Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Otorgar permisos a Amazon SES para recepción de correo electrónico
Algunas de las tareas que puede realizar al recibir correos electrónicos en SES, como enviar correos electrónicos a un bucket de Amazon Simple Storage Service (Amazon S3) o llamar a AWS Lambda una función, requieren permisos especiales. Esta sección incluye políticas de ejemplo para diferentes casos de uso comunes.
**Topics**
+ [Configuración de los permisos de roles de IAM para la acción Entregar al bucket de S3](#receiving-email-permissions-s3-iam-role)
+ [Concesión de permiso a SES para escribir en un bucket de S3](#receiving-email-permissions-s3)
+ [Conceda permiso a SES para usar su AWS KMS clave](#receiving-email-permissions-kms)
+ [Otorgue permiso a SES para invocar una función AWS Lambda](#receiving-email-permissions-lambda)
+ [Otorgar permiso a SES para publicar en un tema de Amazon SNS que pertenezca a otra cuenta AWS](#receiving-email-permissions-sns)
## Configuración de los permisos de roles de IAM para la acción Entregar al bucket de S3
Las normas siguientes se aplican a este rol de IAM:
+ Solo se puede usar para [Acción Entregar al bucket de S3](receiving-email-action-s3.md).
+ Debe usarse si se desea escribir en un bucket de S3 que exista en una región donde [Recepción de correo electrónico](regions.md#region-receive-email) de SES no esté disponible.
Si desea escribir en un bucket de S3, puede proporcionar un rol de IAM con permisos para acceder a los recursos pertinentes de la [Acción Entregar al bucket de S3](receiving-email-action-s3.md). También tendrá que proporcionar permiso a SES para que asuma ese rol y lleve a cabo la acción mediante una política de confianza de IAM, tal y como se explica en la [sección siguiente](#receiving-email-permissions-s3-iam-role-trust).
Esta política de permisos debe pegarse en el editor de políticas insertadas del rol de IAM; consulte [Acción Entregar al bucket de S3](receiving-email-action-s3.md) y siga los pasos que se indican en el epígrafe **Rol de IAM**. (El siguiente ejemplo también incluye permisos opcionales por si desea utilizar la notificación de temas de SNS o una clave administrada por el cliente en la acción de S3).
**nota**
Tiene la opción de configurar la acción de S3 sin especificar un rol de IAM al permitir solo el servicio de SES en la política de bucket de S3, como se muestra en [Concesión de permiso a SES para escribir en un bucket de S3](#receiving-email-permissions-s3). Esto también funcionará en escenarios entre cuentas.
Si especifica una función de IAM para la acción de S3, SES asumirá esa función para la operación PutObject «» y los permisos de IAM especificados aquí serán suficientes para el uso de la misma cuenta. Sin embargo, para el uso entre cuentas, necesitará una política de segmento adicional que permita que la función de IAM esté «PutObject» en el segmento. Esto lo especifica el propietario del bucket que concede permisos de bucket entre cuentas, como se explica en [Propietario del bucket que concede permisos de bucket entre cuentas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{my-topic}}"
},
{
"Sid": "KMSAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:{{us-east-1}}::{{111122223333}}:key/{{key-id}}"
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ {{amzn-s3-demo-bucket}}Sustitúyalo por el nombre del bucket de S3 en el que desee escribir.
+ {{region}}Sustitúyala por la Región de AWS ubicación en la que creaste la regla de recepción.
+ Reemplace {{111122223333}} por su ID de cuenta de AWS .
+ {{my-topic}}Sustitúyalo por el nombre del tema de SNS en el que quieres publicar las notificaciones.
+ {{key-id}}Sustitúyala por el ID de tu clave KMS.
### Política de confianza del rol de IAM de la acción de S3
Es preciso agregar siguiente política de confianza siguiente a las *relaciones de confianza* del rol de IAM para que SES pueda asumir ese rol.
**nota**
Solo es preciso agregar esta política de confianza manualmente si no ha creado el rol de IAM en la consola de SES mediante los pasos que se indican en el epígrafe **Rol de IAM** del flujo de trabajo de [Acción Entregar al bucket de S3](receiving-email-action-s3.md). *Cuando el rol de IAM se crea en la consola, esta política de confianza se genera automáticamente y se aplica al rol, por lo que este paso no es necesario.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESAssume",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount":"{{111122223333}}",
"AWS:SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}"
}
}
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ {{region}}Sustitúyala por la Región de AWS ubicación en la que creaste la regla de recepción.
+ Reemplace {{111122223333}} por su ID de cuenta de AWS .
+ {{rule\_set\_name}}Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción que contiene la acción del bucket de entrega a Amazon S3.
+ {{receipt\_rule\_name}}Sustitúyalo por el nombre de la regla de recepción que contiene la acción del bucket de entrega a Amazon S3.
## Concesión de permiso a SES para escribir en un bucket de S3
Cuando se aplica la política siguiente a un bucket de S3, da permiso a SES para escribir en ese bucket, siempre y cuando exista en una región en la que esté disponible la [Recepción de correo electrónico](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_inbound_endpoints) de SES; si desea escribir en un bucket que esté fuera de una región de *Recepción de correo electrónico*, consulte [Configuración de los permisos de roles de IAM para la acción Entregar al bucket de S3](#receiving-email-permissions-s3-iam-role). Para obtener más información acerca de la creación de reglas de recepción que transfieren el correo electrónico entrante a Amazon S3, consulte [Acción Entregar al bucket de S3](receiving-email-action-s3.md).
