기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon SES용 Mail Manager
<a name="eb"></a>

Mail Manager는 조직의 이메일 인프라를 강화하고, 이메일 워크플로 관리를 단순화하고, 이메일 규정 준수 제어를 간소화하는 데 도움이 되도록 설계된 Amazon SES 이메일 게이트웨이 기능입니다. 기존 인프라와 통합되고, 다양한 비즈니스 애플리케이션을 연결할 수 있으며, 인바운드 이메일 처리를 자동화합니다. 나아가 Mail Manager는 이메일 트래픽을 효율적으로 관리하고 이메일 아카이브 기능 준수를 개선하여 양호한 이메일 시스템을 유지하는 1차 방어선 역할을 합니다.

현재 Amazon SES 기능과 함께 Mail Manager는 인바운드 트래픽을 지원하는 다음 기능으로 구성됩니다.
+ **수신 엔드포인트** - 필터링 정책 및 규칙을 활용하는 주요 인프라 구성 요소로, 조직에 허용해야 하는 이메일과 거부해야 하는 이메일을 결정하도록 구성할 수 있습니다.
+ **트래픽 정책 및 규칙 세트** - 사용자가 정의한 다양한 조건 및 예외를 기반으로 이메일 관리자가 이메일을 정렬하고, 분류하고, 우선순위를 지정하고, 이메일에 대한 작업을 수행할 수 있는 맞춤 설정 가능한 정책 및 규칙을 통해 인바운드 이메일 트래픽을 관리하기 위한 규칙을 정의하고 적용할 수 있습니다. 이 지능형 필터링과 자동화된 워크플로를 결합하면 이메일 더욱 쉽게 관리하고 효율성을 높이며 조직 이메일 정책을 준수할 수 있습니다.
+ **SMTP 릴레이** - 내부 이메일 시스템을 연결하여 규칙에 정의한 기준에 따라 이메일 트래픽을 다른 SMTP 서버로 리디렉션하고 자동 전달을 통해 이메일 관리를 간소화합니다. 여러 서버와 게이트웨이에 트래픽을 분산할 수 있으므로, 조직은 하이브리드 환경에서도 대량의 이메일 트래픽을 효과적으로 관리할 수 있습니다.
+ **이메일 아카이브** - 영구적이고 안전한 장기 스토리지에 데이터를 저장하여 이메일을 저장하고 보호하며, 이메일을 빠르게 검색하고 아카이브할 수 있는 방법을 제공합니다. 메일박스 서버의 스토리지 요구 사항을 늘리지 않고 풀타임 엔터프라이즈 수준 아카이브를 제공합니다.
+ **이메일 추가 기능** - 수신 엔드포인트로 들어오는 이메일을 관리하고 보안 결과에 따라 라우팅 옵션을 제공하는 데 사용할 수 있는 SES 승인 공급자의 특수 보안 도구 모음입니다. 이러한 도구는 이메일 워크플로에 통합할 준비가 되어 있고 Mail Manager 콘솔에서 직접 활성화할 수 있는 인증된 보안 인텔리전스 및 적용 솔루션입니다.

**Mail Manager 시작하기**  
Mail Manager를 사용하기 시작하려면 Amazon SES 콘솔의 온보딩 마법사가 안내하는 계정에 Mail Manager를 활성화하는 단계를 따릅니다. [Mail Manager 시작하기](eb-getting-started.md)을(를) 참조하세요.

**Topics**
+ [Mail Manager 시작하기](eb-getting-started.md)
+ [수신 엔드포인트](eb-ingress.md)
+ [트래픽 정책 및 정책 스테이트먼트](eb-filters.md)
+ [규칙 세트 및 규칙](eb-rules.md)
+ [SMTP 릴레이](eb-relay.md)
+ [주소 목록](eb-addlist.md)
+ [이메일 아카이빙](eb-archiving.md)
+ [이메일 추가 기능](eb-addons.md)
+ [Mail Manager에 대한 권한 정책](eb-policies.md)
+ [Mail Manager 로깅](eb-logging.md)

# Mail Manager 시작하기
<a name="eb-getting-started"></a>

Amazon SES Mail Manager 사용을 시작하려면 Amazon SES 콘솔에서 *Mail Manager 시작* 마법사를 사용하여 수신 엔드포인트를 만들고 트래픽 정책 및 규칙 세트로 이를 구성할 수 있습니다.

수신 엔드포인트는 Mail Manager를 설정하는 첫 번째 빌딩 블록이며 다음을 활용하는 주요 인프라 구성 요소입니다.
+ **트래픽 정책** - 트래픽 정책에는 정책 스테이트먼트 조건이 충족될 경우 특정 유형의 이메일을 허용하거나 차단하여 수신 메일을 정렬하도록 정의하는 정책 스테이트먼트가 포함되어 있습니다.
+ **규칙 세트** - 규칙 세트에는 규칙 조건이 충족될 경우 허용하는 이메일에 대한 작업을 수행하도록 정의하는 규칙이 포함되어 있습니다.

그러나 수신 엔드포인트를 만드는 과정의 일부로 이미 생성된 트래픽 정책 및 규칙 세트를 선택한 다음, 수신 엔드포인트에 할당합니다. 다음 절차의 단계에서는 올바른 순서를 통해 첫 번째 수신 엔드포인트를 구성하는 방법을 알아봅니다.

## SES 콘솔을 사용하여 Mail Manager 시작하기
<a name="eb-get-started-console"></a>

다음 절차에서는 SES 콘솔을 사용하여 Mail Manager를 시작하는 방법을 보여줍니다.

**Amazon SES 콘솔을 사용하여 Mail Manager 시작하기**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 왼쪽 탐색 패널에서 **Mail Manager**를 선택하고 **Mail Manager 개요** 페이지의 **Mail Manager 시작하기** 버튼 중 하나를 선택합니다.

1. *설정 시작* 페이지의 *트래픽 정책 만들기* 카드에서 **트래픽 정책 만들기**를 선택합니다.

   1. *트래픽 정책 만들기* 페이지에서 워크플로를 완료합니다. 추가 정보가 필요한 경우 [SES 콘솔에서 트래픽 정책 및 정책 스테이트먼트 만들기](eb-filters.md#eb-filters-create-console) 섹션을 참조하세요.

   1. 첫 번째 트래픽 정책 및 정책 스테이트먼트를 만든 후 브라우저의 뒤로 버튼을 사용하여 *설정 시작* 페이지로 돌아가거나 왼쪽 탐색 패널의 *Mail Manager*에서 **설정 시작**을 선택합니다.

1. *설정 시작* 페이지의 *규칙 세트 만들기* 카드에서 **규칙 세트 만들기**를 선택합니다.

   1. *규칙 세트 만들기* 페이지에서 워크플로를 완료합니다. 추가 정보가 필요한 경우 [SES 콘솔에서 규칙 세트 및 규칙 만들기](eb-rules.md#eb-rules-create-console) 섹션을 참조하세요.

   1. 첫 번째 규칙 세트 및 규칙을 만든 후 브라우저의 뒤로 버튼을 사용하여 *설정 시작* 페이지로 돌아가거나 왼쪽 탐색 패널의 *Mail Manager*에서 **설정 시작**을 선택합니다.

1. 이제 첫 번째 트래픽 정책 및 규칙 세트를 만들었으므로 첫 번째 수신 엔드포인트를 만들 수 있습니다. *설정 시작* 페이지의 *수신 엔드포인트 만들기* 카드에서 **수신 엔드포인트 만들기**를 선택합니다.

   1. *이메일 수신 엔드포인트* 페이지의 워크플로에서 수행할 작업에는 방금 만든 트래픽 정책 및 규칙 세트를 수신 엔드포인트에 할당하는 것이 포함됩니다. 추가 정보가 필요한 경우 [SES 콘솔에서 수신 엔드포인트 만들기](eb-ingress.md#eb-ingress-create-console) 섹션을 참조하세요.

첫 번째 수신 엔드포인트가 만들어지면 Mail Manager 사용을 시작하고 SMTP 릴레이 및 이메일 아카이빙 등의 다른 기능을 활용할 수 있습니다. 또한 고유한 트래픽 정책 및 규칙 세트를 사용하여 추가 수신 엔드포인트를 만들어 모든 수신되는 이메일을 관리하는 방법을 추가로 사용자 지정할 수 있습니다.

# 수신 엔드포인트
<a name="eb-ingress"></a>

수신 엔드포인트는 Mail Manager의 주요 인프라 구성 요소로, 사용자가 구성한 정책 및 규칙을 활용하여 거부해야 할 이메일, 허용해야 할 이메일, 조치해야 할 이메일을 결정함으로써 이메일을 수신, 라우팅, 관리합니다.

각 수신 엔드포인트에는 차단하거나 허용할 이메일을 결정하는 자체 트래픽 정책과 사용자가 허용하는 이메일에 대한 작업을 수행하도록 설정된 자체 규칙이 있습니다. 따라서 여러 수신 엔드포인트를 만들어 각 엔드포인트를 위임하여 특정 유형의 이메일을 관리하고 라우팅할 수 있습니다. 이렇게 세분화하면 비즈니스 요구 사항에 맞춤화된 이메일 관리 시스템을 구축할 수 있습니다.

**수신 엔드포인트를 만들기 위한 사전 워크플로**  
수신 엔드포인트를 만들 때 트래픽 정책 및 *이미 만들어진* 규칙 세트를 할당해야 합니다. 따라서 수신 엔드포인트를 만드는 데 필요한 워크플로는 다음 순서로 진행되어야 합니다.

1. 먼저 트래픽 정책을 만들어 차단하거나 허용할 이메일을 결정합니다. 자세한 내용은 [SES 콘솔에서 트래픽 정책 및 정책 스테이트먼트 만들기](eb-filters.md#eb-filters-create-console)을 참조하세요.

1. 그런 다음 규칙 세트를 만들어 사용자가 허용하는 이메일에 대한 작업을 수행합니다. 자세한 내용은 [SES 콘솔에서 규칙 세트 및 규칙 만들기](eb-rules.md#eb-rules-create-console)을 참조하세요.

1. 마지막으로 수신 엔드포인트를 만들고 방금 만든 트래픽 정책 및 규칙 세트 또는 이전에 만든 다른 버전을 해당 엔드포인트에 할당합니다.

