Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Attribution d'autorisations à Amazon SES pour la réception d'e-mails
Certaines des tâches que vous pouvez effectuer lorsque vous recevez des e-mails dans SES, telles que l'envoi d'e-mails vers un bucket Amazon Simple Storage Service (Amazon S3) ou l'appel d' AWS Lambda une fonction, nécessitent des autorisations spéciales. Cette section inclut des exemples de stratégies pour plusieurs cas d'utilisation courants.
**Topics**
+ [Configuration des autorisations de rôle IAM pour l'action de compartiment Deliver to S3](#receiving-email-permissions-s3-iam-role)
+ [Autoriser SES à écrire dans un compartiment S3](#receiving-email-permissions-s3)
+ [Autorisez SES à utiliser votre AWS KMS clé](#receiving-email-permissions-kms)
+ [Autoriser SES à invoquer une AWS Lambda fonction](#receiving-email-permissions-lambda)
+ [Autoriser SES à publier sur une rubrique Amazon SNS appartenant à un autre compte AWS](#receiving-email-permissions-sns)
## Configuration des autorisations de rôle IAM pour l'action de compartiment Deliver to S3
Les points suivants s'appliquent à ce rôle IAM :
+ Il ne peut être utilisé que pour[Livrer à l'action du compartiment S3](receiving-email-action-s3.md).
+ Il doit être utilisé si vous souhaitez écrire dans un compartiment S3 qui existe dans une région où SES [Réception d'e-mails](regions.md#region-receive-email) n'est pas disponible.
Si vous souhaitez écrire dans un compartiment S3, vous pouvez fournir un rôle IAM avec des autorisations permettant d'accéder aux ressources pertinentes pour le[Livrer à l'action du compartiment S3](receiving-email-action-s3.md). Vous devez également autoriser SES à assumer ce rôle pour effectuer l'action par le biais d'une politique de confiance IAM, comme expliqué dans la [section suivante](#receiving-email-permissions-s3-iam-role-trust).
**Cette politique d'autorisation doit être collée dans l'éditeur de politique en ligne du rôle IAM. Consultez [Livrer à l'action du compartiment S3](receiving-email-action-s3.md) et suivez les étapes indiquées dans l'élément de rôle IAM.** (L'exemple suivant inclut également des autorisations facultatives au cas où vous souhaiteriez utiliser la notification par sujet SNS ou une clé gérée par le client dans l'action S3.)
**Note**
Vous avez la possibilité de configurer l'action S3 sans spécifier de rôle IAM en autorisant uniquement le service SES dans la politique du compartiment S3, comme indiqué[Autoriser SES à écrire dans un compartiment S3](#receiving-email-permissions-s3). Cela fonctionnera également pour les scénarios entre comptes.
Si vous spécifiez un rôle IAM pour l'action S3, SES assume ce rôle pour l'opération « PutObject », et les autorisations IAM spécifiées ici seront suffisantes pour une utilisation identique du compte. Toutefois, pour une utilisation entre comptes, vous aurez besoin d'une politique de compartiment supplémentaire qui autorise le rôle IAM à « PutObject » figurer dans le compartiment. Ceci est spécifié par le propriétaire du compartiment qui accorde des autorisations de compartiment entre comptes, comme expliqué dans la section [Le propriétaire du compartiment accorde des autorisations de compartiment entre comptes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{my-topic}}"
},
{
"Sid": "KMSAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:{{us-east-1}}::{{111122223333}}:key/{{key-id}}"
}
]
}
```
------
Dans l'exemple précédent, apportez les modifications suivantes :
+ {{amzn-s3-demo-bucket}}Remplacez-le par le nom du compartiment S3 dans lequel vous souhaitez écrire.
+ Remplacez {{region}} par l' Région AWS endroit où vous avez créé la règle de réception.
+ Remplacez {{111122223333}} par votre ID de compte AWS .
+ {{my-topic}}Remplacez-le par le nom de la rubrique SNS pour laquelle vous souhaitez publier des notifications.
+ {{key-id}}Remplacez-le par l'ID de votre clé KMS.
### Politique de confiance pour le rôle IAM d'action S3
La politique de confiance suivante doit être ajoutée aux *relations de confiance* du rôle IAM pour permettre à SES d'assumer ce rôle.
