本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本章中的政策提供做為使用 Mail Manager 所有不同功能所需政策的單一參考點。
在郵件管理員功能頁面中,提供的連結會帶您前往此頁面的個別區段,其中包含使用功能所需的政策。選取所需政策的複製圖示,並依照個別功能敘述中的指示貼上。
下列政策可讓您透過資源許可政策和 AWS Secrets Manager 政策,使用 Amazon SES Mail Manager 中包含的不同功能。如果您是初次使用許可政策,請參閱 Amazon SES 政策結構和 的許可政策。 AWS Secrets Manager
傳入端點的許可政策
本節中的兩個政策都需要建立輸入端點。若要了解如何建立輸入端點以及使用這些政策的位置,請參閱 在 SES 主控台中建立輸入端點。
Secrets Manager 用於輸入端點的秘密資源許可政策
需要下列 Secrets Manager 秘密資源許可政策,才能允許 SES 使用輸入端點資源存取秘密。
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
輸入端點的 KMS 客戶受管金鑰 (CMK) 金鑰政策
需要下列 KMS 客戶受管金鑰 (CMK) 金鑰政策,才能允許 SES 在使用您的秘密時使用金鑰。
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
SMTP 轉送的許可政策
本節中的兩個政策都需要建立 SMTP 轉送。若要了解如何建立 SMTP 轉送以及使用這些政策的位置,請參閱 在 SES 主控台中建立 SMTP 轉送。
Secrets Manager 適用於 SMTP 轉送的資源許可政策
需要下列 Secrets Manager 秘密資源許可政策,才能允許 SES 使用 SMTP 轉送資源存取秘密。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
SMTP 轉送的 KMS 客戶受管金鑰 (CMK) 金鑰政策
需要下列 KMS 客戶受管金鑰 (CMK) 金鑰政策,才能允許 SES 在使用您的秘密時使用金鑰。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
電子郵件封存的許可政策
封存匯出
IAM 身分呼叫StartArchiveExport必須能夠存取由下列政策設定的目的地 S3 儲存貯體:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
這是目的地儲存貯體的政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
注意
使用 KMS CMK 封存靜態加密
IAM 身分呼叫 CreateArchive和 UpdateArchive 必須能夠透過下列政策存取 KMS 金鑰 ARN:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
這是電子郵件封存所需的 KMS 金鑰政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
執行規則動作的許可和信任政策
SES 規則執行角色是 AWS Identity and Access Management (IAM) 角色,可授予規則執行存取 AWS 服務和資源的許可。在規則集中建立規則之前,您必須使用允許存取所需 AWS 資源的政策來建立 IAM 角色。SES 在執行規則動作時擔任此角色。例如,您可以建立規則執行角色,該角色有權將電子郵件訊息寫入 S3 儲存貯體,做為符合規則條件時要採取的規則動作。
因此,除了本節中執行寫入 S3、傳送至信箱和傳送至網際網路規則動作所需的個別許可政策之外,還需要下列信任政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
寫入 S3 規則動作的許可政策
需要下列政策才能使用寫入 S3 規則動作,將收到的電子郵件傳送到 S3 儲存貯體。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
如果您針對已啟用伺服器端加密的 S3 儲存貯體使用 AWS KMS 客戶受管金鑰,則需要新增 IAM 角色政策動作 "kms:GenerateDataKey*"。使用上述範例,將此動作新增至您的角色政策,如下所示:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
如需將政策連接至 AWS KMS 金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在 中使用金鑰政策 AWS KMS。
傳遞至信箱規則動作的許可政策
需要下列政策才能使用傳遞至信箱規則動作,將收到的電子郵件傳遞至 Amazon WorkMail 帳戶。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
傳送至網際網路規則動作的許可政策
需要下列政策才能使用 傳送至網際網路 規則動作,將收到的電子郵件傳送至外部網域。
注意
如果您的 SES 身分使用預設組態集,您也需要新增組態集資源,如下列範例所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource":[ "arn:aws:ses:us-east-1:888888888888:identity/example.com", "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set" ] } ] }
交付至 Q Business 規則動作的許可政策
需要下列政策才能使用交付至 Q Business 規則動作,將收到的電子郵件交付至 Amazon Q Business 索引。
Amazon Q Business 政策:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
Amazon Q Business 的 KMS 政策:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
如需將政策連接至 AWS KMS 金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在 中使用金鑰政策 AWS KMS。
