Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de permisos del Administrador de correo electrónico
Las políticas de este capítulo se proporcionan como punto de referencia único en el que consultar las políticas necesarias para utilizar todas las características del Administrador de correo electrónico.
En las páginas de características del Administrador de correo electrónico, hay enlaces que lo llevarán a la sección correspondiente de esta página que contiene las políticas que necesita para utilizar cada característica. Seleccione el icono de copia de la política que necesite y péguelo como se indica en la explicación de la característica correspondiente.
Las siguientes políticas le otorgan permiso para usar las diferentes funciones incluidas en Amazon SES Mail Manager a través de políticas y AWS Secrets Manager políticas de permisos de recursos. Si es la primera vez que utiliza políticas de permisos, consulte Anatomía de las políticas de Amazon SES y Políticas de permisos para AWS Secrets Manager.
Políticas de permisos para puntos de conexión de entrada
Las dos políticas de esta sección se requieren para crear un punto de conexión de entrada. Para obtener más información acerca de cómo crear un punto de conexión de entrada y dónde usar estas políticas, consulte Creación de un punto de conexión de entrada en la consola de SES.
Política de permisos de recursos de secretos de Secrets Manager para puntos de conexión de entrada
La siguiente política de permisos de recursos de secretos de Secrets Manager se requiere para permitir que SES tenga acceso al secreto mediante el recurso de punto de conexión de entrada.
Política de claves administradas por el cliente (CMK) de KMS para puntos de conexión de entrada
Es obligatorio utilizar una clave gestionada por el cliente (CMK) como secreto. La siguiente declaración es obligatoria en su política de claves de KMS para que SES pueda utilizar su clave como secreto.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Políticas de permisos para relés de SMTP
Las dos políticas de esta sección se requieren para crear un relé de SMTP. Para obtener más información acerca de cómo crear un relé de SMTP y dónde usar estas políticas, consulte Creación de un relé de SMTP en la consola de SES.
Política de permisos de recursos de secretos de Secrets Manager para relés de SMTP
La siguiente política de permisos de recursos de secretos de Secrets Manager se requiere para permitir que SES tenga acceso al secreto mediante el recurso de relé de SMTP.
Política de claves administradas por el cliente (CMK) de KMS para relés de SMTP
La siguiente declaración es obligatoria en su política de claves de KMS para que SES pueda utilizar su clave como secreto.
Políticas de permisos para archivar correo electrónico
Exportación de archivos
La llamada de identidad de IAM StartArchiveExport debe tener acceso al depósito de S3 de destino configurado según la siguiente política de IAM:
Esta es la política del bucket de S3 para el bucket de destino:
nota
El archivado no admite claves de condición secundarias confusas (aws:SourceArn, aws:SourceAccount, aws: SourceOrg ID o aws:SourceOrgPaths). Esto se debe a que, para evitar el problema de los suplentes confusos, antes de iniciar la exportación propiamente dicha, el archivado de correo electrónico del Administrador de correo electrónico utiliza sesiones de acceso directo para comprobar si la identidad que llama tiene permisos de escritura para el bucket de destino de la exportación.
Archivado del cifrado en reposo con CMK de KMS
La identidad de IAM llama CreateArchive y UpdateArchive debe tener acceso a la clave ARN de KMS mediante la siguiente política:
La política de claves de KMS requiere las siguientes declaraciones:
Políticas de permisos y de confianza para ejecutar acciones de reglas
La función de ejecución de reglas de SES es una función AWS Identity and Access Management (IAM) que otorga a las reglas permiso de ejecución para acceder a AWS los servicios y recursos. Antes de crear una regla en un conjunto de reglas, debe crear una función de IAM con una política que permita el acceso a los recursos necesarios AWS . SES asume este rol al ejecutar una acción de una regla. Por ejemplo, puede crear un rol de ejecución de reglas que tenga permiso para realizar la acción de regla consistente en escribir un mensaje de correo electrónico en un bucket de S3 cuando se cumplan las condiciones de la regla.
Por tanto, se requiere la siguiente política de confianza además de las políticas de permisos individuales de esta sección, necesaria para ejecutar cada acción de regla específica.
Políticas de acciones de reglas
Política de permisos para la acción de regla Escribir en S3
La siguiente política es necesaria para que su función de IAM utilice la acción de regla Escribir en S3, que envía el correo electrónico recibido a un bucket de S3.
Si utilizas una clave gestionada por el AWS KMS cliente para un bucket de S3 con el cifrado del lado del servidor activado, tendrás que añadir la acción política de rol de IAM,. "kms:GenerateDataKey*" Con el ejemplo anterior, la adición de esta acción a la política del roles se haría así:
Para obtener más información sobre cómo adjuntar políticas a las AWS KMS claves, consulte Uso de políticas clave AWS KMS en la Guía para desarrolladores.AWS Key Management Service
Política de permisos para la acción de regla Entregar al buzón
La siguiente política es necesaria para que su función de IAM utilice la acción de regla Entregar en el buzón, que entrega el correo electrónico recibido a una WorkMail cuenta de Amazon.
Política de permisos para la acción de regla Enviar a Internet
La siguiente política es necesaria para que su función de IAM utilice la acción de regla Enviar a Internet, que envía el correo electrónico recibido a un dominio externo.
nota
Si su identidad de SES usa un conjunto de configuraciones predeterminado, también tendrá que agregar el recurso del conjunto de configuraciones, como se muestra en el siguiente ejemplo.
Política de permisos para la acción de regla Entregar a Q Business
Las siguientes políticas son necesarias para utilizar la acción de regla Entregar a Q Business, que entrega el correo electrónico recibido a un índice de Amazon Q Business.
La política de IAM es necesaria para su función:
Declaración obligatoria en su política clave de KMS:
Para obtener más información sobre cómo adjuntar políticas a AWS KMS las claves, consulte Uso de políticas clave AWS KMS en la Guía para AWS Key Management Service desarrolladores.
Política de permisos para la acción de regla Publicar en SNS
Las siguientes políticas son necesarias para utilizar la acción de regla Publicar en SNS, que entrega el correo electrónico recibido a un tema de Amazon SNS.
Política de IAM necesaria para su función:
Declaración obligatoria en su política clave de KMS:
Para obtener más información sobre cómo adjuntar políticas a AWS KMS las claves, consulte Uso de políticas clave AWS KMS en la Guía para AWS Key Management Service desarrolladores.
