Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan data di Amazon Simple Email Service
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Simple Email Service. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk ketika Anda bekerja dengan Amazon Simple Email Service atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
**Topics**
+ [Enkripsi data saat istirahat untuk Amazon SES](encryption-rest.md)
+ [Enkripsi saat bergerak](#encryption-transit)
+ [Menghapus data pribadi dari Amazon SES](deleting-personal-data.md)
# Enkripsi data saat istirahat untuk Amazon SES
Secara default, Amazon SES mengenkripsi semua data saat istirahat. Enkripsi secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data. Enkripsi juga memungkinkan Anda untuk membuat arsip Mail Manager yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.
SES menyediakan opsi enkripsi berikut:
+ **AWS kunci yang dimiliki** - SES menggunakan ini secara default. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di *Panduan AWS Key Management Service Pengembang*.
+ **Kunci terkelola pelanggan** — SES mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola. Karena Anda memiliki kontrol penuh atas enkripsi, Anda dapat melakukan tugas-tugas seperti:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Memutar bahan kriptografi kunci
+ Menambahkan tanda
+ Membuat alias kunci
+ Kunci penjadwalan untuk penghapusan
Untuk menggunakan kunci Anda sendiri, pilih kunci yang dikelola pelanggan saat Anda membuat sumber daya SES Anda.
Untuk informasi selengkapnya, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
SES secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki tanpa biaya.
Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat [AWS Key Management Service harga](https://aws.amazon.com/kms/pricing/).
## Buat kunci terkelola pelanggan
Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan Konsol Manajemen AWS, atau. AWS KMS APIs
**Untuk membuat kunci terkelola pelanggan simetris**
Ikuti langkah-langkah untuk [Membuat kunci KMS enkripsi simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di Panduan *AWS Key Management Service Pengembang*.
**catatan**
Untuk pengarsipan, kunci Anda harus memenuhi persyaratan berikut:
Kuncinya harus simetris.
Asal bahan utama harus`AWS_KMS`.
Penggunaan kuncinya harus`ENCRYPT_DECRYPT`.
**Kebijakan utama**
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) di *Panduan AWS Key Management Service Pengembang*.
Untuk menggunakan kunci terkelola pelanggan Anda dengan pengarsipan Mail Manager, kebijakan kunci Anda harus mengizinkan operasi API berikut:
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Memberikan detail kunci yang dikelola pelanggan yang memungkinkan SES untuk memvalidasi kunci.
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Memungkinkan SES untuk menghasilkan kunci data untuk mengenkripsi data saat istirahat.
+ [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — Memungkinkan SES untuk mendekripsi data yang disimpan sebelum mengembalikannya ke klien API.
Contoh berikut menunjukkan kebijakan kunci tipikal:
```
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},
```
Untuk informasi selengkapnya, lihat [menentukan izin dalam kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements), di Panduan *AWS Key Management Service Pengembang*.
*Untuk informasi selengkapnya tentang pemecahan masalah, lihat [akses kunci pemecahan masalah](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), di Panduan Pengembang.AWS Key Management Service *
## Menentukan kunci terkelola pelanggan untuk Mail Manager
Anda dapat menentukan kunci yang dikelola pelanggan sebagai alternatif untuk menggunakan kunci AWS yang dimiliki. **Saat Anda membuat arsip atau mengonfigurasi titik akhir masuk dengan otentikasi TLS (mTLS) bersama, Anda dapat menentukan kunci data dengan memasukkan ARN kunci KMS.** Untuk pengarsipan, Mail Manager menggunakan kunci untuk mengenkripsi semua data pelanggan dalam arsip. Untuk titik akhir ingress mTLS, Mail Manager menggunakan kunci untuk mengenkripsi konten trust store saat istirahat.
+ **ARN kunci KMS** — Pengidentifikasi [kunci untuk AWS KMS kunci yang](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) dikelola pelanggan. Masukkan ID kunci, ARN kunci, nama alias, atau ARN alias.
