As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de identidade e acesso no Amazon SES
Você pode usar o AWS Identity and Access Management (IAM) com o Amazon Simple Email Service (Amazon SES) para especificar quais ações de API do SES um usuário, grupo ou função pode realizar. (Neste tópico, nós nos referimos coletivamente a essas entidades como usuário.) Você também pode controlar quais endereços de e-mail o usuário pode usar para os endereços "From", destinatário e "Return-Path" dos e-mails.
Por exemplo, você pode criar uma política do IAM permitindo que os usuários da sua organização enviem e-mails, mas que não desempenhem ações administrativas, como a verificação de estatísticas de envio. Como no outro exemplo, você pode criar uma política que permita a um usuário enviar e-mails pelo SES por meio de sua conta, mas somente se ele usar determinado endereço “From” (De).
Para usar o IAM, você define uma política do IAM, que é um documento que explicitamente define as permissões, e anexa a política a um usuário. Para saber como criar políticas do IAM, consulte o Guia do usuário do IAM. Além de aplicar as restrições definidas em sua política, não há alterações na forma como os usuários interagem com o SES nem na forma como o SES realiza as solicitações.
nota
-
Se a conta estiver na sandbox do SES, suas restrições impedirão a implementação de algumas dessas políticas. Consulte Solicitar acesso à produção.
-
Você também pode controlar o acesso ao SES usando políticas de autorização de envio. Enquanto as políticas do IAM restringem o que usuários individuais podem fazer, as políticas de autorização de envio restringem a forma como identidades verificadas individuais podem ser usadas. Além disso, somente as políticas de autorização de envio podem conceder acesso entre contas. Para obter mais informações sobre a autorização de envio, consulte Uso de autorização de envio com o Amazon SES.
Se você estiver procurando informações sobre como gerar credenciais SMTP do SES para um usuário existente, consulte Obtenção de credenciais SMTP do Amazon SES.
Criar políticas do IAM para acesso ao SES
Esta seção explica como usar as políticas do IAM especificamente com o SES. Para saber como criar políticas do IAM no geral, consulte Guia do usuário do IAM.
Há três motivos pelos quais você pode usar o IAM com o SES:
-
Para restringir a ação de envio de e-mail.
-
Para restringir os endereços "From", destinatário e "Return-Path" dos e-mails que o usuário envia.
-
Para controlar aspectos gerais do uso da API, como o período durante o qual um usuário tem permissão para ligar para o APIs que está autorizado a usar.
Restrição da ação
Para controlar quais ações do SES o usuário poderá realizar, use o elemento Action de uma política do IAM. Você pode definir o elemento Action para qualquer ação de API do SES colocando como prefixo do nome da API a string em minúsculas ses:. Por exemplo, você pode definir Action como ses:SendEmail, ses:GetSendStatistics ou ses:* (para todas as ações).
Em seguida, dependendo da Action, especifique o elemento Resource da seguinte forma:
Se o Action elemento permitir apenas o acesso ao envio de e-mail APIs (ou seja, e/ou): ses:SendEmail ses:SendRawEmail
-
Para permitir que o usuário envie a partir de qualquer identidade em sua Conta da AWS,
Resourcedefina como * -
Para restringir as identidades das quais um usuário pode enviar,
Resourcedefina as ARNs identidades que você está permitindo que o usuário use.
Se o Action elemento permitir acesso a todos APIs:
-
Se você não quiser restringir as identidades a partir das quais o usuário pode enviar, defina
Resourcecomo * -
Se você quiser restringir as identidades com as quais um usuário pode enviar, será necessário criar duas políticas (ou duas declarações dentro de uma política):
-
Um com
Actiondefinido como uma lista explícita dos permitidos non-email-sending APIs eResourcedefinido como * -
Um com
Actiondefinido como um dos e-mails de envio APIs (ses:SendEmaile/ouses:SendRawEmail) eResourcedefinido como ARN (s) das identidades que você está permitindo que o usuário use.
-
Para obter uma lista das ações disponíveis do SES, consulte a Referência da API do Amazon Simple Email Service. Se o usuário for usar a interface SMTP, será necessário permitir acesso a ses:SendRawEmail, no mínimo.