수신 엔드포인트를 만든 후에는 온프레미스 SMTP 클라이언트의 구성이든 웹 기반 DNS 도메인 호스트의 구성이든 이메일을 수신하는 데 사용하는 환경으로 구성해야 합니다. 자세한 내용은 [퍼블릭 엔드포인트를 통해 이메일 수신](#eb-ingress-a-record) 섹션을 참조하세요.

## 수신 엔드포인트를 사용하도록 환경 구성
<a name="eb-ingress-config-endpoints"></a>

SES는 수신 엔드포인트가 수신 이메일을 수락할 수 있도록 퍼블릭 엔드포인트와 Amazon Virtual Private Cloud(VPC) 엔드포인트를 모두 지원합니다. 다음 섹션에서는 이러한 옵션 중 하나를 사용하도록 수신 엔드포인트를 구성하는 방법을 설명합니다.

**Topics**
+ [퍼블릭 엔드포인트 구성](#eb-ingress-a-record)
+ [VPC 엔드포인트 구성](#eb-ingress-vpc-endpoint)

### 퍼블릭 엔드포인트를 통해 이메일 수신
<a name="eb-ingress-a-record"></a>

**'A' 레코드 사용**  
수신 엔드포인트를 만들 때 엔드포인트에 대한 'A' 레코드가 생성되고 해당 값이 SES 콘솔의 수신 엔드포인트 요약 화면에 표시됩니다. 이 레코드의 값을 사용하는 방법은 만든 엔드포인트 유형과 사용 사례에 따라 달라집니다.
+ **개방형 엔드포인트** - 도메인으로 전송된 메일은 수신 엔드포인트로 직접 확인되므로 인증이 필요하지 않습니다.
  + 'A' 레코드의 값을 직접 복사하여 온프레미스 SMTP 클라이언트의 SMTP 구성에 붙여넣거나 DNS 구성의 도메인에 대한 MX 레코드에 붙여넣습니다.
  + 지원되는 포트: 25
  + STARTTLS 지원: 예
+ **인증된 엔드포인트** - 도메인으로 전송된 메일은 온프레미스 이메일 서버와 같이 SMTP 자격 증명을 공유한 인증된 발신자가 보낸 것이어야 합니다.
  + 'A' 레코드의 값을 직접 복사하여 온프레미스 SMTP 클라이언트의 SMTP 구성과 사용자 이름 및 암호에 붙여넣습니다.
  + 지원되는 포트: 25, 587([RFC 2476](https://www.ietf.org/rfc/rfc2476.txt))
  + STARTTLS 지원: 예
+ **mTLS 엔드포인트** - 도메인으로 전송되는 메일은 수신 엔드포인트의 트러스트 스토어에 인증 기관(CAs) 중 하나가 서명한 TLS 클라이언트 인증서를 제공하는 클라이언트에서 전송해야 합니다. [수신 엔드포인트에 대한 상호 TLS(mTLS) 인증](#eb-ingress-mtls)을(를) 참조하세요.
  + "A" 레코드의 값을 복사하여 온프레미스 SMTP 클라이언트의 SMTP 구성에 직접 붙여 넣습니다.
  + 지원되는 포트: 25
  + STARTTLS 지원: 예

구성에서 MX 레코드를 사용하는 경우 각 DNS 공급자가 레코드를 구성하기 위한 다양한 절차와 인터페이스를 보유하고 있지만 DNS 설정에 입력해야 하는 주요 정보가 다음 예제에 나열되어 있다는 것을 참고하시기 바랍니다.

도메인의 DNS 설정에서 수신 엔드포인트의 'A' 레코드를 MX 레코드 값으로 입력했으므로 *recipient@marketing.example.com*으로 전송된 모든 이메일은 수신 엔드포인트로 이동합니다.
+ **도메인** – `marketing.example.com`
+ **MX 레코드 값** - `890123abcdef.ghijk.mail-manager-smtp.amazonaws.com`*(이 값은 수신 엔드포인트에서 복사된 'A' 레코드 값입니다.)*
+ **우선순위** – `10`

**인증된 엔드포인트에 연결**  
인증된 엔드포인트에 연결하기 위해 SMTP 자격 증명을 공유한 인증된 발신자의 경우 서버에 성공적으로 연결하려면 *사용자 이름*과 *암호*에 대해 다음 프로토콜을 따라야 합니다.
+ **사용자 이름** - 수신 엔드포인트 ID이며 Base64에 인코딩되어야 합니다. *(수신 엔드포인트 ID를 찾는 방법을 알아보려면 콘솔 절차의 [11단계를](#find-ingress-id) 참조하세요.)*
+ **암호** - 수신 엔드포인트를 만드는 중에 사용되는 암호이며 Base64에서 인코딩되어야 합니다.

다음 예제에서는 일반적인 SMTP AUTH 서버 및 클라이언트 교환 연결 설정 방법을 보여줍니다.

```
S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful
```

이 예제에는 다음 속성이 포함됩니다.
+ `S`는 메시지를 수락하는 SMTP 서버인 '서버'를 의미합니다.
+ `C`는 '클라이언트'를 의미하며, SMTP 클라이언트는 서버와의 연결을 설정하고 서버에 메시지를 전송합니다.
+ `250 AUTH LOGIN PLAIN`은 AUTH 메서드가 지원되는 서버의 응답이거나, `AUTH PLAIN` 또는 `AUTH LOGIN`, 발신자는 이중 하나를 선택하고 SMTP Service Extension for Authentication 사양 [RFC 2554](https://www.ietf.org/rfc/rfc2554.txt)를 준수하는 SMTP 명령을 보낼 수 있습니다. `AUTH LOGIN`는 여기에서 사용됩니다.
+ `334 VXNlcm5hbWU6` – Base64에서 사용자 이름을 프롬프트하는 서버입니다.
+ `SW5ncmVzc1BvaW50` - Base64에서 수신 엔드포인트 ID로 응답하는 클라이언트입니다.
+ `334 UGFzc3dvcmQ6` – Base64에서 암호를 프롬프트하는 서버입니다.
+ `SW5ncmVzc1Bhc3N3b3Jk` – Base64에서 수신 엔드포인트 암호로 응답하는 클라이언트입니다.

### Amazon VPC 엔드포인트를 통해 이메일 수신
<a name="eb-ingress-vpc-endpoint"></a>

퍼블릭 수신 엔드포인트 외에도 VPC 엔드포인트를 SES 수신 엔드포인트와 함께 사용하여 프라이빗 네트워크 인프라 내에서 안전한 프라이빗 이메일 수집을 수행할 수 있습니다.

**퍼블릭 수신 엔드포인트 사용과 비교한 구성 차이**  

+ 퍼블릭 엔드포인트에 일반적으로 사용할 수 있는 ‘A’ 레코드는 제공되지 않습니다.
+ VPC 엔드포인트에서 제공하는 DNS 이름을 사용하여 수신 엔드포인트에 연결해야 합니다.
+ 모든 연결은 VPC 내에서 프라이빗 네트워킹을 사용합니다.

**VPC 엔드포인트를 통해 지원되는 수신 엔드포인트 유형**  
SES는 VPC 엔드포인트를 통해 두 가지 유형의 수신 지점을 지원합니다.
+ **수신 엔드포인트 열기** - 발신자 인증 없이 VPC 엔드포인트를 통해 도메인으로 직접 전송되는 이메일입니다.

  구성 요구 사항:
  + 소유한 VPC 엔드포인트 ID와 연결하여 프라이빗 오픈 수신 엔드포인트를 생성합니다.
  + 지원되는 포트: 25, 587
  + STARTTLS 지원: 예
+ **인증된 수신 엔드포인트** - 도메인으로 전송된 메일은 온프레미스 이메일 서버와 같이 SMTP 자격 증명을 공유한 인증된 발신자가 보낸 것이어야 합니다.

  구성 요구 사항:
  + 소유한 VPC 엔드포인트 ID와 연결하여 프라이빗 인증 수신 엔드포인트를 생성합니다.
  + 지원되는 포트: 25, 587 
  + STARTTLS 지원: 예
  + 인증은 퍼블릭 인증 엔드포인트와 동일한 base64 인코딩 사용자 이름 및 암호 메커니즘을 사용합니다.

**VPC 엔드포인트 요구 사항**  
VPC 엔드포인트를 SES 수신 엔드포인트와 함께 사용하려면 다음 요구 사항을 충족해야 합니다.
+ VPC 엔드포인트는 활성 상태여야 하며 사용 가능해야 합니다.
+ VPC 엔드포인트는 수신 엔드포인트와 동일한 AWS 계정이 소유해야 합니다(교차 계정 액세스는 지원되지 않음).
+ 수신 엔드포인트 유형에 따라 적절한 서비스 이름에 대해 VPC 엔드포인트를 생성해야 합니다.
  + **수신 엔드포인트 열기** - `com.amazonaws.region.mail-manager-smtp.open`
  + **인증된 수신 엔드포인트** - `com.amazonaws.region.mail-manager-smtp.auth`
  + **FIPS 열린 수신 엔드포인트** - `com.amazonaws.region.mail-manager-smtp.open.fips`
  + **FIPS 인증 수신 엔드포인트** - `com.amazonaws.region.mail-manager-smtp.auth.fips`

**중요 구성 정보**  

+ **일대일 관계** - 각 VPC 엔드포인트는 단일 수신 엔드포인트에만 연결할 수 있습니다. 여러 수신 엔드포인트에 동일한 VPC 엔드포인트를 사용할 수 없습니다.
+ **VPC 엔드포인트 정책 없음** - 다른 AWS 서비스와 달리 수신 엔드포인트와 함께 사용되는 VPC 엔드포인트는 VPC 엔드포인트 정책을 지원하지 않습니다. SES는 VPC 엔드포인트 소유자와 수신 엔드포인트 소유자가 동일한 AWS 계정인지 자동으로 확인합니다.
+ **프라이빗 DNS 전용** - VPC 엔드포인트에서 제공하는 모든 DNS 이름은 VPC 내에서만 액세스할 수 있는 프라이빗 DNS 이름입니다.
+ **생성 시 검증** - SES는 리소스 생성 중에 검증을 수행하여 VPC 엔드포인트가 모든 요구 사항을 충족하는지 확인합니다.
+ **TLS 정책은 VPC 엔드포인트 서비스와 일치해야 합니다**. 프라이빗 수신 엔드포인트를 생성할 때 TLS 정책 값은 VPC 엔드포인트 서비스 유형과 일치해야 합니다. `FIPS` TLS 정책이 있는 수신 엔드포인트는 FIPS VPC 엔드포인트 서비스를 사용해야 하며, `REQUIRED` 또는 `OPTIONAL` TLS 정책이 있는 수신 엔드포인트는 비 FIPS VPC 엔드포인트 서비스를 사용해야 합니다. 혼합할 수 없습니다.