**Note**
L'ajout manuel de cette politique de confiance n'est requis que si vous n'avez pas créé votre rôle IAM à partir de la console SES en suivant les étapes indiquées dans l'élément de **rôle IAM** du [Livrer à l'action du compartiment S3](receiving-email-action-s3.md) flux de travail. *Lorsque vous créez le rôle IAM depuis la console, cette politique de confiance est automatiquement générée et appliquée au rôle pour vous, ce qui rend cette étape inutile.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESAssume",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount":"{{111122223333}}",
"AWS:SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}"
}
}
}
]
}
```
------
Dans l'exemple précédent, apportez les modifications suivantes :
+ Remplacez {{region}} par l' Région AWS endroit où vous avez créé la règle de réception.
+ Remplacez {{111122223333}} par votre ID de compte AWS .
+ Remplacez {{rule\_set\_name}} par le nom de l'ensemble de règles qui contient la règle de réception contenant l'action de livraison vers le compartiment Amazon S3.
+ {{receipt\_rule\_name}}Remplacez-le par le nom de la règle de réception qui contient l'action de livraison vers le compartiment Amazon S3.
## Autoriser SES à écrire dans un compartiment S3
Lorsque vous appliquez la politique suivante à un compartiment S3, cela donne à SES l'autorisation d'écrire dans ce compartiment tant qu'il existe dans une région où la [réception d'e-mails](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_inbound_endpoints) SES est disponible. Si vous souhaitez écrire dans un compartiment situé en dehors d'une région de *réception d'e-mails*, consultez. [Configuration des autorisations de rôle IAM pour l'action de compartiment Deliver to S3](#receiving-email-permissions-s3-iam-role) Pour en savoir plus sur la création de règles de réception qui transfèrent les messages entrants vers Amazon S3, consultez [Livrer à l'action du compartiment S3](receiving-email-action-s3.md).
Pour de plus amples informations sur l'attachement de stratégies de compartiment vers S3, veuillez consulter [Stratégies de compartiment et stratégies d'utilisateur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) dans le *Guide de l'utilisateur d'Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowSESPuts",
"Effect":"Allow",
"Principal":{
"Service":"ses.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::{{amzn-s3-demo-bucket}}/*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"{{111122223333}}",
"AWS:SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}"
}
}
}
]
}
```
------
Dans l'exemple précédent, apportez les modifications suivantes :
+ {{amzn-s3-demo-bucket}}Remplacez-le par le nom du compartiment S3 dans lequel vous souhaitez écrire.
+ Remplacez {{region}} par la AWS région dans laquelle vous avez créé la règle de réception.
+ Remplacez {{111122223333}} par votre ID de compte AWS .
+ Remplacez {{rule\_set\_name}} par le nom de l'ensemble de règles qui contient la règle de réception contenant l'action de livraison vers le compartiment Amazon S3.
+ {{receipt\_rule\_name}}Remplacez-le par le nom de la règle de réception qui contient l'action de livraison vers le compartiment Amazon S3.
## Autorisez SES à utiliser votre AWS KMS clé
Pour que SES puisse chiffrer vos e-mails, il doit être autorisé à utiliser la AWS KMS clé que vous avez spécifiée lors de la configuration de votre règle de réception. Vous pouvez utiliser la clé KMS par défaut (**aws/ses**) de votre compte ou une clé gérée par le client que vous créez. Si vous utilisez la clé KMS par défaut, vous n'avez pas besoin d'effectuer d'étapes supplémentaires pour autoriser SES à l'utiliser. Si vous utilisez une clé gérée par le client, vous devez autoriser SES à l'utiliser en ajoutant une déclaration à la politique de la clé.
Utilisez la déclaration de politique suivante comme politique clé pour autoriser SES à utiliser votre clé gérée par le client lorsqu'elle reçoit des e-mails sur votre domaine.
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"{{111122223333}}",
"AWS:SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}"
}
}
}
```
Dans l'exemple précédent, apportez les modifications suivantes :
+ Remplacez {{region}} par la AWS région dans laquelle vous avez créé la règle de réception.
+ Remplacez {{111122223333}} par votre ID de compte AWS .
+ Remplacez {{rule\_set\_name}} par le nom de l'ensemble de règles contenant la règle de réception que vous avez associée à la réception d'e-mails.