## Konteks enkripsi Amazon SES
[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.
AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.
**catatan**
Amazon SES tidak mendukung konteks enkripsi untuk pembuatan arsip. Sebagai gantinya, Anda menggunakan kebijakan IAM atau KMS. Misalnya kebijakan, lihat[Kebijakan pembuatan arsip](#archive-creation-policies), nanti di bagian ini.
**Konteks enkripsi Amazon SES**
SES menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya adalah `aws:ses:arn` dan nilainya adalah sumber daya [Amazon Resource Name](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) (ARN).
**Example**
```
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}
```
**Menggunakan konteks enkripsi untuk pemantauan**
Bila Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi sumber daya SES Anda, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci terkelola pelanggan digunakan. Konteks enkripsi juga muncul di [log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs](#example-custom-encryption).
**Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda**
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM `conditions` untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.
SES menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.
**Example**
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}
}
}
```
## Kebijakan pembuatan arsip
Contoh kebijakan berikut menunjukkan cara mengaktifkan pembuatan arsip. Kebijakan bekerja pada semua aset.
**Kebijakan IAM**
```
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ses:CreateArchive",
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com",
"kms:CallerAccount": "012345678910"
}
}
}
```
**AWS KMS kebijakan**
```
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},
```
## Kebijakan mTLS titik akhir Ingress
Contoh kebijakan berikut memungkinkan penggunaan kunci terkelola pelanggan untuk mengenkripsi konten trust store untuk otentikasi TLS (mTLS) bersama pada titik akhir masuknya Manajer Mail.
Untuk membuat cakupan kebijakan contoh ke titik akhir ingress tertentu, ganti wildcard dalam kondisi dengan ARN sumber daya yang tepat (misalnya,). `arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/inp-ab1c2defgh3ij4klmno5pq6rs`
**Kebijakan IAM**
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/rolename"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:ses:arn": [
"arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/rolename"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com"
}
}
}
```
**AWS KMS kebijakan**
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:SourceArn": [
"arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/*"
],
"kms:EncryptionContext:aws:ses:arn": [
"arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:SourceArn": [
"arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/*"
]
}
}
}
```
## Memantau kunci enkripsi Anda untuk Amazon SES
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan sumber daya Amazon SES, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan SES AWS KMS.
Contoh berikut adalah AWS CloudTrail peristiwa untuk`GenerateDataKey`,`Decrypt`, dan `DescribeKey` untuk memantau operasi KMS yang dipanggil oleh SES untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda:
------
#### [ GenerateDataKey ]
Saat Anda mengaktifkan kunci terkelola AWS KMS pelanggan untuk sumber daya Anda, SES membuat kunci tabel yang unik. Ini mengirimkan `GenerateDataKey` permintaan ke AWS KMS yang menentukan kunci yang dikelola AWS KMS pelanggan untuk sumber daya.
Saat Anda mengaktifkan kunci terkelola AWS KMS pelanggan untuk sumber daya arsip Manajer Mail Anda, kunci tersebut akan digunakan `GenerateDataKey` saat mengenkripsi data arsip saat istirahat.
Contoh peristiwa berikut mencatat `GenerateDataKey` operasi:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Saat Anda mengakses sumber daya terenkripsi, SES memanggil `Decrypt` operasi untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.
Contoh peristiwa berikut mencatat `Decrypt` operasi:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
SES menggunakan `DescribeKey` operasi untuk memverifikasi apakah kunci terkelola AWS KMS pelanggan yang terkait dengan sumber daya Anda ada di akun dan wilayah.
Contoh peristiwa berikut mencatat `DescribeKey` operasi:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Pelajari selengkapnya
Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.
+ Untuk informasi selengkapnya tentang [konsep AWS Key Management Service dasar](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), lihat *Panduan AWS Key Management Service Pengembang*.
+ Untuk informasi selengkapnya tentang [praktik terbaik Keamanan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html), lihat *Panduan AWS Key Management Service Pengembang*.
