Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungsrichtlinien für Mail Manager
Die Richtlinien in diesem Kapitel dienen als zentrale Referenz für die Richtlinien, die zur Nutzung der verschiedenen Funktionen von Mail Manager erforderlich sind.
Auf den Seiten mit den Funktionen von Mail Manager finden Sie Links, über die Sie zu dem entsprechenden Abschnitt auf dieser Seite gelangen, der die Richtlinien enthält, die Sie für die Nutzung der Funktion benötigen. Wählen Sie das Symbol zum Kopieren der gewünschten Richtlinie aus und fügen Sie es wie in der Beschreibung der jeweiligen Funktion beschrieben ein.
Die folgenden Richtlinien geben Ihnen die Erlaubnis, die verschiedenen Funktionen von Amazon SES Mail Manager durch Richtlinien und AWS Secrets Manager Richtlinien für Ressourcenberechtigungen zu nutzen. Wenn Sie mit den Genehmigungsrichtlinien noch nicht vertraut sind, finden Sie Anatomie von Amazon-SES-Richtlinien weitere Informationen unter Genehmigungsrichtlinien für AWS Secrets Manager.
Berechtigungsrichtlinien für den Ingress-Endpunkt
Beide Richtlinien in diesem Abschnitt sind erforderlich, um einen Eingangsendpunkt zu erstellen. Informationen zum Erstellen eines Eingangsendpunkts und zur Verwendung dieser Richtlinien finden Sie unter. Einen Ingress-Endpunkt in der Konsole erstellen SES
Secrets Manager Secrets-Ressourcenberechtigungsrichtlinie für Eingangsendpunkte
Die folgende Secrets Manager Manager-Ressourcenberechtigungsrichtlinie ist erforderlich, um den Zugriff auf das Geheimnis mithilfe der Eingangsendpunktressource SES zu ermöglichen.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
KMSvom Kunden verwaltete Schlüsselrichtlinie (CMK) für den Eingangsendpunkt
Die folgende Schlüsselrichtlinie für vom KMS Kunden verwaltete Schlüssel (CMK) ist erforderlich, um die Verwendung Ihres Schlüssels und gleichzeitig Ihres geheimen Schlüssels SES zu ermöglichen.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Berechtigungsrichtlinien für SMTP Relay
Beide Richtlinien in diesem Abschnitt sind erforderlich, um ein SMTP Relay zu erstellen. Informationen zum Erstellen eines SMTP Relays und zur Verwendung dieser Richtlinien finden Sie unterEin SMTP Relay in der SES Konsole erstellen.
Secrets Manager Secrets — Ressourcenberechtigungsrichtlinie für SMTP Relay
Die folgende Secrets Manager Manager-Ressourcenberechtigungsrichtlinie ist erforderlich, um den Zugriff auf das Secret mithilfe der SMTP Relay-Ressource SES zu ermöglichen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
KMSvom Kunden verwaltete Schlüssel (CMK) -Schlüsselrichtlinie für SMTP Relay
Die folgende Schlüsselrichtlinie für vom KMS Kunden verwaltete Schlüssel (CMK) ist erforderlich, um die Verwendung Ihres Schlüssels und gleichzeitig Ihres geheimen Schlüssels SES zu ermöglichen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Berechtigungsrichtlinien für die E-Mail-Archivierung
Grundlegende IAM Identitätsrichtlinien für die Archivierung
Dies sind die IAM Identitätsrichtlinien für die Autorisierung von Archivierungsvorgängen. Diese Richtlinien allein reichen für einige Vorgänge möglicherweise nicht aus (siehe Archivierung, Verschlüsselung im Ruhezustand KMS CMK und Archivierungsexport).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:CreateArchive", "ses:TagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:RequestTag/key-name": [ "value1", "value2" ] } } }, { "Effect": "Allow", "Action": [ "ses:ListArchives" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchive", "ses:DeleteArchive", "ses:UpdateArchive" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveSearches" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveSearch", "ses:GetArchiveSearchResults", "ses:StartArchiveSearch", "ses:StopArchiveSearch" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveMessage", "ses:GetArchiveMessageContent" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveExports" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveExport", "ses:StartArchiveExport", "ses:StopArchiveExport" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListTagsForResource", "ses:UntagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] } ] }
Archivierung, Export
Dies sind die IAM Identitätsrichtlinien (zusätzlich zu den oben genannten grundlegenden Archivierungsrichtlinien), die erforderlich sindStartArchiveExport.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Dies ist die Richtlinie für den Ziel-Bucket.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Anmerkung
Die Archivierung unterstützt keine Confused Deputy Condition Keys (aws: SourceArnSourceAccount, aws:, aws: SourceOrg ID oder aws:SourceOrgPaths). Das liegt daran, dass die E-Mail-Archivierung von Mail Manager das Problem mit verwirrten Stellvertretern verhindert, indem sie anhand von Forward Access Sessions testet, ob die aufrufende Identität über Schreibberechtigungen für den Exportziel-Bucket verfügt, bevor der eigentliche Export gestartet wird.