**VPC 엔드포인트를 통해 수신 엔드포인트에 연결**  
VPC 엔드포인트 및 수신 엔드포인트를 구성한 후 다음을 수행합니다.

1. VPC 엔드포인트에 대해 생성된 DNS 이름을 검색합니다.

1. 이러한 DNS 이름을 연결에 사용하도록 SMTP 클라이언트 또는 이메일 서버를 구성합니다.

1. 인증된 엔드포인트를 사용하는 경우 인증된 수신 엔드포인트에 사용되는 적절한 base64 인코딩 자격 증명으로 SMTP 클라이언트를 구성합니다.

## 수신 엔드포인트에 대한 TLS 정책
<a name="eb-ingress-tls-policy"></a>

수신 엔드포인트에 대한 TLS 정책은 엔드포인트로 이메일을 보낼 때 SMTP 클라이언트 연결이 TLS 암호화를 사용해야 하는지 여부를 제어합니다. `CreateIngressPoint` API를 사용하여 수신 엔드포인트를 생성할 때 TLS 정책을 지정하고 나중에 `UpdateIngressPoint` API를 사용하여 변경할 수 있습니다. 기본 TLS 정책은 리전에 따라 다릅니다. `FIPS`는 미국 및 캐나다 리전의 기본값이고는 다른 모든 리전의 기본값`REQUIRED`입니다.

모든 수신 엔드포인트 연결은 STARTTLS 명령을 통해 기회론적 TLS를 사용합니다. 연결은 일반 텍스트로 시작되며 연결 클라이언트가 지원하는 경우 TLS로 업그레이드됩니다. 연결이 암호화되기 시작하는 암시적 TLS(TLS 래퍼)는 지원되지 않습니다.

다음 TLS 정책 값을 사용할 수 있습니다.
+ **FIPS** - FIPS 검증 암호화 모듈을 사용한 TLS 암호화가 필요합니다. 이는 미국 및 캐나다 리전의 기본값이며 해당 리전에서만 사용할 수 있습니다.
+ **필수** - SMTP 클라이언트를 연결하려면 TLS 암호화를 사용해야 합니다. TLS를 사용하지 않는 연결은 거부됩니다. 이는 미국 및 캐나다 이외의 리전에서 기본값입니다.
+ **선택 사항** - TLS 암호화가 지원되지만 필수는 아닙니다. SMTP 클라이언트를 연결하면 TLS를 사용하거나 사용하지 않고 이메일을 보낼 수 있습니다.

**수신 엔드포인트 유형별 가용성**  
수신 엔드포인트 유형과 네트워크 구성의 모든 조합에 대해 모든 TLS 정책 값이 유효한 것은 아닙니다.
+ **FIPS** - 퍼블릭 네트워크의 모든 수신 엔드포인트 유형(개방, 인증 및 mTLS)과 프라이빗 네트워크의 개방 및 인증 수신 엔드포인트에 사용할 수 있지만 미국 및 캐나다 리전에서만 사용할 수 있습니다. 일단 설정되면 업데이트를 통해 다른 값으로 변경할 수 `FIPS` 없습니다. 다른 TLS 정책이 필요한 경우 새 수신 엔드포인트를 생성해야 합니다.
+ **필수** - 모든 리전의 모든 수신 엔드포인트 유형에 사용할 수 있습니다. 그러나 퍼블릭 네트워크의 인증 및 mTLS 수신 엔드포인트의 경우 생성 시에만 설정할 `REQUIRED` 수 있으며 업데이트를 통해 변경할 수 없습니다. 개방형 수신 엔드포인트(퍼블릭 또는 프라이빗) 및 프라이빗 네트워크의 인증된 수신 엔드포인트의 경우 생성 시를 설정하고 업데이트를 통해 변경할 `REQUIRED` 수 있습니다. `REQUIRED`는 미국 및 캐나다 리전의 퍼블릭 네트워크에서 인증 또는 mTLS 수신 엔드포인트에 사용할 수 없으며, 여기서 `FIPS`는 대신 사용됩니다.
+ **선택 사항** - 퍼블릭 및 프라이빗 네트워크 모두에서 열린 수신 엔드포인트와 프라이빗 네트워크에서 인증된 수신 엔드포인트와 함께 사용할 수 있습니다. `OPTIONAL`는 mTLS 수신 엔드포인트에 사용할 수 없으며 퍼블릭 네트워크에서 인증된 수신 엔드포인트에 사용할 수 없습니다.

**TLS 정책 변경 규칙**  
기존 수신 엔드포인트에서 TLS 정책을 업데이트할 때 다음 규칙이 적용됩니다.
+ `FIPS` 생성 후에는를 변경할 수 없습니다.
+ 프라이빗 네트워크에서 열린 수신 엔드포인트 및 인증된 수신 엔드포인트의 경우 `REQUIRED` 및 간에 전환할 수 있습니다`OPTIONAL`.
+ 퍼블릭 네트워크의 mTLS 수신 엔드포인트 및 인증된 수신 엔드포인트의 경우 생성 후 TLS 정책을 변경할 수 없습니다.

## 수신 엔드포인트에 대한 상호 TLS(mTLS) 인증
<a name="eb-ingress-mtls"></a>

상호 TLS(mTLS) 인증을 사용하려면 SMTP 클라이언트를 연결하여 수신 엔드포인트의 트러스트 스토어에 인증 기관(CAs) 중 하나가 서명한 TLS 클라이언트 인증서를 제시해야 합니다. 신뢰할 수 있는 인증서가 있는 클라이언트만 엔드포인트로 이메일을 보낼 수 있습니다.

**중요**  
mTLS 인증은 퍼블릭 수신 엔드포인트에만 사용할 수 있습니다. Amazon VPC 엔드포인트는 mTLS 인증을 지원하지 않습니다.

mTLS 수신 엔드포인트를 생성하려면 수신 엔드포인트 유형`MTLS`으로를 선택하고 `CreateIngressPoint` API의 `IngressPointConfiguration` 파라미터`TrustStore`에이 `TlsAuthConfiguration` 포함된를 제공합니다.

**트러스트 스토어 구성**  
트러스트 스토어는 수신 엔드포인트에서 수락할 클라이언트 인증서를 정의합니다. 여기에는 다음 필드가 포함되어 있습니다.
+ **CAContent**(필수) - PEM 형식의 인증 기관(CA) 인증서 번들입니다. 이 번들에는 클라이언트 인증서를 검증하는 데 사용되는 CA 인증서가 포함되어 있습니다. 단일 번들에 최대 500KB까지 여러 CA 인증서를 포함할 수 있습니다.
+ **CrlContent**(선택 사항) - PEM 형식의 인증서 해지 목록(CRL)입니다. 제공된 경우 신뢰할 수 있는 CA에서 서명한 경우에도 CRL에 표시되는 클라이언트 인증서는 거부됩니다. 최대 500KB.
+ **KmsKeyArn**(선택 사항) - 트러스트 스토어 데이터를 암호화하는 데 사용되는 AWS KMS 고객 관리형 키(CMK)의 ARN입니다. 지정하지 않으면 AWS 관리형 키가 사용됩니다. CMK를 사용하는 경우 키 정책은 SES가 키를 사용하도록 허용해야 합니다. [mTLS 트러스트 스토어에 대한 KMS 고객 관리형 키(CMK) 키 정책](eb-policies.md#eb-policies-ingress-mtls-cmk)을(를) 참조하세요.

만료된 인증서는 유효하지 않은 것으로 간주되며 연결에서 허용되지 않습니다. 또한 SES는 트러스트 스토어에서 만료된 CA 인증서와 만료된 인증서 해지 목록(CRLs)을 필터링합니다. CRL이 만료되면 해당 CRL과 연결된 CA 인증서도 트러스트 스토어에서 제거됩니다. 즉, 업데이트된 CRL을 제공할 때까지 해당 CA에서 서명한 클라이언트는 더 이상 연결할 수 없습니다.

**규칙 조건에서 클라이언트 인증서 속성 사용**  
클라이언트가 유효한 인증서를 사용하여 mTLS 수신 엔드포인트에 연결하면 인증서 속성(예: 일반 이름, 일련 번호 및 주체 대체 이름 필드)을 규칙 조건에서 문자열 표현식으로 사용할 수 있습니다. 이렇게 하면 연결 클라이언트의 자격 증명을 기반으로 이메일을 라우팅, 필터링 또는 작업할 수 있습니다. 사용 가능한 속성의 전체 목록은 [규칙 조건](eb-rules.md#rule-conditions) 참조를 참조하세요.

## SES 콘솔에서 수신 엔드포인트 만들기
<a name="eb-ingress-create-console"></a>

다음 절차에서는 SES 콘솔의 **수신 엔드포인트** 페이지를 사용하여 수신 엔드포인트를 만들고 이미 만든 엔드포인트를 관리하는 방법을 보여줍니다.

**콘솔을 사용하여 수신 엔드포인트 관리를 만드는 방법**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 왼쪽 탐색 패널의 **Mail Manager**에서 **수신 엔드포인트**를 선택합니다.

1. **수신 엔드포인트** 페이지에서 **수신 엔드포인트 만들기**를 선택합니다.

1. **새 수신 엔드포인트 만들기** 페이지에서 수신 엔드포인트의 고유한 이름을 입력합니다.

1. **Open**, **Authenticated** 또는 **mTLS** 엔드포인트를 선택합니다.
   + **인증됨**을 선택한 경우 **SMTP 암호** 및 암호(인증된 발신자와 공유)를 선택하거나 **보안 암호**를 선택하고 **보안 암호 ARN**에서 보안 암호 중 하나를 선택합니다. *이전에 생성한 보안 암호를 선택하는 경우 새 보안 암호를 만들려면 다음 단계에 표시된 정책이 포함되어 있어야 합니다.*
   + **mTLS**를 선택하는 경우 CA 인증서 번들이 포함된 트러스트 스토어 구성을 제공해야 합니다. 선택적으로 인증서 해지 목록과 AWS KMS 키를 제공할 수도 있습니다. [수신 엔드포인트에 대한 상호 TLS(mTLS) 인증](#eb-ingress-mtls)을(를) 참조하세요.
   + 새로 생성을 선택하여 **새 보안 암호를 생성할** 수 있습니다. AWS Secrets Manager 콘솔이 열리고 새 키를 계속 생성할 수 있습니다.