## Enkripsi saat bergerak
Secara default, Amazon SES menggunakan TLS oportunistik. Ini berarti bahwa Amazon SES selalu berusaha untuk membuat koneksi yang aman ke server email penerima. Jika tidak dapat membuat koneksi yang aman, ia akan mengirimkan pesan yang tidak dienkripsi. Anda dapat mengubah perilaku ini sehingga Amazon SES hanya mengirimkan pesan ke server email penerima jika dapat membuat koneksi yang aman. Lihat informasi yang lebih lengkap di [Amazon SES dan protokol keamanan](security-protocols.md).
# Menghapus data pribadi dari Amazon SES
Tergantung cara Anda menggunakannya, Amazon SES mungkin menyimpan data tertentu yang dapat dianggap pribadi. Misalnya, untuk mengirim email menggunakan Amazon SES, Anda harus memberikan setidaknya satu identitas terverifikasi (alamat email atau domain). Anda dapat menggunakan konsol Amazon SES atau API Amazon SES untuk menghapus data pribadi ini secara permanen.
Bab ini menyediakan prosedur untuk menghapus berbagai tipe data yang mungkin dianggap pribadi.
**Topics**
+ [Hapus Alamat Email dari Daftar Penekanan Tingkat-Akun](#deleting-personal-data-account-suppression-list)
+ [Hapus Data Tentang Email yang Dikirim Menggunakan Amazon SES](#deleting-personal-data-message-data)
+ [Hapus Data Tentang Identitas](#deleting-personal-data-identities)
+ [Hapus Data Autentikasi Pengirim](#deleting-personal-data-sender-authentication)
+ [Hapus Data Terkait dengan Aturan Penerimaan](#deleting-personal-data-receiving-rules)
+ [Hapus Data Terkait dengan Filter Alamat IP](#deleting-personal-data-ip-address-filters)
+ [Hapus Data dalam Templat Email](#deleting-personal-data-email-templates)
+ [Hapus Data dalam Templat Email Verifikasi Kustom](#deleting-personal-data-cve-templates)
+ [Hapus Semua Data Pribadi dengan Menutup AWS Akun Anda](#deleting-personal-data-closing-account)
## Hapus Alamat Email dari Daftar Penekanan Tingkat-Akun
Amazon SES menyertakan daftar penekanan tingkat-akun opsional. Saat Anda mengaktifkan fitur ini, alamat email secara otomatis ditambahkan ke daftar penekanan ketika email tersebut mengakibatkan pentalan atau aduan. Alamat email tetap ada di daftar ini sampai Anda menghapusnya. Untuk informasi selengkapnya tentang daftar penekanan tingkat-akun, lihat [Menggunakan daftar penindasan tingkat akun Amazon SES](sending-email-suppression-list.md).
Anda dapat menghapus alamat email dari daftar penekanan tingkat akun dengan menggunakan operasi `DeleteSuppressedDestination` dalam [API Amazon SES v2](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_DeleteSuppressedDestination.html). Bagian ini mencakup prosedur untuk menghapus alamat email dengan menggunakan AWS CLI. Untuk informasi selengkapnya tentang menginstal dan mengonfigurasi AWS CLI, lihat [Panduan Pengguna AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/).
**Untuk menghapus alamat dari daftar penekanan tingkat akun dengan menggunakan AWS CLI**
+ Di baris perintah, masukkan perintah berikut:
```
aws sesv2 delete-suppressed-destination --email-address recipient@example.com
```
Pada perintah sebelumnya, ganti *recipient@example.com* dengan alamat email yang ingin Anda hapus dari daftar penekanan tingkat akun.
## Hapus Data Tentang Email yang Dikirim Menggunakan Amazon SES
Saat Anda menggunakan Amazon SES untuk mengirim email, Anda dapat mengirim informasi tentang email tersebut ke AWS layanan lain. Misalnya, Anda dapat mengirim informasi tentang peristiwa email (seperti pengiriman, pembukaan, dan klik) ke Firehose. Data peristiwa ini biasanya berisi alamat email Anda dan alamat IP asal email tersebut dikirim. Data tersebut juga berisi alamat email semua penerima yang dikirimi email.
