Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungsrichtlinien für Mail Manager
Die Richtlinien in diesem Kapitel dienen als zentrale Referenz für die Richtlinien, die zur Nutzung der verschiedenen Funktionen von Mail Manager erforderlich sind.
Auf den Seiten mit den Funktionen von Mail Manager finden Sie Links, über die Sie zu dem entsprechenden Abschnitt auf dieser Seite gelangen, der die Richtlinien enthält, die Sie für die Nutzung der Funktion benötigen. Wählen Sie das Symbol zum Kopieren der gewünschten Richtlinie aus und fügen Sie es wie in der Beschreibung der jeweiligen Funktion beschrieben ein.
Die folgenden Richtlinien geben Ihnen die Erlaubnis, die verschiedenen Funktionen von Amazon SES Mail Manager durch Richtlinien und AWS Secrets Manager Richtlinien für Ressourcenberechtigungen zu nutzen. Wenn Sie mit den Genehmigungsrichtlinien noch nicht vertraut sind, finden Sie Anatomie von Amazon-SES-Richtlinien weitere Informationen unter Genehmigungsrichtlinien für AWS Secrets Manager.
Berechtigungsrichtlinien für den Ingress-Endpunkt
Beide Richtlinien in diesem Abschnitt sind erforderlich, um einen Eingangsendpunkt zu erstellen. Informationen zum Erstellen eines Eingangsendpunkts und zur Verwendung dieser Richtlinien finden Sie unter. Einen Eingangsendpunkt in der SES-Konsole erstellen
Secrets Manager Secrets-Ressourcenberechtigungsrichtlinie für Eingangsendpunkte
Die folgende Secrets Manager Manager-Ressourcenberechtigungsrichtlinie ist erforderlich, damit SES über die Eingangsendpunktressource auf das Secret zugreifen kann.
KMS-Schlüsselrichtlinie für vom Kunden verwaltete Schlüssel (CMK) für den Eingangsendpunkt
Es ist erforderlich, einen vom Kunden verwalteten Schlüssel (CMK) für Ihr Geheimnis zu verwenden. Die folgende Erklärung ist in Ihrer KMS-Schlüsselrichtlinie erforderlich, damit SES Ihren Schlüssel für Ihr Geheimnis verwenden kann.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Berechtigungsrichtlinien für SMTP-Relay
Beide Richtlinien in diesem Abschnitt sind erforderlich, um ein SMTP-Relay zu erstellen. Informationen zum Erstellen eines SMTP-Relays und zur Verwendung dieser Richtlinien finden Sie unter. Erstellen eines SMTP-Relays in der SES-Konsole
Secrets Manager Secrets-Ressourcenberechtigungsrichtlinie für SMTP-Relay
Die folgende Secrets Manager Manager-Ressourcenberechtigungsrichtlinie ist erforderlich, damit SES über die SMTP-Relay-Ressource auf das Secret zugreifen kann.
KMS-Schlüsselrichtlinie für vom Kunden verwaltete Schlüssel (CMK) für SMTP-Relay
Die folgende Erklärung ist in Ihrer KMS-Schlüsselrichtlinie erforderlich, damit SES Ihren Schlüssel für Ihr Geheimnis verwenden kann.
Berechtigungsrichtlinien für die E-Mail-Archivierung
Archivierung, Export
Der IAM-Identitätsaufruf StartArchiveExport muss Zugriff auf den Ziel-S3-Bucket haben, der gemäß der folgenden IAM-Richtlinie konfiguriert wurde:
Dies ist die S3-Bucket-Richtlinie für den Ziel-Bucket:
Anmerkung
Die Archivierung unterstützt keine konfusen stellvertretenden Bedingungsschlüssel (aws: SourceArnSourceAccount, aws:, aws: SourceOrg ID oder aws:SourceOrgPaths). Das liegt daran, dass die E-Mail-Archivierung von Mail Manager das Problem mit verwirrten Stellvertretern verhindert, indem sie anhand von Forward Access Sessions testet, ob die aufrufende Identität über Schreibberechtigungen für den Exportziel-Bucket verfügt, bevor der eigentliche Export gestartet wird.