   1. **보안 암호 유형**에서 **다른 유형의 보안 암호**를 선택합니다.

   1. **키/값 페어**에서 키에 `password`를 입력하고 값에는 실제 암호를 입력합니다.
**참고**  
**키**에 `password`만 입력해야 합니다(다른 입력이 있으면 인증 실패).

   1. **새 키 추가**를 선택하여 암호화 키에서 **KMS 고객 관리형 키**(CMK)를 생성합니다. 그러면 AWS KMS 콘솔이 열립니다.

   1. **고객 관리형 키** 페이지에서 **키 생성**을 선택합니다.

   1. **키 구성** 페이지에 기본값을 유지하고 **다음**을 선택합니다.

   1. **별칭**(필요에 따라 설명 및 태그 추가 가능)에 키 이름을 입력하고 **다음**을 선택합니다.

   1. **키 관리자**에서 키를 관리할 수 있도록 허용할 사용자(본인 제외) 또는 역할을 선택한 후 **다음**을 선택합니다.

   1. **키 사용자**에서 키를 사용할 수 있도록 허용할 사용자(본인 제외) 또는 역할을 선택한 후 **다음**을 선택합니다.

   1. [KMS CMK 정책](eb-policies.md#eb-policies-ingress-cmk)를 복사하고 쉼표로 구분된 추가 스테이트먼트로 추가하여 `"statement"` 수준의 **키 정책** JSON 텍스트 편집기에 붙여넣습니다. 리전 및 계정 번호를 자체 정보로 대체합니다.

   1. **마침**을 클릭합니다.

   1.  AWS Secrets Manager **새 보안 암호 저장** 페이지가 열려 있는 브라우저의 탭을 선택하고 **암호화 키** 필드 옆의 *새로 고침 아이콘*(원형 화살표)을 선택한 다음 필드 내부를 클릭하고 새로 생성된 키를 선택합니다.

   1. **보안 암호 구성** 페이지의 **보안 암호 이름** 필드에 이름을 입력합니다.

   1. **리소스 권한**에서 **권한 편집**을 선택합니다.

   1. [보안 암호 리소스 정책](eb-policies.md#eb-policies-ingress-secrets)를 복사하여 **리소스 권한** JSON 텍스트 편집기에 붙여넣고, 리전 및 계정 번호를 자체 정보로 대체합니다. (편집기에서 예제 코드를 모두 삭제해야 합니다.) 

   1. **저장**을 선택한 후, **다음**을 선택합니다.

   1. 필요에 따라 교체를 구성하고 **다음**을 선택합니다.

   1. 새 보안 암호를 검토하고 **저장**을 선택하여 저장합니다.

   1. SES **새 수신 엔드포인트 만들기** 페이지가 열려 있는 브라우저의 탭을 선택하고 **목록 새로 고침**을 선택한 다음, **보안 암호 ARN**에서 새로 만들어진 보안 암호를 선택합니다.

1. 허용한 이메일에 대해 수행할 규칙 작업이 포함된 규칙 세트를 선택합니다.

1. 트래픽 정책을 선택하여 차단하거나 허용할 이메일을 결정합니다.

1. **퍼블릭** 네트워크인지 **프라이빗** 네트워크인지 선택합니다.
   + 퍼블릭 네트워크의 경우 **IPv4** 전용 또는 **듀얼 스택**(IPv4 및 IPv6) 주소 지정을 선택합니다.
   + 프라이빗 네트워크의 경우 IAM 사용자 또는 역할과 같은 동일한 계정의 승인된 발신자와 공유한 VPC 엔드포인트를 선택하거나 입력합니다. 선택적으로 VPC 엔드포인트 생성을 선택하여 Amazon VPC 콘솔을 열어 **새 VPC 엔드포인트를 생성**할 수 있습니다.

1. 수신 엔드포인트에 대한 TLS 정책을 선택합니다. 기본값은 리전에 따라 다릅니다. 사용 가능한 값 및 제한에 대한 [TLS 정책](#eb-ingress-tls-policy) 자세한 내용은 섹션을 참조하세요.

1. **수신 엔드포인트 만들기**를 선택합니다.

1. **일반 세부 정보**에서 수신 엔드포인트가 만들어지는 동안 '프로비저닝'이 표시됩니다. '활성'이 표시되고 **ARecord** 필드에 값이 포함될 때까지 페이지를 새로 고침합니다. 'A' 레코드 값을 복사하여 [퍼블릭 엔드포인트 구성](#eb-ingress-a-record)에 설명된 대로 DNS 구성 또는 SMTP 클라이언트에 붙여넣습니다.

1.  콘솔의 **일반 세부 정보** 컨테이너 바로 위에는 **inp-1abc2de3fghi4jkl5mnop6qr**과 같이 'inp' 접두사가 붙은 레이블이 지정되지 않은 큰 번호가 있습니다(페이지 상단의 브레드크럼 추적에서도 복제됨). 이를 *수신 엔드포인트 ID*라고 하며, 해당 값은 수신 서버에 로그인하기 위한 *사용자 이름*으로 사용됩니다. (엔드포인트에 연결하려면 승인된 발신자와 공유해야 함)

1. **수신 엔드포인트** 페이지에서 이미 만든 수신 엔드포인트를 보고 관리할 수 있습니다. 제거하려는 수신 엔드포인트가 있는 경우 라디오 버튼을 선택한 다음 **삭제**를 선택합니다.

1. 수신 엔드포인트를 편집하려면 이름을 선택하여 요약 페이지를 엽니다.
   + **일반 세부 정보**에서 **편집**을 선택한 다음 **변경 사항 저장**을 선택하여 엔드포인트의 활성 상태 또는 TLS 정책(지원되는 구성의 경우)을 변경할 수 있습니다.
   + **규칙 세트** 또는 **트래픽 정책**에서 **편집**을 선택한 다음 **변경 사항 저장**을 선택하여 다른 규칙 세트 또는 트래픽 정책을 선택할 수 있습니다.

# 트래픽 정책 및 정책 스테이트먼트
<a name="eb-filters"></a>

트래픽 정책은 수신 엔드포인트에 할당하는 정책 스테이트먼트의 컨테이너로, 정책 설명의 조건이 충족될 때 특정 유형의 이메일을 허용하거나 차단하여 수신 메일을 정렬할 수 있습니다. 트래픽 정책은 여러 수신 엔드포인트에서 사용할 수 있습니다.

**작은 정보**  
트래픽 정책을 '필터 세트'로, 정책 스테이트먼트를 '필터'로 생각할 수 있습니다. 트래픽 정책(필터 세트)에는 수신 메일을 *필터링*하는 데 사용하는 정책(필터)이 포함되어 있습니다.

트래픽 정책을 만들 때 최대 메시지 크기(바이트 단위)를 설정할 수 있습니다. 메시지가 해당 크기를 초과하면 삭제됩니다. 다음으로 정책 문의 조건을 벗어나는 이메일을 허용하거나 차단하도록 정책의 기본 작업을 설정할 수 있습니다. 이를 트래픽 정책에 대한 '모두 포착' 작업으로 간주합니다.

또한 정책 스테이트먼트는 스테이트먼트 조건이 충족될 때 수행되는 허용 또는 차단 작업으로 만들어집니다. 정책 설명에서 허용하거나 차단하기 전에 수신 메시지와 일치해야 하는 이메일 속성과 입력한 값에 대한 조건부 연산자를 선택하여 조건을 작성합니다. 각 정책 스테이트먼트에는 여러 조건이 있을 수 있습니다.

트래픽 정책에는 여러 정책 스테이트먼트가 포함될 수 있으며 이메일 평가 방식의 암시적 계층 구조를 기반으로 하는 순서로 실행됩니다.
+ **차단하는 정책 스테이트먼트** - 이러한 스테이트먼트는 먼저 평가되며 스테이트먼트 조건을 충족하는 모든 메시지를 차단합니다.
+ **허용되는 정책 스테이트먼트** - 이러한 스테이트먼트가 다음으로 평가되며 스테이트먼트 조건을 충족하는 모든 메시지를 허용합니다.
+ **트래픽 정책의 기본 작업** - 정책 스테이트먼트에 포함되지 않는 나머지 메시지는 이 파라미터를 정의한 방식에 따라 허용되거나 차단됩니다.
+ **최대 메시지 크기** - 이 선택 사항 파라미터가 설정된 경우 이 크기보다 큰 모든 메시지가 삭제됩니다.

트래픽 정책은 하나 이상의 수신 엔드포인트에서 사용할 수 있는 독립 리소스이지만 정책 스테이트먼트는 생성된 트래픽 정책에만 포함됩니다. 따라서 수신 엔드포인트로 들어오는 이메일을 평가하기 위한 정책 스테이트먼트를 만들려면 먼저 트래픽 정책을 생성하거나 기존 정책을 편집해야 합니다.

 다음 섹션의 절차에서는 SES 콘솔에서 트래픽 정책 및 정책 스테이트먼트를 만드는 방법을 설명합니다.

## SES 콘솔에서 트래픽 정책 및 정책 스테이트먼트 만들기
<a name="eb-filters-create-console"></a>

다음 절차에서는 SES 콘솔의 **트래픽 정책** 페이지를 사용하여 트래픽 정책 및 정책 스테이트먼트를 만들고 이미 만든 정책을 관리하는 방법을 보여줍니다.

**콘솔을 사용하여 트래픽 정책 및 정책 스테이트먼트를 만들고 관리하는 방법**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 왼쪽 탐색 창의 **Mail Manager**에서 **트래픽 정책**을 선택합니다.

1. **트래픽 정책** 페이지에서 **트래픽 정책 만들기**를 선택합니다.

1. **트래픽 정책 만들기** 페이지에서 트래픽 정책의 고유한 이름을 입력합니다.

1. (선택 사항) 특정 크기를 초과하는 메시지를 삭제하려면 **최대 메시지 크기** 필드에 바이트 단위로 값을 입력합니다.

1. **기본 작업**에서 트래픽 정책이 정책 스테이트먼트의 조건을 벗어나는(해결되지 않는) 메시지 **허용** 또는 **거부**(차단) 중 하나를 선택합니다.

1. **새 정책 문 추가**를 선택하여 트래픽 정책에 대한 스테이트먼트를 만듭니다.

1. 스테이트먼트 조건이 충족될 경우 수행할 작업에 대해 **허용** 또는 **거부**(차단)를 선택합니다.

