使用 Amazon SES 发送电子邮件的 IAM 角色
Amazon Pinpoint 使用您的 Amazon SES 资源为您的活动或旅程发送电子邮件。您必须先向 Amazon Pinpoint 授予所需权限,然后 Amazon Pinpoint 才能使用您的 Amazon SES 资源发送电子邮件。您的账户必须具有 iam:PutRolePolicy 和 iam:UpdateAssumeRolePolicy 权限,才能更新或创建 IAM 角色。
Amazon Pinpoint 控制台可以自动创建具有所需权限的 AWS Identity and Access Management(IAM)角色。有关更多信息,请参阅《Amazon Pinpoint 用户指南》中的创建电子邮件编排发送角色。
如果您想要手动创建角色,请将以下策略附加到角色:
-
授予 Amazon Pinpoint 访问您的 Amazon SES 资源的权限策略。
-
允许 Amazon Pinpoint 代入角色的信任策略。
创建该角色之后,您就可以将 Amazon Pinpoint 配置为使用您的 Amazon SES 资源。
您可以使用 IAM policy simulator 测试 IAM 策略 有关更多信息,请参阅《IAM 用户指南》中的使用 IAM policy simulator 测试 IAM 策略。
创建 IAM 角色(AWS Management Console)
完成以下步骤,手动为您的活动或旅程创建用于发送电子邮件的 IAM 角色。
-
按照《IAM 用户指南》的使用 JSON 编辑器创建策略中的说明创建新的权限策略。
-
在步骤 5 中,对 IAM 角色使用以下权限策略。
-
将
partition替换为资源所在的分区。对于标准 AWS 区域,分区是aws。如果资源位于其他分区,则分区是aws-partitionname。例如,AWS GovCloud(美国西部)中资源的分区是aws-us-gov。 -
将
region替换为托管 Amazon Pinpoint 项目的 AWS 区域的名称。 -
将
accountId替换为您的 AWS 账户的唯一 ID。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PinpointUsesSESForEmailSends", "Effect": "Allow", "Action": [ "ses:SendEmail", "ses:SendRawEmail" ], "Resource": [ "arn:partition:ses:region:accountId:identity/*", "arn:partition:ses:region:accountId:configuration-set/*" ] } ] } -
-
-
按照《IAM 用户指南》的使用自定义信任策略创建角色中的说明创建新的信任策略。
-
在步骤 4 中,使用以下信任策略。
-
将
accountId替换为您的 AWS 账户的唯一 ID。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPinpoint", "Effect": "Allow", "Principal": { "Service": "pinpoint.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountId" } } } ] } -
-
在步骤 11 中,添加您在上一步中创建的权限策略。
-