Anda dapat menggunakan Firehose untuk mengalirkan data peristiwa email ke beberapa tujuan—termasuk Amazon Simple Storage Service, Amazon Service, dan Amazon Redshift OpenSearch . Untuk menghapus data ini, Anda harus terlebih dahulu menghentikan streaming data ke Firehose, dan kemudian menghapus data yang telah dialirkan. Untuk menghentikan streaming data peristiwa Amazon SES ke Firehose, Anda harus menghapus tujuan acara Firehose.
**Untuk menghapus tujuan peristiwa Firehose dengan menggunakan konsol Amazon SES**
1. Buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di bawah **Pengiriman Email**, pilih **Set Konfigurasi**.
1. Dalam daftar set konfigurasi, pilih set konfigurasi yang berisi tujuan peristiwa Firehose.
1. Di samping tujuan acara Firehose yang ingin Anda hapus, pilih tombol **delete** (![\[Close or cancel icon represented by an X symbol in a circular shape.\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/images/delete_icon.png)).
1. Jika perlu, hapus data yang ditulis Firehose ke layanan lain. Untuk informasi selengkapnya, lihat [Hapus Data Peristiwa yang Tersimpan](#deleting-personal-data-message-data-storage).
Anda juga dapat menggunakan API Amazon SES untuk menghapus tujuan peristiwa. Prosedur berikut menggunakan AWS Command Line Interface (AWS CLI) untuk berinteraksi dengan Amazon SES API. Anda juga dapat berinteraksi dengan API dengan menggunakan AWS SDK, atau dengan membuat permintaan HTTP secara langsung.
**Untuk menghapus tujuan acara Firehose dengan menggunakan AWS CLI**
1. Di baris perintah, ketik perintah berikut:
```
aws sesv2 delete-configuration-set-event-destination --configuration-set-name configSet \
--event-destination-name eventDestination
```
Dalam perintah ini, ganti *configSet* dengan nama set konfigurasi yang berisi tujuan acara Firehose. Ganti *eventDestination* dengan nama tujuan acara Firehose.
1. Jika perlu, hapus data yang ditulis Firehose ke layanan lain. Untuk informasi selengkapnya, lihat [Hapus Data Peristiwa yang Tersimpan](#deleting-personal-data-message-data-storage).
### Hapus Data Peristiwa yang Tersimpan
Untuk informasi selengkapnya tentang menghapus informasi dari AWS layanan lain, lihat dokumen berikut:
+ [Menghapus Objek dan Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DeletingAnObjectandBucket.html) di *Panduan Pengguna Amazon Simple Storage Service*
+ [Menghapus Domain OpenSearch Layanan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/es-gsg-deleting.html) di *Panduan Pengembang OpenSearch Layanan Amazon*
+ [Menghapus Klaster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#delete-cluster) dalam *Panduan Pengelolaan Klaster Amazon Redshift*
Anda juga dapat menggunakan Firehose untuk mengalirkan data email ke Splunk, layanan pihak ketiga yang tidak didukung AWS atau dikelola di. Konsol Manajemen AWS Untuk informasi selengkapnya tentang menghapus data dari Splunk, konsultasikan dengan administrator sistem Anda atau dokumentasi di [situs web Splunk](http://docs.splunk.com/Documentation).
## Hapus Data Tentang Identitas
Identitas mencakup alamat email dan domain yang Anda gunakan untuk mengirim email menggunakan Amazon SES. Di beberapa yurisdiksi, alamat email atau domain mungkin dianggap sebagai data yang dapat diidentifikasi secara pribadi.
**Untuk menghapus identitas dengan menggunakan konsol Amazon SES**
1. Buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di bawah **Pengelolaan Identitas**, lakukan salah satu langkah berikut:
+ Pilih **Domain** jika Anda ingin menghapus domain.