1. 입력한 값에 대한 이메일 속성과 조건부 연산자를 선택하여 조건을 빌드합니다. 이 정책 스테이트먼트에 조건을 더 추가하려면 **새 조건 추가**를 선택합니다. *조건 속성과 해당 연산자 및 유효한 값에 대한 자세한 내용은 [정책 스테이트먼트 조건](#filter-conditions) 참조를 참조하세요.*
   + [이메일 추가 기능](eb-addons.md)을 구독한 경우 여기에서 이메일 속성으로 선택할 수 있습니다.
   + IPv6 또는 듀얼 스택 수신 엔드포인트와 연결된 트래픽 정책은 IPv6 연결을 통해 수신된 메시지에 이메일 추가 기능 조건을 평가하거나 적용하지 않습니다. 이메일 추가 기능 조건은 듀얼 스택 엔드포인트의 IPv4 연결을 통해 수신된 메시지에만 적용됩니다.

1. 정책 스테이트먼트 및 조건을 더 추가하려면 위의 7\$19단계를 반복합니다.

1. 정책 스테이트먼트 및 해당 조건 생성을 완료했으면 **트래픽 정책 만들기**를 선택합니다.

1. **트래픽 정책** 페이지에서 이미 만든 트래픽 정책을 보고 관리할 수 있습니다. 제거하려는 트래픽 정책이 있는 경우 라디오 버튼을 선택한 다음 **삭제**를 선택합니다.

1. 트래픽 정책의 속성 또는 정책 스테이트먼트를 편집하려면 이름을 선택하여 개요 페이지를 열고, 여기에서 **편집**을 선택합니다.

1. **트래픽 정책 세부 정보**에서 최대 메시지 크기 및 기본 작업을 변경할 수 있습니다.

1. **정책 스테이트먼트** 컨테이너에서 허용/거부 속성을 변경하고 조건을 편집할 수 있습니다. 또한 정책 스테이트먼트 및 조건을 제거하고 새 정책 스테이트먼트 및 조건을 추가하는 것도 가능합니다.

1. 모든 편집을 마치면 **변경 사항 저장**을 선택하여 변경 내용을 저장합니다.

## 정책 스테이트먼트 조건에 대한 참조
<a name="eb-filters-reference"></a>

**정책 스테이트먼트 조건**  
다음 참조 표에는 정책 문 조건을 빌드하는 데 사용할 수 있는 모든 정책 문 속성이 나열되어 있습니다. 속성의 표현식 유형을 선택하면 해당 속성에 대해 사용 가능한 모든 연산자와 유효한 값을 나열하는 *SES Mail Manager API 참조*의 참조 페이지로 이동합니다.


**정책 설명 조건: 속성, 연산자 및 값**  

| 속성 | 표현식 유형 | 
| --- | --- | 
|  수신자 주소 Abusix Mail Intelligence[*(구독한 경우)*](eb-addons.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-filters.html) Spamhaus Domain Block List[*(구독한 경우)*](eb-addons.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-filters.html)  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_IngressStringExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_IngressStringExpression.html)  | 
|  발신자 IP 범위  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_IngressIpv4Expression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_IngressIpv4Expression.html)  | 
|  TLS 프로토콜 버전  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_IngressTlsProtocolExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_IngressTlsProtocolExpression.html)  | 
|  Abusix Mail Intelligence[*(구독한 경우)*](eb-addons.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-filters.html) Spamhaus Domain Block List[*(구독한 경우)*](eb-addons.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-filters.html)  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_IngressBooleanExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_IngressBooleanExpression.html)  | 

# 규칙 세트 및 규칙
<a name="eb-rules"></a>

규칙 세트는 수신 엔드포인트의 트래픽 정책에서 허용된 이메일에 대한 작업을 수행할 수 있도록 수신 엔드포인트에 할당하는 규칙의 컨테이너입니다. 규칙 세트는 여러 수신 엔드포인트에서 사용할 수 있습니다.

규칙은 메시지가 규칙의 조건을 충족할 때 규칙에 정의된 작업을 실행하여 수신 이메일을 처리하는 방법을 수신 엔드포인트에 알려줍니다. 각 규칙에는 여러 조건과 작업이 있을 수 있습니다. 규칙 세트 내에서 만드는 규칙은 규칙 세트 내에서 지정한 순서대로 실행됩니다.

규칙이 작업을 실행하기 전에 메시지와 일치해야 하는 입력 값에 대한 조건부 연산자와 이메일 속성을 선택하여 규칙의 조건을 작성합니다. 수행할 작업과 실행 순서를 정의합니다.

세분성을 높이기 위해 규칙에는 조건과 유사하게 정의된 예외도 포함될 수 있지만, 여기서는 메시지가 일치하지 *않아야* 하는 조건을 정의합니다. 조건 및 예외는 독립적으로 작동합니다. 원할 경우 예외뿐 아니라 혼합 조건 및 예외도 포함하는 규칙을 구성할 수 있습니다.

규칙 세트 내에서 규칙을 정의할 수 있는 방법이 세밀하게 세분화되어 있으므로, 규칙 세트 구성 요소의 관계를 설명하는 데 도움이 되도록 다음 목록이 제공됩니다.
+ **규칙 세트에는 다음이 포함됩니다.**
  + **규칙** - 규칙 세트 내에서 규칙이 실행되는 순서를 정의할 수 있습니다.

    **규칙에는 다음이 포함됩니다.**
    + **조건** - 메시지가 하나 이상의 조건 평가와 일치하는 경우 규칙이 적용됩니다. 규칙에 예외가 있는 경우 아래를 참조하세요.
    + **예외** - 메시지가 하나 이상의 예외 평가와 일치하지 않는 경우 규칙이 적용됩니다. 규칙에 조건이 있는 경우 위를 참조하세요.
    + **작업** - 규칙이 적용되면 작업이 트리거됩니다. 모든 조건이 일치하고 예외가 없습니다.

      규칙 내에서 작업이 실행되는 순서를 정의할 수 있습니다.

각 규칙에는 여러 가지 조건, 예외 및 작업이 있을 수 있으며 규칙과 작업이 실행되는 방식의 순서를 정의할 수 있습니다. 따라서 특정 비즈니스 요구 사항에 적합한 고도로 맞춤화되고 자동화된 이메일 처리 솔루션을 구축할 수 있습니다.

규칙 세트는 둘 이상의 수신 엔드포인트에서 사용할 수 있는 독립 리소스이지만, 규칙은 규칙이 만들어진 규칙 세트에만 속합니다. 따라서 수신 엔드포인트로 들어오는 이메일에 대해 조치를 취할 규칙을 만들려면 먼저 규칙 세트를 만들거나 기존 세트를 편집해야 합니다.

 다음 섹션의 절차는 SES 콘솔에서 규칙 세트 및 해당 규칙을 만드는 방법을 안내합니다.

## SES 콘솔에서 규칙 세트 및 규칙 만들기
<a name="eb-rules-create-console"></a>

다음 절차에서는 SES 콘솔의 **규칙 세트** 페이지를 사용하여 규칙 세트와 해당 규칙을 만들고 이미 만든 규칙 세트와 규칙을 관리하는 방법을 보여줍니다.

**콘솔을 사용하여 규칙 세트 및 규칙을 만들고 관리하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 왼쪽 탐색 패널의 **Mail Manager**에서 **규칙 세트**를 선택합니다.

1. **규칙 세트** 페이지에서 **규칙 세트 만들기**를 선택하고 규칙 세트의 고유한 이름을 입력합니다.

1. 규칙 세트의 개요 페이지에서 **편집**을 선택한 다음 편집 페이지에서 **새 규칙 만들기**를 선택합니다.

1. **규칙 세부 정보** 사이드바에 규칙의 고유한 이름을 입력합니다.

1. **새 조건 추가**를 선택하여 메시지와 일치해야 하는 조건을 만들거나, **다음의 경우 예외** 확인란을 선택한 다음 **새 예외 추가**를 선택하여 메시지가 일치하지 *않는* 조건을 만듭니다.

1. 입력한 값에 대한 이메일 속성과 조건부 연산자를 선택하여 조건 또는 예외를 작성합니다. 이 규칙에 조건이나 예외를 더 추가하려면 **새 조건 추가** 또는 **새 예외 추가**를 선택합니다. *조건 속성과 해당 연산자 및 유효한 값에 대한 자세한 내용은 [규칙 조건](#rule-conditions) 참조를 참조하세요.*
   + [이메일 추가 기능](eb-addons.md)을 구독한 경우 여기에서 이메일 속성으로 선택할 수 있습니다.

1. **새 작업 추가**를 선택하여 규칙 조건이 일치하거나 예외가 일치하지 않을 때 수행할 작업을 정의합니다. 수행할 작업을 더 추가하려면 **새 작업 추가**를 선택합니다. *둘 이상의 작업을 생성하면 실행 순서를 설정할 수 있도록 위쪽/아래쪽 화살표가 표시됩니다.*
**참고**  
이러한 [규칙 작업](#rule-actions)을 실행하려면 계정에서 해당 권한 정책을 활성화해야 합니다. 그러지 않으면 규칙 작업이 실패합니다.

1. 작업을 선택한 후 **규칙 세부 정보** 패널에서 이러한 작업에 대한 권한 정책을 직접 적용합니다.

   1. **IAM 역할** 필드에서 **새 역할 생성**을 선택하고 이름을 입력한 다음 **역할 생성**을 선택합니다. (이 역할에 대한 IAM 신뢰 정책은 백그라운드에서 자동으로 생성됩니다.)

   1. IAM 신뢰 정책이 자동으로 생성되었으므로 역할에 작업의 권한 정책만 추가하면 됩니다. **IAM 역할** 필드에서 **역할 보기**를 선택하여 IAM 콘솔을 엽니다.

   1. **권한** 탭에서 **권한 추가**를 선택하고 **인라인 정책 만들기**를 선택합니다.

   1. **권한 지정** 페이지의 **정책 편집기**에서 **JSON**을 선택합니다.

   1. [Mail Manager에 대한 권한 정책](eb-policies.md)에서 해당 정책을 복사하여 **정책 편집기**에 붙여넣고 빨간색 텍스트의 데이터를 자체 데이터로 바꿉니다. (편집기에서 예제 코드를 모두 삭제해야 합니다.)

   1. **다음**을 선택합니다.

   1. **정책 만들기**를 선택하여 IAM 역할에 대한 권한 정책을 검토하고 만듭니다.

