As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
As políticas desse capítulo são fornecidas como um único ponto de referência para as políticas necessárias para utilizar todos os diferentes recursos do Mail Manager.
Nas páginas de recursos do Mail Manager, são fornecidos links que o levarão à respectiva seção desta página que contém as políticas necessárias para utilizar o recurso. Selecione o ícone de cópia da política de que você precisa e cole-o conforme indicado na narrativa do recurso respectivo.
As políticas a seguir permitem que você use os diferentes recursos contidos no Amazon SES Mail Manager por meio de políticas e AWS Secrets Manager políticas de permissão de recursos. Se você ainda não conhece as políticas de permissão, consulte Anatomia da política do Amazon SES e Políticas de permissões para AWS Secrets Manager.
Políticas de permissão para endpoint de entrada
Ambas as políticas desta seção são necessárias para criar um endpoint de entrada. Para saber como criar um endpoint de entrada e onde usar essas políticas, consulte Criar um endpoint de entrada no console do SES.
Política de permissão de recursos de segredos do Secrets Manager para endpoint de entrada
A seguinte política de permissão de recursos de segredos do Secrets Manager é necessária para permitir que o SES acesse o segredo usando o recurso de endpoint de entrada.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
Política de chave gerenciada pelo cliente (CMK) do KMS para endpoint de entrada
A seguinte política de chave gerenciada pelo cliente (CMK) do KMS é necessária para permitir que o SES use sua chave enquanto usa seu segredo.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Políticas de permissão para transmissão SMTP
Ambas as políticas desta seção são necessárias para criar uma transmissão SMTP. Para saber como criar uma transmissão SMTP e onde usar essas políticas, consulte Criar uma transmissão SMTP no console do SES.
Política de permissão de recursos de segredos do Secrets Manager para transmissão SMTP
A seguinte política de permissão de recursos de segredos do Secrets Manager é necessária para permitir que o SES acesse o segredo usando o recurso de transmissão SMTP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
Política de chave gerenciada pelo cliente (CMK) do KMS para transmissão SMTP
A seguinte política de chave gerenciada pelo cliente (CMK) do KMS é necessária para permitir que o SES use sua chave enquanto usa seu segredo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Políticas de permissão para arquivamento de e-mails
Exportação de arquivamento
A chamada de identidade do IAM StartArchiveExport deve ter acesso ao bucket S3 de destino configurado pelas seguintes políticas:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Essa é a política para o bucket de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
nota
O arquivamento não suporta chaves de condição adjunta confusas (aws: SourceArnSourceAccount, aws:, aws: SourceOrg ID ou aws:SourceOrgPaths). Isso ocorre porque o arquivamento de e-mails do Mail Manager evita o problema de representante confuso ao testar se a identidade de chamada tem permissões de gravação no bucket de destino da exportação usando Sessões de acesso direto antes de iniciar a exportação real.
Arquivamento da criptografia em repouso com CMK do KMS
A identidade do IAM é chamada CreateArchive e UpdateArchive deve ter acesso ao ARN da chave KMS por meio das seguintes políticas:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Essa é a política de chave do KMS necessária para o arquivamento de e-mails.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Políticas de permissão e confiança para executar ações de regras
A função de execução de regras do SES é uma função AWS Identity and Access Management (IAM) que concede à execução de regras permissão para acessar AWS serviços e recursos. Antes de criar uma regra em um conjunto de regras, você deve criar uma função do IAM com uma política que permita acesso aos AWS recursos necessários. O SES assume esse perfil ao executar uma ação de regra. Por exemplo, você pode criar um perfil de execução de regras que tenha permissão para gravar uma mensagem de e-mail em um bucket do S3 como uma ação de regra a ser executada quando as condições da sua regra forem atendidas.
Portanto, a política de confiança a seguir é necessária, além das políticas de permissão individuais nesta seção, para executar as ações de regra Gravar no S3, Entregar na caixa de correio e Enviar para a Internet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Política de permissão para a ação da regra Gravar no S3
A política a seguir é necessária para usar a ação de regra Gravar no S3, que entrega o e-mail recebido em um bucket do S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Se você estiver usando a chave gerenciada pelo AWS KMS cliente para um bucket S3 com criptografia do lado do servidor ativada, precisará adicionar a ação de política de função do IAM,. "kms:GenerateDataKey*" Usando o exemplo anterior, a inclusão dessa ação à sua política de perfil poderia ser feita da seguinte forma:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Para obter mais informações sobre como anexar políticas às AWS KMS chaves, consulte Usando políticas de chaves AWS KMS no Guia do AWS Key Management Service desenvolvedor.
Política de permissão para a ação da regra Entregar na caixa de correio
A política a seguir é necessária para usar a ação de regra Entregar para caixa de correio, que entrega o e-mail recebido em uma WorkMail conta da Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Política de permissão para a ação de regra Enviar para a Internet
A política a seguir é necessária para usar a ação de regra Enviar para a Internet, que envia o e-mail recebido para um domínio externo.
nota
Se sua identidade SES estiver usando um conjunto de configurações padrão, você também precisará adicionar o recurso do conjunto de configurações, conforme mostrado no exemplo a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource":[ "arn:aws:ses:us-east-1:888888888888:identity/example.com", "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set" ] } ] }
Política de permissão para a ação da regra Deliver to Q Business
As políticas a seguir são necessárias para usar a ação de regra Deliver to Q Business, que entrega o e-mail recebido a um índice Amazon Q Business.
Política de negócios da Amazon Q:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
Política de KMS para o Amazon Q Business:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Para obter mais informações sobre como anexar políticas às AWS KMS chaves, consulte Usando políticas de chaves AWS KMS no Guia do AWS Key Management Service desenvolvedor.