+ Pilih **Alamat Email** jika Anda ingin menghapus alamat email.
1. Pilih identitas yang ingin Anda hapus, lalu pilih **Hapus**.
1. Di kotak dialog konfirmasi, pilih **Ya, Hapus Identitas**.
Anda juga dapat menggunakan API Amazon SES untuk menghapus identitas. Prosedur berikut menggunakan AWS Command Line Interface (AWS CLI) untuk berinteraksi dengan API Amazon SES. Anda juga dapat berinteraksi dengan API dengan menggunakan AWS SDK, atau dengan membuat permintaan HTTP secara langsung.
**Untuk menghapus identitas dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses delete-identity --identity sender@example.com
```
Dalam perintah ini, ganti *sender@example.com* dengan identitas yang ingin Anda hapus.
## Hapus Data Autentikasi Pengirim
Autentikasi pengirim mengacu pada proses pengonfigurasian Amazon SES sehingga pengguna lain dapat mengirim email atas nama Anda. Untuk mengaktifkan otorisasi pengirim, Anda harus membuat kebijakan, seperti yang dijelaskan di [Menggunakan otorisasi pengiriman dengan Amazon SES](sending-authorization.md). Kebijakan ini berisi identitas (milik Anda), selain AWS IDs (yang terkait dengan orang atau grup yang mengirim email atas nama Anda). Anda dapat menghapus data pribadi ini dengan mengubah atau menghapus kebijakan autentikasi pengirim. Prosedur berikut menunjukkan cara menghapus kebijakan ini.
**Untuk menghapus kebijakan autentikasi pengirim menggunakan konsol Amazon SES**
1. Buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di bawah **Pengelolaan Identitas**, lakukan salah satu langkah berikut:
+ Pilih **Domain** jika kebijakan autentikasi pengirim yang ingin Anda hapus terkait dengan domain.
+ Pilih **Alamat Email** jika kebijakan autentikasi pengirim yang ingin Anda hapus terkait dengan alamat email.
1. Di bawah **Kebijakan Identitas**, pilih kebijakan yang ingin Anda hapus, lalu pilih **Hapus Kebijakan**.
Anda juga dapat menggunakan API Amazon SES untuk menghapus kebijakan autentikasi pengirim. Prosedur berikut menggunakan AWS Command Line Interface (AWS CLI) untuk berinteraksi dengan Amazon SES API. Anda juga dapat berinteraksi dengan API dengan menggunakan AWS SDK, atau dengan membuat permintaan HTTP secara langsung.
**Untuk menghapus kebijakan otentikasi pengirim dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses delete-identity-policy --identity example.com --policy-name samplePolicy
```
Dalam perintah ini, ganti *example.com* dengan identitas yang berisi kebijakan otentikasi pengirim. Ganti *samplePolicy* dengan nama kebijakan otentikasi pengirim.
## Hapus Data Terkait dengan Aturan Penerimaan
Jika Anda menggunakan Amazon SES untuk menerima email masuk, Anda dapat membuat aturan penerimaan yang diterapkan ke satu atau beberapa identitas (alamat email atau domain). Aturan ini menentukan apa yang dilakukan Amazon SES dengan email masuk yang dikirim ke identitas tertentu.
**Untuk menghapus aturan penerimaan menggunakan konsol Amazon SES**
1. Buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di bawah **Penerimaan Email**, pilih **Set Aturan**.
1. Jika aturan penerimaan adalah bagian dari set aturan aktif, pilih **Tampilkan Set Aturan Aktif**. Jika tidak, pilih set aturan yang berisi aturan penerimaan yang ingin Anda hapus.