   1. SES Mail Manager **규칙 세트 편집** 페이지가 열려 있는 브라우저의 탭을 선택하고 규칙을 만드는 나머지 단계를 계속합니다.

1. 규칙에 대한 조건, 예외 및 작업을 모두 만들면 왼쪽의 **규칙 세트 편집** 패널에 있는 **규칙 세트 저장**을 선택하여 규칙 세트에 저장합니다.

1. 규칙 세트에 규칙을 더 추가하려면 위의 4\$19단계를 반복합니다.
   + 둘 이상의 규칙을 만들면 실행 순서를 설정할 수 있도록 규칙 세트의 **재정렬** 열에 위/아래 화살표가 표시됩니다.

1. **규칙 세트** 페이지에서 이미 만든 규칙 세트를 보고 관리할 수 있습니다. 제거하려는 규칙 세트가 있는 경우 라디오 버튼을 선택한 다음 **삭제**를 선택합니다.

1. 규칙 세트를 편집하려면 이름을 선택하여 개요 페이지를 엽니다. 여기서 규칙 실행 순서를 재정렬하려면 **편집**을, 더 많은 규칙을 추가하려면 **새 규칙 만들기**를, 규칙을 삭제하려면 라디오 버튼과 **삭제**를 차례로 선택합니다.

1. 규칙을 편집하려면 라디오 버튼을 선택합니다. **규칙 세부 정보** 사이드바의 컨테이너에서 조건 또는 예외를 편집하고 작업을 변경하거나 재정렬할 수 있습니다. 조건, 예외 및 작업을 제거하고 새 조건, 예외 및 작업을 추가할 수도 있습니다.

1. 모든 편집을 마치면 왼쪽의 **규칙 세트 편집 패널에 있는 규칙 세트 저장**을 선택하여 변경 사항을 저장합니다. **** 

## 규칙 조건 및 작업에 대한 참조
<a name="eb-rules-reference"></a>

**규칙 조건**  
다음 참조 테이블에는 규칙 조건(또는 예외)을 구성하는 데 사용할 수 있고 표현식 유형별로 분류되는 모든 규칙 속성이 나열되어 있습니다. 같은 표현식 유형을 공유하는 규칙 속성은 동일한 연산자와 값도 공유합니다. 속성의 표현식 유형을 선택하면 해당 속성에 대해 사용 가능한 모든 연산자와 유효한 값을 나열하는 *SES Mail Manager API 참조*의 참조 페이지로 이동합니다.


**규칙 조건: 속성, 연산자 및 값**  

| 속성 | 표현식 유형 | 
| --- | --- | 
|  From 주소 To 주소 CC 주소 Mail from 수신자 주소 제목 Helo MIME 헤더 클라이언트 인증서 속성*(mTLS 수신 엔드포인트만 해당)* [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-rules.html) Vade Advanced Email Security[*(구독한 경우)*](eb-addons.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-rules.html) Trend Micro 바이러스 검사[*(구독한 경우)*](eb-addons.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-rules.html)  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleStringExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleStringExpression.html)  | 
|  IP 범위  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleIpExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleIpExpression.html)  | 
|  메시지 최대 크기  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleNumberExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleNumberExpression.html)  | 
|  DKIM SPF  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleVerdictExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleVerdictExpression.html)  | 
|  TLS 래핑된 TLS 수신 확인 Vade Advanced Email Security[*(구독한 경우)*](eb-addons.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-rules.html) Trend Micro 바이러스 검사[*(구독한 경우)*](eb-addons.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-rules.html)  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleBooleanExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleBooleanExpression.html)  | 
|  DMARC 정책  |  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleDmarcExpression.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RuleDmarcExpression.html)  | 

**규칙 작업**  
다음 참조 테이블에는 규칙의 조건이 충족되거나 예외가 충족되지 않을 때 수행할 수 있는 모든 규칙 작업이 나열되어 있습니다. 작업을 선택하면 작업에 대한 파라미터와 형식을 나열하는 *SES Mail Manager API 참조*의 작업 참조 페이지로 이동합니다. 테이블에서는 Mail Manager 콘솔에서 채택한 작업 이름을 사용합니다. API 이름은 약간 다를 수 있습니다.

**참고**  
일부 API 참조에는 작업이 실패할 경우 *계속* 또는 *삭제*로 설정할 수 있는 `ActionFailurePolicy` 파라미터가 있습니다. 이는 API를 사용할 때만 적용되며, 콘솔을 사용할 때는 `ActionFailurePolicy`가 *계속*의 기본값으로 설정됩니다.


**규칙 작업: 작업 및 파라미터**  

| 작업 및 해당 파라미터 | 설명 | 
| --- | --- | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_S3Action.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_S3Action.html)  |  이메일의 MIME 콘텐츠를 S3 버킷에 기록합니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RelayAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_RelayAction.html)  |  SMTP를 통해 이메일을 다른 특정 SMTP 서버로 릴레이합니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_ArchiveAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_ArchiveAction.html)  |  이메일을 Amazon SES 아카이브에 전달하여 아카이브합니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_AddHeaderAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_AddHeaderAction.html)  |  수신한 이메일에 맞춤 헤더를 추가합니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_ReplaceRecipientAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_ReplaceRecipientAction.html)  |  이메일 봉투 수신자를 지정된 수신자 목록으로 바꿉니다. 이 작업의 조건이 수신자 하위 집합에만 적용되는 경우 해당 수신자만 대체됩니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_DeliverToMailboxAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_DeliverToMailboxAction.html)  |  Amazon WorkMail 메일박스로 이메일을 전송합니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_DeliverToQBusinessAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_DeliverToQBusinessAction.html)  |  Amazon Q Business 애플리케이션에 이메일을 전송하여 지식 기반으로 수집합니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_SnsAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_SnsAction.html)  |  Amazon SNS 주제에 이메일 콘텐츠를 게시합니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_SendAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_SendAction.html)  |  SES를 사용하여 이메일의 수신자 목록에 있는 1명 이상의 수신자에게 이메일을 보냅니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_BounceAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_BounceAction.html)  |  발신자에게 반송 메일 응답을 반환하여 이메일을 반송합니다.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_InvokeLambdaAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_InvokeLambdaAction.html)  |   AWS Lambda 함수를 호출하여 이메일을 처리합니다. Lambda 페이로드 형식은에 설명된 대로 Amazon SES 이메일 수신과 동일합니다[알림 내용](receiving-email-notifications-contents.md). 자세한 내용은 [사용 사례](receiving-email-action-lambda-example-use-cases.md) 단원을 참조하십시오. 코드 예제는 [Lambda 함수 예제](receiving-email-action-lambda-example-functions.md) 섹션을 참조하세요.  | 
|  [https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_DropAction.html](https://docs.aws.amazon.com/sesmailmanager/latest/APIReference/API_DropAction.html)  |  수신자가 여러 명인 이메일의 경우, 이 작업이 1명 이상의 수신자(전부는 아님)에 적용되면 해당 수신자가 이메일의 수신자 목록에서 삭제되고 나머지 수신자를 대상으로는 규칙이 계속 처리됩니다. 이 작업이 모든 수신자에게 적용되는 경우, 모든 수신자가 수신자 목록에서 삭제되어 이메일이 수신되지 않으므로 규칙 처리가 중지됩니다.  | 

# SMTP 릴레이
<a name="eb-relay"></a>

Mail Manager는 이메일 환경(예: Microsoft 365, Google Workspace 또는 온프레미스 Exchange)과 인터넷 사이에 배포되므로, Mail Manager는 SMTP 릴레이를 사용하여 Mail Manager에서 처리하는 수신 이메일을 이메일 환경으로 라우팅합니다. 또한, 최종 수신자에게 보내기 전에 아웃바운드 이메일을 다른 Exchange 서버나 타사 이메일 게이트웨이 등의 여타 이메일 인프라로 라우팅할 수 있습니다.

SMTP 릴레이는 이메일 인프라의 중요한 구성 요소이며, 규칙 세트에 정의된 규칙 작업으로 지정된 경우 서버 간에 이메일을 효율적으로 라우팅하는 역할을 합니다.

특히 SMTP 릴레이는 SES Mail Manager와 Exchange, 온프레미스 또는 타사 이메일 게이트웨이 등의 외부 이메일 인프라 간에 수신 이메일을 리디렉션할 수 있습니다. 수신 엔드포인트로 들어오는 이메일은 특정 이메일을 지정된 SMTP 릴레이로 라우팅하는 규칙에 의해 처리되며, 그러면 지정된 이메일이 SMTP 릴레이에 정의된 외부 이메일 인프라로 전달됩니다.

수신 엔드포인트에 이메일이 수신되면 트래픽 정책을 사용하여 어떤 이메일을 차단하거나 허용할지 결정합니다. 여기서 허용하는 이메일은 조건부 규칙을 적용하여 특정 유형의 이메일에 대해 정의한 작업을 실행하는 규칙 세트로 전달됩니다. 정의할 수 있는 규칙 작업 중 하나는 *SMTPRelay 작업*입니다. 이 작업을 선택하면 이메일이 SMTP 릴레이에 정의된 외부 SMTP 서버로 전달됩니다.

예를 들어, *SMTPRelay 작업*을 사용하여 수신 엔드포인트에서 온프레미스 Microsoft Exchange Server로 이메일을 보낼 수 있습니다. 특정 자격 증명만 사용하여 액세스할 수 있는 *퍼블릭* SMTP 엔드포인트를 가지도록 Exchange 서버를 설정합니다. SMTP 릴레이를 만들 때 Exchange 서버의 서버 이름, 포트, 자격 증명을 입력하고 SMTP 릴레이에 고유한 이름, 즉 'RelayToMyExchangeServer'를 지정합니다. 그런 다음 수신 엔드포인트의 규칙 세트에 "*From 주소*에 *'gmail.com'*이 포함된 경우, *RelayToMyExchangeServer*라는 SMTP 릴레이를 사용하여 *SMTPRelay 작업*을 수행합니다."라는 규칙을 만듭니다.

**참고**  
프라이빗 SMTP 엔드포인트는 지원되지 않으므로 Amazon SES SMTP 릴레이로 구성하는 모든 SMTP 엔드포인트는 퍼블릭이어야 합니다.

*gmail.com*의 이메일이 수신 엔드포인트에 도착하면, 이 규칙에 따라 *SMTPRelay 작업*이 트리거되고 SMTP 릴레이를 만들 때 제공한 자격 증명을 통해 Exchange 서버에 연락하여 이메일을 Exchange 서버로 전달합니다. 따라서 *gmail.com*에서 수신한 이메일은 Exchange 서버로 *릴레이*됩니다.

