Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan izin untuk Mail Manager
Kebijakan dalam Bab ini disediakan sebagai titik acuan tunggal untuk kebijakan yang diperlukan untuk memanfaatkan semua fitur yang berbeda dari Mail Manager.
Di halaman fitur Mail Manager, tautan disediakan yang akan membawa Anda ke bagian masing-masing di halaman ini yang berisi kebijakan yang Anda butuhkan untuk memanfaatkan fitur tersebut. Pilih ikon salin kebijakan yang Anda butuhkan dan tempel sesuai petunjuk dalam narasi fitur masing-masing.
Kebijakan berikut memberi Anda izin untuk menggunakan berbagai fitur yang terdapat di Amazon SES Mail Manager melalui kebijakan dan AWS Secrets Manager kebijakan izin sumber daya. Jika Anda baru mengenal kebijakan izin, lihat Anatomi kebijakan Amazon SES dan Kebijakan Izin untuk AWS Secrets Manager.
Kebijakan izin untuk titik akhir Ingress
Kedua kebijakan di bagian ini diperlukan untuk membuat titik akhir ingress. Untuk mempelajari cara membuat titik akhir ingress dan tempat menggunakan kebijakan ini, lihat. Membuat titik akhir ingress di konsol SES
Secrets Manager merahasiakan kebijakan izin sumber daya untuk titik akhir ingress
Kebijakan izin sumber daya rahasia Secrets Manager berikut diperlukan SES untuk mengizinkan akses rahasia menggunakan sumber daya titik akhir ingress.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
KMSkebijakan kunci kunci terkelola pelanggan (CMK) untuk titik akhir ingress
Kebijakan kunci (CMK) kunci terkelola KMS pelanggan berikut diperlukan SES untuk mengizinkan penggunaan kunci Anda saat menggunakan rahasia Anda.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Kebijakan izin untuk SMTP relay
Kedua kebijakan di bagian ini diperlukan untuk membuat SMTP relay. Untuk mempelajari cara membuat SMTP relay dan tempat menggunakan kebijakan ini, lihatMembuat SMTP relay di SES konsol.
Secrets Manager rahasia kebijakan izin sumber daya untuk SMTP relay
Kebijakan izin sumber daya rahasia Secrets Manager berikut diperlukan SES untuk memungkinkan mengakses rahasia menggunakan sumber daya SMTP relay.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
KMSkebijakan kunci (CMK) kunci terkelola pelanggan untuk SMTP relay
Kebijakan kunci (CMK) kunci terkelola KMS pelanggan berikut diperlukan SES untuk mengizinkan penggunaan kunci Anda saat menggunakan rahasia Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Kebijakan izin untuk pengarsipan Email
Dasar Kebijakan IAM identitas pengarsipan
Ini adalah kebijakan IAM identitas untuk mengotorisasi operasi pengarsipan. Kebijakan ini saja mungkin tidak cukup untuk beberapa operasi (lihat Enkripsi pengarsipan KMS CMK dan ekspor Pengarsipan).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:CreateArchive", "ses:TagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:RequestTag/key-name": [ "value1", "value2" ] } } }, { "Effect": "Allow", "Action": [ "ses:ListArchives" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchive", "ses:DeleteArchive", "ses:UpdateArchive" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveSearches" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveSearch", "ses:GetArchiveSearchResults", "ses:StartArchiveSearch", "ses:StopArchiveSearch" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveMessage", "ses:GetArchiveMessageContent" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveExports" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveExport", "ses:StartArchiveExport", "ses:StopArchiveExport" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListTagsForResource", "ses:UntagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] } ] }
Pengarsipan ekspor
Ini adalah kebijakan IAM identitas (selain kebijakan Pengarsipan Dasar di atas) yang diperlukan untukStartArchiveExport.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Ini adalah kebijakan untuk ember tujuan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
catatan
Pengarsipan tidak mendukung kunci kondisi wakil yang membingungkan (aws:SourceArn, aws:SourceAccount, aws: SourceOrg ID, atau aws:SourceOrgPaths). Ini karena pengarsipan email Mail Manager mencegah masalah deputi yang membingungkan dengan menguji apakah identitas panggilan memiliki izin tulis ke bucket tujuan ekspor menggunakan Sesi Akses Teruskan sebelum memulai ekspor yang sebenarnya.
Mengarsipkan enkripsi saat istirahat dengan KMS CMK
Ini adalah enkripsi yang diam dengan kebijakan Kunci Terkelola KMS Pelanggan (CMK) (selain kebijakan Pengarsipan Dasar di atas) yang diperlukan untuk membuat dan bekerja dengan arsip (memanggil Pengarsipan APIs apa pun).
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Ini adalah kebijakan KMS utama yang diperlukan untuk pengarsipan email.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Kebijakan izin dan kepercayaan untuk menjalankan tindakan aturan
Peran eksekusi SES aturan adalah peran AWS Identity and Access Management (IAM) yang memberikan izin eksekusi aturan untuk mengakses AWS layanan dan sumber daya. Sebelum membuat aturan dalam kumpulan aturan, Anda harus membuat IAM peran dengan kebijakan yang memungkinkan akses ke AWS sumber daya yang diperlukan. SESmengasumsikan peran ini saat menjalankan tindakan aturan. Misalnya, Anda dapat membuat peran eksekusi aturan yang memiliki izin untuk menulis pesan email ke bucket S3 sebagai tindakan aturan yang harus diambil saat kondisi aturan terpenuhi.
Dengan demikian, kebijakan kepercayaan berikut diperlukan selain kebijakan izin individu di bagian ini yang diperlukan untuk menjalankan tindakan aturan Tulis ke S3, Kirim ke kotak pesan, dan Kirim ke internet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Kebijakan izin untuk tindakan aturan Menulis ke S3
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan Write to S3 yang mengirimkan email yang diterima ke bucket S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Jika Anda menggunakan kunci terkelola AWS KMS pelanggan untuk bucket S3 dengan enkripsi sisi server diaktifkan, Anda harus menambahkan tindakan kebijakan IAM peran,. "kms:GenerateDataKey*" Menggunakan contoh sebelumnya, menambahkan tindakan ini ke kebijakan peran Anda akan muncul sebagai berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Untuk informasi selengkapnya tentang melampirkan kebijakan ke AWS KMS kunci, lihat Menggunakan Kebijakan Utama AWS KMS di Panduan AWS Key Management Service Pengembang.
Kebijakan izin untuk tindakan aturan Kirim ke kotak pesan
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan Kirim ke kotak pesan yang mengirimkan email yang diterima ke akun Amazon WorkMail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Kebijakan izin untuk tindakan aturan Kirim ke internet
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan Kirim ke internet yang mengirimkan email yang diterima ke domain eksternal.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource": "arn:aws:ses:us-east-1:888888888888:identity/example.com" } ] }
Javascript dinonaktifkan atau tidak tersedia di browser Anda.
Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.