1. Dalam daftar aturan penerimaan, pilih aturan yang ingin Anda hapus.
1. Di menu **Tindakan**, pilih **Edit**.
1. Pada kotak dialog konfirmasi, pilih **Hapus**.
Anda juga dapat menggunakan API Amazon SES untuk menghapus aturan penerimaan. Prosedur berikut menggunakan AWS Command Line Interface (AWS CLI) untuk berinteraksi dengan Amazon SES API. Anda juga dapat berinteraksi dengan API dengan menggunakan AWS SDK, atau dengan membuat permintaan HTTP secara langsung.
**Untuk menghapus aturan tanda terima dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses delete-receipt-rule --rule-set myRuleSet --rule-name myReceiptRule
```
Dalam perintah ini, ganti *myRuleSet* dengan nama set aturan tanda terima yang berisi aturan tanda terima. Ganti *myReceiptRule* dengan nama aturan tanda terima yang ingin Anda hapus.
## Hapus Data Terkait dengan Filter Alamat IP
Jika Anda menggunakan Amazon SES untuk menerima email masuk, Anda dapat membuat filter untuk secara eksplisit menerima atau memblokir pesan yang dikirim dari alamat IP tertentu.
**Untuk menghapus filter alamat IP menggunakan konsol Amazon SES**
1. Buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di bawah **Penerimaan Email**, pilih **Filter Alamat IP**.
1. Dalam daftar filter alamat IP, pilih filter yang ingin Anda hapus, lalu pilih **Hapus**.
Anda juga dapat menggunakan API Amazon SES untuk menghapus filter alamat IP. Prosedur berikut menggunakan AWS Command Line Interface (AWS CLI) untuk berinteraksi dengan Amazon SES API. Anda juga dapat berinteraksi dengan API dengan menggunakan AWS SDK, atau dengan membuat permintaan HTTP secara langsung.
**Untuk menghapus filter alamat IP dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses delete-receipt-filter --filter-name IPfilter
```
Dalam perintah ini, ganti *IPfilter* dengan nama filter alamat IP yang ingin Anda hapus.
## Hapus Data dalam Templat Email
Jika Anda menggunakan templat email untuk mengirim email, mungkin templat tersebut berisi data pribadi, tergantung pada cara Anda mengonfigurasinya. Misalnya, Anda mungkin telah menambahkan alamat email ke templat yang dapat dihubungi penerima untuk informasi selengkapnya.
Anda hanya dapat menghapus templat email menggunakan API Amazon SES.
**Untuk menghapus template email dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses delete-template --template-name sampleTemplate
```
Dalam perintah ini, ganti *sampleTemplate* dengan nama template email yang ingin Anda hapus.
## Hapus Data dalam Templat Email Verifikasi Kustom
Jika Anda menggunakan templat yang dikustomisasi untuk memverifikasi alamat pengiriman email baru, mungkin templat tersebut berisi data pribadi, tergantung pada cara Anda mengonfigurasinya. Misalnya, Anda mungkin telah menambahkan alamat email ke templat email verifikasi yang dapat dihubungi penerima untuk informasi selengkapnya.
Anda hanya dapat menghapus templat email verifikasi kustom dengan menggunakan API Amazon SES.
**Untuk menghapus template email verifikasi kustom dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses delete-custom-verification-email-template --template-name verificationEmailTemplate
```
Dalam perintah ini, ganti *verificationEmailTemplate* dengan nama templat email verifikasi khusus yang ingin Anda hapus.
## Hapus Semua Data Pribadi dengan Menutup AWS Akun Anda
Anda juga dapat menghapus semua data pribadi yang disimpan di Amazon SES dengan menutup akun AWS Anda. Namun, tindakan ini juga menghapus semua data lain—pribadi atau non-pribadi—yang telah Anda simpan di setiap layanan lainnya. AWS
Ketika Anda menutup AWS akun Anda, data di AWS akun Anda disimpan selama 90 hari. Setelah periode retensi tersebut, maka data tersebut akan dihapus secara permanen dan tidak dapat diubah.
**Untuk menutup AWS akun Anda**
Petunjuk lengkap tentang cara menutup AWS akun Anda tercakup dalam [Tutup AWS akun](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html).