먼저 SMTP 릴레이를 만든 다음 규칙 작업을 지정해야 합니다. 다음 섹션의 절차에서는 SES 콘솔에서 SMTP 릴레이를 만드는 방법을 안내합니다.

## SES 콘솔에서 SMTP 릴레이 만들기
<a name="eb-relay-create-console"></a>

다음 절차에서는 SES 콘솔의 **SMTP 릴레이** 페이지를 사용하여 SMTP 릴레이를 만들고 이미 만든 SMTP 릴레이를 관리하는 방법을 보여줍니다.

**콘솔을 사용하여 SMTP 릴레이를 만들고 관리하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 왼쪽 탐색 패널의 **Mail Manager**에서 **SMTP 릴레이**를 선택합니다.

1. **SMTP 릴레이** 페이지에서 **SMTP 릴레이 만들기**를 선택합니다.

1. **SMTP 릴레이 만들기** 페이지에서 SMTP 릴레이의 고유한 이름을 입력합니다.

1. 인바운드(미인증) 또는 아웃바운드(인증) SMTP 릴레이를 구성할지에 따라 해당 지침을 따릅니다.

------
#### [ Inbound ]

**인바운드 SMTP 릴레이를 구성하려면**

   1. SMTP 릴레이를 인바운드 게이트웨이로 사용하여 Mail Manager에서 처리하는 수신 이메일을 외부 이메일 환경으로 라우팅하는 경우 먼저 이메일 호스팅 환경을 구성해야 합니다. 모든 이메일 호스팅 공급자는 고유한 GUI 및 구성 워크플로를 가지고 있지만, Mail Manager SMTP 릴레이와 같은 인바운드 게이트웨이에서 작동하도록 구성하는 보안 주체는 비슷합니다.

      이를 설명하기 위해 다음 섹션에서 SMTP 릴레이를 인바운드 게이트웨이로 사용하도록 Google Workspaces 및 Microsoft Office 365를 구성하는 방법에 대한 예를 제공했습니다.
      + [Google Workspaces 설정](#eb-relay-inbound-google)
      + [Microsoft Office 365 설정](#eb-relay-inbound-ms365)
**참고**  
의도한 수신자 대상이 SES 확인 이메일 ID인지 확인합니다. 예를 들어 수신자 *abc@example.com*, *admin@example.com*, *postmaster@acme.com* 및 *support@acme.com*에 이메일을 전송하려면 SES에서 `example.com` 및 `acme.com` 도메인을 확인하는 것이 좋습니다. 수신자 대상이 확인되지 않으면 SES는 퍼블릭 SMTP 서버로 이메일을 전송하려고 시도하지 않습니다.

   1. 인바운드 게이트웨이와 함께 작동하도록 Google Workspaces 또는 Microsoft Office 365를 구성한 후 퍼블릭 SMTP 서버의 호스트 이름을 공급자에 해당하는 아래 값으로 입력합니다.
      + Google Workspaces: `aspmx.l.google.com`
      + Microsoft Office 365: `<your_domain>.mail.protection.outlook.com`

        점을 도메인 이름의 '-' 기호로 바꿉니다. 예를 들어, 도메인이 *acme.com*이면 `acme-com.mail.protection.outlook.com`을 입력합니다.

   1. 퍼블릭 SMTP 서버에 포트 번호 25를 입력합니다.

   1. 인증 섹션을 비워 둡니다. 보안 암호 ARN을 선택하거나 만들지 마세요.

------
#### [ Outbound ]

**아웃바운드 SMTP 릴레이를 구성하려면**

   1. 릴레이를 연결할 퍼블릭 SMTP 서버의 호스트 이름을 입력합니다.

   1. 퍼블릭 SMTP 서버의 포트 번호를 입력합니다.

   1. **보안 암호 ARN**에서 보안 암호 중 하나를 선택하여 퍼블릭 SMTP 서버에 대한 인증을 설정합니다. *이전에 생성한 보안 암호를 선택하는 경우 새 보안 암호를 만들려면 다음 단계에 표시된 정책이 포함되어 있어야 합니다.*
      + **새로 만들기**를 선택하여 새 보안 암호를 만들 수 있는 옵션을 표시합니다. AWS Secrets Manager 콘솔이 열리고 새 키를 계속 만들 수 있습니다.

      1. **보안 암호 유형**에서 **다른 유형의 보안 암호**를 선택합니다.

      1. **키/값 페어**에 다음 키와 값을 입력합니다.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/eb-relay.html)
**참고**  
두 키 모두에 대해 표시된 대로 `username` 및 `password`만 입력해야 합니다. 다르게 입력한 경우 인증이 실패합니다. 값에 사용자 이름과 암호를 각각 입력합니다.

      1. **새 키 추가**를 선택하여 **암호화 키에서 KMS 고객 관리형 키**(CMK)를 생성합니다. 그러면 AWS KMS 콘솔이 열립니다.

      1. **고객 관리형 키** 페이지에서 **키 생성**을 선택합니다.

      1. **키 구성** 페이지에 기본값을 유지하고 **다음**을 선택합니다.

      1. **별칭**(필요에 따라 설명 및 태그 추가 가능)에 키 이름을 입력하고 **다음**을 선택합니다.

      1. **키 관리자**에서 키를 관리할 수 있도록 허용할 사용자(본인 제외) 또는 역할을 선택한 후 **다음**을 선택합니다.

      1. **키 사용자**에서 키를 사용할 수 있도록 허용할 사용자(본인 제외) 또는 역할을 선택한 후 **다음**을 선택합니다.

      1. [KMS CMK 정책](eb-policies.md#eb-policies-relay-cmk)를 복사하고 쉼표로 구분된 추가 스테이트먼트로 추가하여 `"statement"` 수준의 **키 정책** JSON 텍스트 편집기에 붙여넣습니다. 리전 및 계정 번호를 자체 정보로 대체합니다.

      1. **마침**을 클릭합니다.

      1.  AWS Secrets Manager **새 보안 암호 저장** 페이지가 열려 있는 브라우저의 탭을 선택하고 **암호화 키** 필드 옆의 *새로 고침 아이콘*(원형 화살표)을 선택한 다음 필드 내부를 클릭하고 새로 만든 키를 선택합니다.

      1. **보안 암호 구성** 페이지의 **보안 암호 이름** 필드에 이름을 입력합니다.

      1. **리소스 권한**에서 **권한 편집**을 선택합니다.

      1. [보안 암호 리소스 정책](eb-policies.md#eb-policies-relay-secrets)를 복사하여 **리소스 권한** JSON 텍스트 편집기에 붙여넣고, 리전 및 계정 번호를 자체 정보로 대체합니다. (편집기에서 예제 코드를 모두 삭제해야 합니다.) 

      1. **저장**을 선택한 후, **다음**을 선택합니다.

      1. 필요에 따라 교체를 구성하고 **다음**을 선택합니다.

      1. 새 보안 암호를 검토하고 **저장**을 선택하여 저장합니다.

      1. SES **SMTP 릴레이 생성** 페이지가 열려 있는 브라우저의 탭을 선택하고 **목록 새로 고침**을 선택한 다음, **보안 암호 ARN**에서 새로 만들어진 보안 암호를 선택합니다.

------

1. **SMTP 릴레이 만들기**를 선택합니다.

1. **SMTP 릴레이** 페이지에서 이미 만든 SMTP 릴레이를 보고 관리할 수 있습니다. 제거하려는 SMTP 릴레이가 있는 경우 라디오 버튼을 선택한 다음 **삭제**를 선택합니다.

1. SMTP 릴레이를 편집하려면 이름을 선택합니다. 세부 정보 페이지에서 해당 **편집** 또는 **업데이트** 버튼을 선택한 다음 **변경 사항 저장**을 선택하여 릴레이의 이름, 외부 SMTP 서버의 이름, 포트 및 로그인 자격 증명을 변경할 수 있습니다.

## 인바운드 (미인증) SMTP 릴레이에 대한 Google Workspaces 설정
<a name="eb-relay-inbound-google"></a>

다음 연습 예제에서는 Mail Manager 인바운드 (미인증) SMTP 릴레이에서 작동하도록 Google Workspaces를 설정하는 방법을 보여줍니다.

**사전 조건**
+ Google 관리자 콘솔([Google 관리자 콘솔](https://admin.google.com/) > 앱 > Google Workspace > Gmail)에 액세스합니다.
+ Mail Manager 설정에 사용할 도메인의 MX 레코드를 호스팅하는 도메인 이름 서버에 액세스합니다.

**인바운드 SMTP 릴레이에서 작동하도록 Google Workspaces를 설정하려면**
+ **인바운드 게이트웨이 구성에 Mail Manager IP 주소 추가**

  1. [Google 관리자 콘솔](https://admin.google.com/)에서 **앱 > Google Workspace > Gmail**로 이동합니다.

  1. **스팸, 피싱 및 맬웨어**를 선택한 다음 **인바운드 게이트웨이** 구성으로 이동합니다.

  1. **인바운드 게이트웨이**를 활성화하고 다음 세부 정보로 구성합니다.  
![\[인바운드 게이트웨이를 활성화하고 세부 정보로 구성합니다.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/GoogleWSInboundGateway.png)
     + **게이트웨이 IP**에서 **추가**를 선택하고 [SMTP 릴레이 IP 범위](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges) 테이블에서 리전별 수신 엔드포인트 IP를 추가합니다.
     + **외부 IP 자동 감지**를 선택합니다.
     + **위에 나열된 이메일 게이트웨이의 연결에 TLS 필요**를 선택합니다.
     + 대화 상자 하단에서 **저장**을 선택하여 구성을 저장합니다. 저장되면 관리자 콘솔에 **인바운드 게이트웨이**가 활성화된 것으로 표시됩니다.

## 인바운드 (미인증) SMTP 릴레이에 대한 Microsoft Office 365 설정
<a name="eb-relay-inbound-ms365"></a>

다음 연습 예제에서는 Mail Manager 인바운드 (미인증) SMTP 릴레이에서 작동하도록 Microsoft Office 365를 설정하는 방법을 보여줍니다.

**사전 조건**
+ Microsoft Security 관리 센터([Microsoft Security 관리 센터](https://security.microsoft.com/homepage) > 이메일 및 협업 > 정책 및 규칙 > 위협 정책)에 액세스합니다.
+ Mail Manager 설정에 사용할 도메인의 MX 레코드를 호스팅하는 도메인 이름 서버에 액세스합니다.

