As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas de permissão para o Mail Manager
As políticas deste capítulo são fornecidas como um único ponto de referência para as políticas necessárias para utilizar todos os diferentes recursos do Mail Manager.
Nas páginas de recursos do Mail Manager, são fornecidos links que o levarão à respectiva seção desta página que contém as políticas necessárias para utilizar o recurso. Selecione o ícone de cópia da política de que você precisa e cole-o conforme indicado na narrativa do recurso respectivo.
As políticas a seguir permitem que você use os diferentes recursos contidos no Amazon SES Mail Manager por meio de políticas e AWS Secrets Manager políticas de permissão de recursos. Se você é novato em políticas de permissão, consulte Anatomia da política do Amazon SES e Políticas de permissões para AWS Secrets Manager.
Políticas de permissão para endpoint do Ingress
Ambas as políticas desta seção são necessárias para criar um endpoint de entrada. Para saber como criar um endpoint de entrada e onde usar essas políticas, consulte. Criação de um endpoint de entrada no console SES
Política de permissão de recursos secretos do Secrets Manager para endpoint de entrada
A seguinte política de permissão de recursos secretos do Secrets Manager é necessária SES para permitir o acesso ao segredo usando o recurso de endpoint de entrada.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
KMSchave gerenciada pelo cliente (CMK) política de chave para endpoint de entrada
A seguinte política de chave gerenciada pelo KMS cliente (CMK) é necessária SES para permitir que você use sua chave enquanto usa sua chave secreta.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Políticas de permissão para SMTP retransmissão
Ambas as políticas desta seção são necessárias para criar um SMTP relé. Para saber como criar um SMTP retransmissor e onde usar essas políticas, consulteCriando um SMTP relé no console SES.
Política de permissão de recursos secretos do Secrets Manager para SMTP retransmissão
A seguinte política de permissão de recursos secretos do Secrets Manager é necessária SES para permitir o acesso ao segredo usando o recurso de SMTP retransmissão.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
KMSchave gerenciada pelo cliente (CMK) política de chave para SMTP retransmissão
A seguinte política de chave gerenciada pelo KMS cliente (CMK) é necessária SES para permitir que você use sua chave enquanto usa sua chave secreta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Políticas de permissão para arquivamento de e-mails
Políticas básicas de IAM identidade de arquivamento
Essas são as políticas de IAM identidade para autorizar operações de arquivamento. Essas políticas por si só podem não ser suficientes para algumas operações (consulte Arquivamento da criptografia em repouso com KMS CMK e Arquivamento da exportação).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:CreateArchive", "ses:TagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:RequestTag/key-name": [ "value1", "value2" ] } } }, { "Effect": "Allow", "Action": [ "ses:ListArchives" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchive", "ses:DeleteArchive", "ses:UpdateArchive" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveSearches" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveSearch", "ses:GetArchiveSearchResults", "ses:StartArchiveSearch", "ses:StopArchiveSearch" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveMessage", "ses:GetArchiveMessageContent" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveExports" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveExport", "ses:StartArchiveExport", "ses:StopArchiveExport" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListTagsForResource", "ses:UntagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] } ] }
Exportação de arquivamento
Essas são as políticas de IAM identidade (além das políticas básicas de arquivamento acima) necessárias paraStartArchiveExport.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Essa é a política do bucket de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
nota
O arquivamento não suporta chaves de condição adjunta confusas (aws: SourceArnSourceAccount, aws:, aws: SourceOrg ID ou aws:SourceOrgPaths). Isso ocorre porque o arquivamento de e-mails do Mail Manager evita o problema confuso do substituto ao testar se a identidade de chamada tem permissões de gravação no bucket de destino da exportação usando sessões de acesso direto antes de iniciar a exportação real.
Arquivamento da criptografia em repouso com KMS CMK
Essas são as políticas de criptografia em repouso com chaves gerenciadas pelo KMS cliente (CMK) (além das políticas básicas de arquivamento acima) necessárias para criar e trabalhar com arquivos (chamando qualquer arquivamentoAPIs).
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Essa é a KMS principal política necessária para o arquivamento de e-mails.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Políticas de permissão e confiança para executar ações de regras
A função de execução de SES regras é uma função AWS Identity and Access Management (IAM) que concede à execução de regras permissão para acessar AWS serviços e recursos. Antes de criar uma regra em um conjunto de regras, você deve criar uma IAM função com uma política que permita acesso aos AWS recursos necessários. SESassume essa função ao executar uma ação de regra. Por exemplo, você pode criar uma função de execução de regras que tenha permissão para gravar uma mensagem de e-mail em um bucket do S3 como uma ação de regra a ser executada quando as condições da sua regra forem atendidas.
Portanto, a política de confiança a seguir é necessária, além das políticas de permissão individuais nesta seção, necessárias para executar as ações de regra Gravar no S3, Entregar na caixa de correio e Enviar para a Internet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Política de permissão para a ação da regra Write to S3
A política a seguir é necessária para usar a ação de regra Gravar no S3, que entrega o e-mail recebido em um bucket do S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Se você estiver usando a chave gerenciada pelo AWS KMS cliente para um bucket S3 com criptografia do lado do servidor ativada, precisará adicionar a ação de política de IAM função,. "kms:GenerateDataKey*" Usando o exemplo anterior, adicionar essa ação à sua política de função apareceria da seguinte forma:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Para obter mais informações sobre como anexar políticas às AWS KMS chaves, consulte Usando políticas de chaves AWS KMS no Guia do AWS Key Management Service desenvolvedor.
Política de permissão para a ação da regra Entregar na caixa de correio
A política a seguir é necessária para usar a ação de regra Entregar para caixa de correio, que entrega o e-mail recebido em uma WorkMail conta da Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Política de permissão para a ação de regra Enviar para a Internet
A política a seguir é necessária para usar a ação de regra Enviar para a Internet, que envia o e-mail recebido para um domínio externo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource": "arn:aws:ses:us-east-1:888888888888:identity/example.com" } ] }
