为 Amazon SES 事件发布设置 Data Firehose 事件目标 - Amazon Simple Email Service
授予 Amazon SES 发布到 Firehose 传输流的权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon SES 事件发布设置 Data Firehose 事件目标

Amazon Data Firehose 事件目标代表将特定的 Amazon SES 电子邮件发送事件发布到 Firehose 的实体。由于 Firehose 事件目标只能在配置集中设置,因此首先必须创建配置集。接下来,将事件目标添加到配置集中。

本节中的过程演示如何将 Firehose 事件目标详细信息添加到配置集,并假设您已完成 创建事件目标 中的步骤 1 到 6。

您还可以使用 Amazon SES API V2 目标中的UpdateConfigurationSetEventDestination操作来创建和更新事件目标。

使用控制台将 Firehose 事件目标详细信息添加到配置集

  1. 以下是步骤 7 中选择 Firehose 作为事件目标类型的详细说明,并假设您已完成创建事件目标中的所有之前的步骤。在选择 Firehose 目标类型,输入目标名称并启用事件发布后,Amazon Data Firehose 传输留窗格将显示,其字段将在以下步骤中得到处理。

  2. 对于传输流,请选择现有的 Firehose 传输流,或选择创建新流以使用 Firehose 控制台创建新的传输流。

    有关使用 Firehose 控制台创建流的信息,请参阅《Amazon Data Firehose 开发人员指南》中的创建 Amazon Kinesis Firehose 传输流

  3. 对于 Identity and Access Management(IAM)角色,请选择一个 Amazon SES 有权限代表您发布到 Firehose 的 IAM 角色。您可以选择现有角色,或者让 Amazon SES 为您创建一个角色,也可以创建自己的角色。

    如果您选择现有角色或创建自己的角色,您必须手动修改该角色的策略,授予该角色访问 Firehose 传输流的权限,并授予 Amazon SES 代入该角色的权限。有关示例策略,请参阅 授予 Amazon SES 发布到 Firehose 传输流的权限

  4. 选择下一步

  5. 在审核屏幕上,如果您对定义事件目标的方式感到满意,请选择添加目标

有关如何使用 UpdateConfigurationSetEventDestination API 添加 Firehose 事件目标的信息,请参阅 Amazon Simple Email Service API 参考

授予 Amazon SES 发布到 Firehose 传输流的权限

要允许 Amazon SES 向您的 Firehose 传输流发布记录,您必须使用 AWS Identity and Access Management (IAM)角色,并附加或修改该角色的权限策略和信任策略。权限策略允许该角色向您的 Firehose 传输流发布记录,信任策略允许 Amazon SES 代入该角色。

本部分提供有关两个策略的一些示例。有关向 IAM 角色添加策略的信息,请参阅《IAM 用户指南》中的修改角色

权限策略

以下权限策略允许角色发布数据记录到您的 Firehose 传输流。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecordBatch"
      ],
      "Resource": [
        "arn:aws:firehose:delivery-region:111122223333:deliverystream/delivery-stream-name"              
      ]
    }
  ]
}

对前面的策略示例进行以下更改:

  • delivery-region替换为您创建 Firehose 传送流的 AWS 区域。

  • 111122223333 替换为您的 AWS 账户 ID。

  • delivery-stream-name替换为 Firehose 传送流的名称。

信任策略

以下信任策略使 Amazon SES 能够代入该角色。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ses.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "111122223333",
          "AWS:SourceArn": "arn:aws:ses:delivery-region:111122223333:configuration-set/configuration-set-name"
        }
      }
    }
  ]
}

对前面的策略示例进行以下更改:

  • delivery-region替换为您创建 Firehose 传送流的 AWS 区域。

  • 111122223333 替换为您的 AWS 账户 ID。

  • 替换为configuration-set-name与 Firehose 交付流关联的配置集的名称。