Para obtener más información acerca de la asociación de políticas a buckets de S3, consulte [Uso de políticas de bucket y políticas de usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowSESPuts",
"Effect":"Allow",
"Principal":{
"Service":"ses.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::{{amzn-s3-demo-bucket}}/*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"{{111122223333}}",
"AWS:SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}"
}
}
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ {{amzn-s3-demo-bucket}}Sustitúyalo por el nombre del bucket de S3 en el que desee escribir.
+ {{region}}Sustitúyala por la AWS región en la que creaste la regla de recepción.
+ Reemplace {{111122223333}} por su ID de cuenta de AWS .
+ {{rule\_set\_name}}Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción que contiene la acción del bucket de entrega a Amazon S3.
+ {{receipt\_rule\_name}}Sustitúyalo por el nombre de la regla de recepción que contiene la acción del bucket de entrega a Amazon S3.
## Conceda permiso a SES para usar su AWS KMS clave
Para que SES cifre los correos electrónicos, debe tener permiso para utilizar la clave de AWS KMS especificada al configurar la regla de recepción. Puede utilizar la clave de KMS predeterminada (**aws/ses**) de su cuenta o bien una clave administrada por el cliente que cree. Si utiliza la clave de KMS predeterminada, no tiene que realizar ningún paso adicional a fin de conceder permiso a SES para que la utilice. Si utiliza una clave administrada por el cliente, debe conceder permiso a SES para utilizarla mediante la adición de una instrucción a la política de la clave.
Utilice la siguiente instrucción de política como la política de claves para permitir que SES utilice su clave administrada por el cliente cuando reciba correo electrónico en su dominio.
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"{{111122223333}}",
"AWS:SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}"
}
}
}
```
En la política de ejemplo anterior, realice los siguientes cambios:
+ {{region}}Sustitúyala por la AWS región en la que creaste la regla de recepción.
+ Reemplace {{111122223333}} por su ID de cuenta de AWS .
+ {{rule\_set\_name}}Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción que has asociado a la recepción de correo electrónico.
+ {{receipt\_rule\_name}}Sustitúyala por el nombre de la regla de recepción que has asociado a la recepción de correo electrónico.
Si utilizas AWS KMS el envío de mensajes cifrados a un bucket de S3 con el cifrado del lado del servidor activado, tendrás que añadir la acción política,. `"kms:Decrypt"` Con el ejemplo anterior, agregar esta acción a la política aparecerá de la siguiente manera:
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"{{111122223333}}",
"AWS:SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}"
}
}
}
```
*Para obtener más información sobre cómo adjuntar políticas a las AWS KMS claves, consulte [Uso de políticas clave AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) la AWS Key Management Service Guía para desarrolladores.*
## Otorgue permiso a SES para invocar una función AWS Lambda
Para permitir que SES llame a una AWS Lambda función, puede elegir la función al crear una regla de recepción en la consola de SES. Al hacerlo, SES agrega automáticamente los permisos necesarios a la función.
También puede utilizar la operación `AddPermission` en la API de AWS Lambda para adjuntar una política a una función. La siguiente llamada a la API de `AddPermission` concede permiso a SES para invocar su función de Lambda. Para obtener más información sobre cómo adjuntar políticas a funciones de Lambda, consulte [Permisos de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html) en la *Guía para desarrolladores de AWS Lambda *.
```
{
"Action": "lambda:InvokeFunction",
"Principal": "ses.amazonaws.com",
"SourceAccount": "{{111122223333}}",
"SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}",
"StatementId": "GiveSESPermissionToInvokeFunction"
}
```
En la política de ejemplo anterior, realice los siguientes cambios:
+ {{region}}Sustitúyala por la AWS región en la que creaste la regla de recepción.
+ Reemplace {{111122223333}} por su ID de cuenta de AWS .
+ {{rule\_set\_name}}Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción en la que creó la función Lambda.
+ {{receipt\_rule\_name}}Sustitúyalo por el nombre de la regla de recepción que contiene la función Lambda.
## Otorgar permiso a SES para publicar en un tema de Amazon SNS que pertenezca a otra cuenta AWS
Para publicar notificaciones sobre un tema en una AWS cuenta independiente, debes adjuntar una política al tema de Amazon SNS. El tema de SNS debe estar en la misma región que el conjunto de reglas de dominio y de recepción.
La siguiente política autoriza a SES a publicar en un tema de Amazon SNS en una cuenta independiente AWS .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{topic_name}}",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "{{444455556666}}",
"AWS:SourceArn": "arn:aws:ses:{{us-east-1}}:{{777788889999}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{rule_name}}"
}
}
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ {{topic\_region}}Sustitúyalo por el tema en el Región de AWS que se creó el tema Amazon SNS.
+ {{sns\_topic\_account\_id}}Sustitúyalo por el ID de la AWS cuenta propietaria del tema Amazon SNS.
+ {{topic\_name}}Sustitúyalo por el nombre del tema de Amazon SNS en el que desee publicar las notificaciones.
+ {{aws\_account\_id}}Sustitúyalo por el ID de la AWS cuenta que está configurada para recibir correo electrónico.
+ {{receipt\_region}}Sustitúyala por la Región de AWS que creaste la regla de recepción.
+ {{rule\_set\_name}}Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción en la que creaste la acción temática de publicar en Amazon SNS.
+ {{receipt\_rule\_name}}Sustitúyalo por el nombre de la regla de recepción que contiene la acción temática publicar en Amazon SNS.
Si tu tema de Amazon SNS utiliza AWS KMS el cifrado del lado del servidor, tienes que añadir permisos a la política de claves. AWS KMS Puede añadir permisos adjuntando la siguiente política a la política de claves: AWS KMS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------