+ {{receipt\_rule\_name}}Remplacez-le par le nom de la règle de réception que vous avez associée à la réception d'e-mails.
Si vous avez l'habitude AWS KMS d'envoyer des messages chiffrés à un compartiment S3 avec le chiffrement côté serveur activé, vous devez ajouter l'action de politique,. `"kms:Decrypt"` À l'aide de l'exemple précédent, l'ajout de cette action à votre stratégie s'affiche comme suit :
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"{{111122223333}}",
"AWS:SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}"
}
}
}
```
Pour plus d'informations sur l'association de politiques aux AWS KMS clés, consultez la section [Utilisation des politiques clés AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) le *manuel du AWS Key Management Service développeur*.
## Autoriser SES à invoquer une AWS Lambda fonction
Pour permettre à SES d'appeler une AWS Lambda fonction, vous pouvez choisir la fonction lorsque vous créez une règle de réception dans la console SES. Lorsque vous le faites, SES ajoute automatiquement les autorisations nécessaires à la fonction.
Vous pouvez également utiliser l'opération `AddPermission` dans l'API AWS Lambda pour attacher une stratégie à une fonction. L'appel suivant à l'`AddPermission`API autorise SES à appeler votre fonction Lambda. Pour en savoir plus sur l'attachement de stratégies à des fonctions Lambda, consultez [AWS Lambda Autorisations](https://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html) dans le *Guide du développeur AWS Lambda *.
```
{
"Action": "lambda:InvokeFunction",
"Principal": "ses.amazonaws.com",
"SourceAccount": "{{111122223333}}",
"SourceArn": "arn:aws:ses:{{region}}:{{111122223333}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{receipt_rule_name}}",
"StatementId": "GiveSESPermissionToInvokeFunction"
}
```
Dans l'exemple précédent, apportez les modifications suivantes :
+ Remplacez {{region}} par la AWS région dans laquelle vous avez créé la règle de réception.
+ Remplacez {{111122223333}} par votre ID de compte AWS .
+ Remplacez {{rule\_set\_name}} par le nom de l'ensemble de règles contenant la règle de réception dans laquelle vous avez créé votre fonction Lambda.
+ Remplacez {{receipt\_rule\_name}} par le nom de la règle de réception contenant votre fonction Lambda.
## Autoriser SES à publier sur une rubrique Amazon SNS appartenant à un autre compte AWS
Pour publier des notifications relatives à un sujet dans un AWS compte distinct, vous devez associer une politique au sujet Amazon SNS. La rubrique SNS doit se trouver dans la même région que le jeu de règles de réception et de domaine.
La politique suivante autorise SES à publier sur une rubrique Amazon SNS dans un compte distinct AWS .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{topic_name}}",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "{{444455556666}}",
"AWS:SourceArn": "arn:aws:ses:{{us-east-1}}:{{777788889999}}:receipt-rule-set/{{rule_set_name}}:receipt-rule/{{rule_name}}"
}
}
}
]
}
```
------
Dans l'exemple précédent, apportez les modifications suivantes :
+ {{topic\_region}}Remplacez-le par Région AWS celui dans lequel le sujet Amazon SNS a été créé.
+ {{sns\_topic\_account\_id}}Remplacez-le par l'ID du AWS compte propriétaire de la rubrique Amazon SNS.
+ {{topic\_name}}Remplacez-le par le nom de la rubrique Amazon SNS pour laquelle vous souhaitez publier des notifications.
+ Remplacez {{aws\_account\_id}} par l'ID du AWS compte configuré pour recevoir des e-mails.
+ Remplacez {{receipt\_region}} par l' Région AWS endroit où vous avez créé la règle de réception.
+ {{rule\_set\_name}}Remplacez-le par le nom de l'ensemble de règles contenant la règle de réception dans laquelle vous avez créé votre action de rubrique de publication sur Amazon SNS.
+ {{receipt\_rule\_name}}Remplacez-le par le nom de la règle de réception contenant l'action de rubrique de publication sur Amazon SNS.
Si votre rubrique Amazon SNS utilise AWS KMS le chiffrement côté serveur, vous devez ajouter des autorisations à la politique clé. AWS KMS Vous pouvez ajouter des autorisations en joignant la politique suivante à la politique AWS KMS clé :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------