데 필요한 정책에 대한 단일 참조 자료로 제공됩니다.
Mail Manager 기능 페이지에서는 기능을 활용하는 데 필요한 정책이 포함된 이 페이지의 각 섹션으로 연결되는 링크가 제공됩니다. 필요한 정책의 복사 아이콘을 선택하고 해당 기능 설명에 지시된 대로 붙여넣습니다.
다음 정책은 리소스 권한 정책 및 정책을 통해 Amazon SES Mail Manager에 포함된 다양한 기능을 사용할 수 있는 권한을 부여합니다 AWS Secrets Manager . 권한 정책을 처음 사용하는 경우 Amazon SES 정책 구조 및 AWS Secrets Manager에 대한 권한 정책을 참조하세요.
수신 엔드포인트에 대한 권한 정책
이 섹션의 두 정책 모두 수신 엔드포인트를 만드는 데 필요합니다. 수신 엔드포인트를 만드는 방법과 이러한 정책을 사용하는 경우를 알아보려면 SES 콘솔에서 수신 엔드포인트 만들기 섹션을 참조하세요.
수신 엔드포인트에 대한 Secrets Manager 보안 암호 리소스 권한 정책
SES가 수신 엔드포인트 리소스를 사용하여 보안 암호에 액세스하도록 허용하려면 다음 Secrets Manager 보안 암호 리소스 권한 정책이 필요합니다.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
수신 엔드포인트에 대한 KMS 고객 관리형 키(CMK) 관련 키 정책
SES가 보안 암호를 사용하는 동안 키를 사용하도록 허용하려면 다음 KMS 고객 관리형 키(CMK) 관련 키 정책이 필요합니다.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
SMTP 릴레이에 대한 권한 정책
SMTP 릴레이를 만들려면 이 섹션의 두 정책이 모두 필요합니다. SMTP 릴레이를 만드는 방법과 이러한 정책을 사용하는 경우를 알아보려면 SES 콘솔에서 SMTP 릴레이 만들기 섹션을 참조하세요.
SMTP 릴레이에 대한 Secrets Manager 보안 암호 리소스 권한 정책
SES가 SMTP 릴레이 리소스를 사용하여 보안 암호에 액세스하도록 허용하려면 다음 Secrets Manager 보안 암호 리소스 권한 정책이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
SMTP 릴레이에 대한 KMS 고객 관리형 키(CMK) 관련 키 정책
SES가 보안 암호를 사용하는 동안 키를 사용하도록 허용하려면 다음 KMS 고객 관리형 키(CMK) 관련 키 정책이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
이메일 아카이빙에 대한 권한 정책
내보내기 아카이빙
IAM 자격 증명 호출은 다음 정책에 의해 구성된 대상 S3 버킷에 액세스할 수 있어야 StartArchiveExport 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
이는 대상 버킷용 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
참고
아카이빙은 혼동된 대리 조건 키(aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, aws:SourceOrgPaths)를 지원하지 않습니다. 이는 Mail Manager의 이메일 아카이빙이 실제 내보내기를 시작하기 전에 먼저 직접 호출 ID가 전달 액세스 세션을 사용하여 내보내기 대상 버킷에 대한 쓰기 권한이 있는지 테스트하여 혼동된 대리자 문제를 방지하기 때문입니다.
KMS CMK로 저장 시 암호화 아카이빙
CreateArchive 및를 호출하는 IAM 자격 증명은 다음 정책을 통해 KMS 키 ARN에 액세스할 수 UpdateArchive 있어야 합니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
이메일 아카이빙에 필요한 KMS 키 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
규칙 작업을 실행할 수 있는 권한 및 신뢰 정책
SES 규칙 실행 역할은 규칙 실행에 AWS 서비스 및 리소스에 액세스할 수 있는 권한을 부여하는 AWS Identity and Access Management (IAM) 역할입니다. 규칙 세트에서 규칙을 생성하기 전에 필요한 AWS 리소스에 대한 액세스를 허용하는 정책을 사용하여 IAM 역할을 생성해야 합니다. 규칙 작업을 실행할 때 SES가 이 역할을 맡습니다. 예를 들어 규칙 조건이 충족될 때 수행할 규칙 작업으로 S3 버킷에 이메일 메시지를 쓸 수 있는 권한이 있는 규칙 실행 역할을 만들 수 있습니다.
따라서 이 섹션의 각 권한 정책에 추가하여 S3에 쓰기, 메일박스로 전송 및 인터넷으로 전송 규칙 작업을 실행하는 데 필요한 다음 신뢰 정책이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
S3에 쓰기 규칙 작업에 대한 권한 정책
수신된 이메일을 S3 버킷에 전달하는 S3에 쓰기 규칙 작업을 사용하려면 다음 정책이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
서버 측 암호화가 활성화된 S3 버킷에 AWS KMS 고객 관리형 키를 사용하는 경우 IAM 역할 정책 작업을 추가해야 합니다"kms:GenerateDataKey*". 앞의 예제를 다시 사용하여 이 작업을 역할 정책에 추가하면 다음과 같이 표시됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
AWS KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 에서 키 정책 사용을 AWS KMS 참조하세요.
메일박스로 전송 규칙 작업에 대한 권한 정책
수신된 이메일을 Amazon WorkMail 계정으로 전달하는 메일박스로 전송 규칙 작업을 사용하려면 다음 정책이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
인터넷으로 전송 규칙 작업에 대한 권한 정책
수신된 이메일을 외부 도메인으로 보내는 인터넷으로 전송 규칙 작업을 사용하려면 다음 정책이 필요합니다.
참고
SES 자격 증명이 기본 구성 세트를 사용하는 경우 다음 예제와 같이 구성 세트 리소스도 추가해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource":[ "arn:aws:ses:us-east-1:888888888888:identity/example.com", "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set" ] } ] }
Q Business로 전송 규칙 작업에 대한 권한 정책
수신된 이메일을 Amazon Q Business 인덱스로 전송하는 Q Business로 전송 규칙 작업을 사용하려면 다음 정책이 필요합니다.
Amazon Q Business 정책:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
Amazon Q Business에 대한 KMS 정책:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
AWS KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 에서 키 정책 사용을 AWS KMS 참조하세요.