Restrição de endereços de e-mail
Se você quiser restringir o usuário a endereços de e-mail específicos, pode usar um bloco Condition. No bloco Condition, você especifica as condições usando chaves de condição, como descrito no Guia do usuário do IAM. Ao usar chaves de condição, você pode controlar os seguintes endereços de e-mail:
nota
Essas chaves de condição de endereço de e-mail se aplicam somente ao APIs indicado na tabela a seguir.
Chave de condição |
Descrição |
API |
|---|---|---|
|
Restringe os endereços do destinatário, que incluem os endereços To:, "CC" e "BCC". |
|
|
Restringe o endereço "From". |
|
|
Restringe o endereço "From" usado como o nome de exibição. |
|
|
Restringe o endereço "Return-Path", que é o endereço para o qual devoluções e reclamações podem ser enviadas a você pelo encaminhamento de feedback por e-mail. Para obter informações sobre reenvio de feedback por e-mail, consulte Recebimento de notificações do Amazon SES por e-mail. |
|
|
Permite que você controle qual ID de endpoint é usada ao enviar e-mails |
|
Restringir pela versão da API do SES
Ao usar a chave ses:ApiVersion em condições, você pode restringir o acesso ao SES com base na versão da API do SES.
nota
A interface SMTP do SES usa a API do SES versão 2 de ses:SendRawEmail.
Restrição do uso da API geral
Ao usar chaves AWS-wide em condições, você pode restringir o acesso ao SES com base em aspectos como a data e a hora às quais o usuário tem permissão para APIs acessar. O SES implementa somente as seguintes chaves AWS de política abrangentes:
-
aws:CurrentTime -
aws:EpochTime -
aws:SecureTransport -
aws:SourceIp -
aws:SourceVpc -
aws:SourceVpce -
aws:UserAgent -
aws:VpcSourceIp
Para obter mais informações sobre essas chaves, consulte o Guia do usuário do IAM.
Exemplo de políticas do IAM para o SES
Este tópico inclui exemplos de políticas que permitem a um usuário acessar o SES, mas apenas em determinadas condições.
Exemplos de políticas nesta seção:
Permitir acesso total a todas as ações do SES
A política a seguir permite que um usuário chame qualquer ação do SES.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:*" ], "Resource":"*" } ] }
Permitir acesso somente à API do SES versão 2
A política a seguir permite que um usuário chame apenas as ações do SES da API versão 2.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:*" ], "Resource":"*", "Condition": { "StringEquals" : { "ses:ApiVersion" : "2" } } } ] }
Permitir acesso somente a ações de envio de e-mails
A política a seguir permite que um usuário envie um e-mail usando o SES, mas não permite que o usuário realize ações administrativas, como acessar estatísticas de envio do SES.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*" } ] }
Restringir o período de envio
A política a seguir permite que um usuário ligue para o envio de e-mail da SES APIs somente durante o mês de setembro de 2018.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "DateGreaterThan":{ "aws:CurrentTime":"2018-08-31T12:00Z" }, "DateLessThan":{ "aws:CurrentTime":"2018-10-01T12:00Z" } } } ] }
Restringir os endereços do destinatário
A política a seguir permite que um usuário ligue para o envio de e-mail do SES APIs, mas somente para endereços de destinatários no domínio example.com (diferencia maiúsculas de minúsculas). StringLike
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "ForAllValues:StringLike":{ "ses:Recipients":[ "*@example.com" ] } } } ] }
Restringir o endereço "From".
A política a seguir permite que um usuário ligue para o envio de e-mail do SES APIs, mas somente se o endereço “De” for marketing@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FromAddress":"marketing@example.com" } } } ] }
A política a seguir permite que um usuário chame a SendBounceAPI, mas somente se o endereço “De” for bounce@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendBounce" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FromAddress":"bounce@example.com" } } } ] }
Restringir o nome de exibição do remetente de e-mail
A política a seguir permite que um usuário ligue para o envio de e-mail do SES APIs, mas somente se o nome de exibição do endereço “De” incluir Marketing (StringLikefaz distinção entre maiúsculas e minúsculas).
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringLike":{ "ses:FromDisplayName":"Marketing" } } } ] }
Restringir o destino do feedback de devolução e reclamação
A política a seguir permite que um usuário ligue para o envio de e-mail do SES APIs, mas somente se o “Return-Path” do e-mail estiver definido como feedback@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FeedbackAddress":"feedback@example.com" } } } ] }