Archivierung und Verschlüsselung im Ruhezustand mit KMS CMK
Dabei handelt es sich um die Verschlüsselung im Ruhezustand mit vom KMS Kunden verwalteten Schlüsseln (CMK) (zusätzlich zu den oben genannten Richtlinien für die grundlegende Archivierung), die für die Erstellung von Archiven und die Arbeit mit Archiven erforderlich sind (auch als beliebige Archivierung bezeichnetAPIs).
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Dies ist die KMS wichtigste Richtlinie, die für die E-Mail-Archivierung erforderlich ist.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Berechtigungs- und Vertrauensrichtlinien für die Ausführung von Regelaktionen
Die Rolle „SESRegelausführung“ ist eine Rolle AWS Identity and Access Management (IAM), die der Rolle „Regeln“ die Ausführungsberechtigung für den Zugriff auf AWS Dienste und Ressourcen erteilt. Bevor Sie eine Regel in einem Regelsatz erstellen, müssen Sie eine IAM Rolle mit einer Richtlinie erstellen, die den Zugriff auf die erforderlichen AWS Ressourcen ermöglicht. SESnimmt diese Rolle bei der Ausführung einer Regelaktion an. Sie könnten beispielsweise eine Rolle zur Ausführung von Regeln erstellen, die berechtigt ist, eine E-Mail-Nachricht als Regelaktion in einen S3-Bucket zu schreiben, die ausgeführt werden soll, wenn die Bedingungen Ihrer Regel erfüllt sind.
Daher ist die folgende Vertrauensrichtlinie zusätzlich zu den individuellen Berechtigungsrichtlinien in diesem Abschnitt erforderlich, die für die Ausführung der Regelaktionen „In S3 schreiben“, „An Postfach liefern“ und „An Internet senden“ erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Berechtigungsrichtlinie für die Regelaktion „In S3 schreiben“
Die folgende Richtlinie ist erforderlich, um die Regelaktion „In S3 schreiben“ zu verwenden, mit der die empfangene E-Mail an einen S3-Bucket übermittelt wird.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Wenn Sie den vom AWS KMS Kunden verwalteten Schlüssel für einen S3-Bucket mit aktivierter serverseitiger Verschlüsselung verwenden, müssen Sie die IAM Rollenrichtlinien-Aktion hinzufügen. "kms:GenerateDataKey*" Im vorherigen Beispiel würde das Hinzufügen dieser Aktion zu Ihrer Rollenrichtlinie wie folgt aussehen:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Weitere Informationen zum Anhängen von Richtlinien an AWS KMS Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.
Berechtigungsrichtlinie für die Regelaktion „An Postfach senden“
Die folgende Richtlinie ist erforderlich, um die Regelaktion „An Postfach versenden“ zu verwenden, mit der die empfangene E-Mail an ein WorkMail Amazon-Konto zugestellt wird.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Berechtigungsrichtlinie für die Regelaktion „An Internet senden“
Die folgende Richtlinie ist erforderlich, um die Regelaktion „An Internet senden“ zu verwenden, mit der die empfangene E-Mail an eine externe Domain gesendet wird.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource": "arn:aws:ses:us-east-1:888888888888:identity/example.com" } ] }
JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.
Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.