Archivierung (Verschlüsselung im Ruhezustand) mit KMS CMK
Die IAM-Identität ruft an CreateArchive und UpdateArchive muss über die folgende Richtlinie Zugriff auf den KMS-Schlüssel-ARN haben:
Die folgenden Aussagen sind in Ihrer KMS-Schlüsselrichtlinie erforderlich:
Berechtigungs- und Vertrauensrichtlinien für die Ausführung von Regelaktionen
Die SES-Regelausführungsrolle ist eine AWS Identity and Access Management (IAM) -Rolle, die den Regeln Ausführungsberechtigungen für den Zugriff auf AWS Dienste und Ressourcen erteilt. Bevor Sie eine Regel in einem Regelsatz erstellen, müssen Sie eine IAM-Rolle mit einer Richtlinie erstellen, die den Zugriff auf die erforderlichen AWS Ressourcen ermöglicht. SES übernimmt diese Rolle bei der Ausführung einer Regelaktion. Sie könnten beispielsweise eine Rolle zur Ausführung von Regeln erstellen, die berechtigt ist, eine E-Mail-Nachricht als Regelaktion in einen S3-Bucket zu schreiben, die dann ausgeführt werden kann, wenn die Bedingungen Ihrer Regel erfüllt sind.
Daher ist zusätzlich zu den individuellen Berechtigungsrichtlinien in diesem Abschnitt, die für die Ausführung der einzelnen Regelaktionen erforderlich sind, die folgende Vertrauensrichtlinie erforderlich.
Richtlinien für Regelaktionen
Berechtigungsrichtlinie für die Regelaktion „In S3 schreiben“
Die folgende Richtlinie ist erforderlich, damit Ihre IAM-Rolle die Regelaktion „In S3 schreiben“ verwendet, mit der die empfangene E-Mail an einen S3-Bucket weitergeleitet wird.
Wenn Sie den vom AWS KMS Kunden verwalteten Schlüssel für einen S3-Bucket mit aktivierter serverseitiger Verschlüsselung verwenden, müssen Sie die IAM-Rollenrichtlinien-Aktion hinzufügen,. "kms:GenerateDataKey*" Im vorherigen Beispiel würde das Hinzufügen dieser Aktion zu Ihrer Rollenrichtlinie wie folgt aussehen:
Weitere Informationen zum Anhängen von Richtlinien an AWS KMS Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.
Berechtigungsrichtlinie für die Regelaktion „An Postfach senden“
Die folgende Richtlinie ist erforderlich, damit Ihre IAM-Rolle die Regelaktion „An Postfach versenden“ verwendet, mit der die empfangene E-Mail an ein WorkMail Amazon-Konto zugestellt wird.
Berechtigungsrichtlinie für die Regelaktion „An Internet senden“
Die folgende Richtlinie ist erforderlich, damit Ihre IAM-Rolle die Regelaktion „An Internet senden“ verwendet, mit der die empfangene E-Mail an eine externe Domain gesendet wird.
Anmerkung
Wenn Ihre SES-Identität einen Standardkonfigurationssatz verwendet, müssen Sie auch die Konfigurationssatz-Ressource hinzufügen, wie im folgenden Beispiel gezeigt.
Berechtigungsrichtlinie für die Regelaktion „An ein Unternehmen liefern“
Die folgenden Richtlinien sind erforderlich, um die Regelaktion „An Q Business versenden“ zu verwenden, mit der die empfangene E-Mail an einen Amazon Q Business-Index weitergeleitet wird.
Für Ihre Rolle ist eine IAM-Richtlinie erforderlich:
In Ihrer KMS-Schlüsselrichtlinie ist eine Erklärung erforderlich:
Weitere Informationen zum Anhängen von Richtlinien an AWS KMS Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.
Berechtigungsrichtlinie für die Regelaktion „In SNS veröffentlichen“
Die folgenden Richtlinien sind erforderlich, um die Regelaktion „In SNS veröffentlichen“ zu verwenden, mit der die empfangene E-Mail an ein Amazon SNS-Thema weitergeleitet wird.
Für Ihre Rolle ist eine IAM-Richtlinie erforderlich:
In Ihrer KMS-Schlüsselrichtlinie ist eine Erklärung erforderlich:
Weitere Informationen zum Anhängen von Richtlinien an AWS KMS Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.