**인바운드 SMTP 릴레이에서 작동하도록 Microsoft Office 365를 설정하려면**

1. **허용 목록에 Mail Manager IP 주소 추가**

   1. [Microsoft Security 관리 센터](https://security.microsoft.com/homepage)에서 **이메일 및 협업 > 정책 및 규칙 > 위협 정책**으로 이동합니다.

   1. **정책**에서 **스팸 방지**를 선택합니다.

   1. **연결 필터 정책**을 선택한 다음 **연결 필터 정책 편집**을 선택합니다.
      + **다음 IP 주소 또는 주소 범위의 메시지 항상 허용** 대화 상자에서 [SMTP 릴레이 IP 범위](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges) 테이블의 리전별 수신 엔드포인트 IP를 추가합니다.
      + **저장**을 선택합니다.

   1. **스팸 방지** 옵션으로 돌아가 **스팸 방지 인바운드 정책**을 선택합니다.
      + 대화 상자 하단에서 **스팸 임계값 및 속성 편집**을 선택합니다.  
![\[인바운드 게이트웨이를 활성화하고 세부 정보로 구성합니다.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/MSO365AntiSpamInboundPolicy.png)
      + **스팸으로 표시**로 스크롤하여 **SPF 레코드: 하드 실패**가 **꺼짐**으로 설정되어 있는지 확인합니다.
      + **저장**을 선택합니다.

1. **향상된 필터링 구성(권장)**

   이 옵션을 사용하면 Microsoft Office 365가 SES Mail Manager에서 메시지를 수신하기 전에 원래 연결 IP를 올바르게 식별할 수 있습니다.

   1. **인바운드 커넥터 만들기**
      + 새 [Exchange 관리 센터](https://admin.exchange.microsoft.com/#/homepage)에 로그인하고 **메일 흐름** > **커넥터**로 이동합니다.
      + **커넥터 추가**를 선택합니다.
      + **다음에서 연결**에서 **파트너 조직**을 선택한 후 **다음**을 선택합니다.
      + 다음과 같이 필드를 입력합니다.
        + **이름** - Simple Email Service Mail Manager 커넥터
        + **설명** - 필터링용 커넥터   
![\[커넥터 추가.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/MSExAddConnector.png)
      + **다음**을 선택합니다.
      + **전송된 이메일 인증**에서 **전송 서버의 IP 주소가 파트너 조직에 속하는 다음 IP 주소 중 하나와 일치하는지 확인**을 선택하고 [SMTP 릴레이 IP 범위](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges) 테이블에서 리전별 수신 엔드포인트 IP를 추가합니다.  
![\[전송된 이메일 인증에서 전송 서버의 IP 주소가 파트너 조직에 속하는 다음 IP 주소 중 하나와 일치하는지 확인을 선택하고 다음 테이블에서 리전별 수신 엔드포인트 IP를 추가합니다.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/MSExAuthSentMail.png)
      + **다음**을 선택합니다.
      + **보안 제한**에서 기본 **TLS를 통해 이메일 메시지가 전송되지 않은 경우 이메일 메시지 거부** 설정을 수락하고 **다음**을 수락합니다.
      + 설정을 검토하고 **커넥터 만들기**를 선택합니다.

   1. **향상된 필터링 활성화**

      이제 인바운드 커넥터가 구성되었으므로, **Microsoft Security 관리 센터**에서 커넥터의 향상된 필터링 구성을 활성화해야 합니다.
      + [Microsoft Security 관리 센터](https://security.microsoft.com/homepage)에서 **이메일 및 협업 > 정책 및 규칙 > 위협 정책**으로 이동합니다.
      + **규칙**에서 **향상된 필터링**을 선택합니다.  
![\[위협 정책 내 규칙에서 향상된 필터링을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/MSO365ThreatPolicies.png)
      + 이전에 만든 **Simple Email Service Mail Manager 커넥터**를 선택하여 구성 파라미터를 편집합니다.
      + **마지막 IP 주소 자동 감지 및 건너뛰기**와 **전체 조직에 적용**을 모두 선택합니다.  
![\[이전에 만든 커넥터의 구성을 편집합니다.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/MSO365EditConnector.png)
      + **저장**을 선택합니다.

# 주소 목록
<a name="eb-addlist"></a>

주소 목록은 메시지의 수신자 또는 발신자가 특정 목록에 속하는지에 따라 수신 메일을 처리하기 위해 트래픽 정책 및 규칙 세트에 사용할 수 있는 이메일 주소 및 도메인 목록을 만들고 관리할 수 있는 Mail Manager 기능입니다. 주소 목록은 이메일 흐름을 더 세부적으로 제어하고 복잡한 이메일 라우팅 시나리오 관리를 간소화하는 데 도움이 됩니다.

## 주소 목록이란 무엇인가요?
<a name="what-are-address-lists"></a>

주소 목록은 이메일 메시지를 필터링하고 처리하는 데 사용할 수 있는 이메일 주소 및 도메인의 컨테이너입니다. 관련 주소를 그룹화하고 라우팅 규칙 및 트래픽 정책을 함께 적용하는 편리한 방법을 제공합니다.

주소 목록의 주요 사용 사례는 다음과 같습니다.
+ 알려진 스팸 발신자 또는 도메인 차단을 위한 거부 목록
+ 신뢰할 수 있는 발신자로부터의 전송을 보장하기 위한 허용 목록
+ 존재하지 않는 수신자에게 보내는 이메일을 조기에 거부하기 위한 수신자 검증
+ 수신자 역할에 따라 다양한 규칙을 적용하기 위한 역할 기반 라우팅
+ 특정 사용자 그룹에 정책을 적용하기 위한 그룹 기반 정책

## 주소 목록 작동 방식
<a name="how-address-lists-work"></a>

SES의 주소 목록은 이메일 주소 및 도메인 컬렉션을 만들고 유지 관리할 수 있도록 하여 이메일 관리를 간소화합니다. 생성된 목록은 트래픽 정책 및 규칙을 통해 이메일 워크플로에 통합됩니다.

SES는 이메일을 처리할 때 관련 주소 목록을 확인하여 발신자 또는 수신자가 구성원인지 확인합니다. 이 구성원 자격과 구성된 정책 및 규칙에 따라 SES는 이메일 라우팅, 필터링 또는 거부와 같은 적절한 작업을 수행합니다. 이 프로세스를 통해 이메일 트래픽을 효율적이고 세밀하게 제어할 수 있습니다.

## 주소 목록 설정
<a name="setting-up-address-lists"></a>

**Topics**
+ [주소 목록 만들기 및 채우기](#creating-address-lists)
+ [주소 목록 관리](#managing-address-lists)

### 주소 목록 만들기 및 채우기
<a name="creating-address-lists"></a>

콘솔에서 주소 목록을 만드는 과정의 일부는 하나 이상의 주소로 주소 목록을 채우는 것입니다. Mail Manager API를 사용하여 빈 주소 목록을 만들고 나중에 채울 수 있습니다. 이 섹션에서는 콘솔 절차와 AWS CLI 예제를 모두 사용하여 이 작업 중 하나를 수행하는 방법을 보여 줍니다.

**주소 목록 만들기 및 채우기:**

1. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)에서 SES 콘솔을 엽니다.

1. Mail Manager 아래의 탐색 패널에서 **주소 목록**을 선택합니다.

1. **주소 목록 생성**을 선택하고 **주소 목록 이름** 필드에 이름을 입력합니다.

1. **수동 입력** 또는 **대량 업로드**를 선택하고 해당 단계를 따릅니다.

1. **수동 입력의 경우** - 콘솔에 이메일 주소 또는 도메인을 하나 이상 입력합니다.

   별표(`*`) 와일드카드를 사용하는 경우 다음 형식이 적용됩니다.

   1. 주소에는 하나의 `*`만 허용됩니다.
      + 이메일 주소를 입력하는 경우 `*` 기호가 @ 앞 또는 뒤에 있어야 합니다.
      + `*`가 로컬 부분에 있는 경우 로컬 부분은를 제외하고 0\$119자일 수 있습니다`*`.
      + `*` 기호가 도메인에 있는 경우, 하위 도메인 수준은 `*` 기호를 제외하고 2\$19자일 수 있습니다.

   1. 유효한 와일드카드 형식의 예:
      + *\$1.domain1.com to \$1.domain8.domain7...domain1.com*
      + *\$1@domain.com에서 1234567890123456789\$1@domain.com으로*
      + *local@\$1.domain1.com to local@\$1.domain8.domain7...domain1.com*

1. **대량 업로드의 경우** - **파일 선택**을 선택하고 컴퓨터에서 업로드할 주소가 포함된 CSV 또는 JSON 파일을 선택합니다.

   각 파일 유형에 대해 예제에 표시된 형식을 사용합니다.

   1. CSV 파일 예제(헤더 `address`는 필수):

      ```
      address
      user1@domain.com
      user2@*.domain.com
      *@domain.com
      ```

   1. JSON 파일 예제:

      ```
      {
        "items": [
          {
            "address": "user1@domain.com"
          },
          {
            "address": "user2@*.domain.com"
          },
          {
            "address": "*@domain.com"
          }
        ]
      }
      ```

1. 주소 추가를 완료했거나 대량 파일을 선택한 후에는 **주소 목록 생성**을 선택합니다.

사용 AWS CLI:

**주소 목록 만들기**

```
aws mailmanager create-address-list --address-list-name "MyDenyList"
```

**주소 목록 채우기:**
+ **단일 업로드**

  ```
  aws mailmanager register-member-to-address-list \
                  --address-list-id al-123456789abc \
                  --address "user@example.com"
  ```
+ **대량 업로드**

  대량 업로드의 경우 먼저 CSV 또는 JSON 형식을 지정하는 가져오기 작업을 만들어야 합니다.

  ```
  aws mailmanager create-address-list-import-job \
                  --address-list-id "al-123456789abc" \
                  --name "MyImportJob" \
                  --import-data-format ImportDataType=CSV
  ```

  그러면 작업 ID와 미리 서명된 URL이 반환됩니다. curl 명령을 사용하여 다음 예제와 같이 이 미리 서명된 URL을 사용하여 CSV 또는 JSON 파일을 S3 버킷에 업로드합니다.

  ```
  curl -X PUT -T "/path/to/file" "pre-signed URL" 
  ```

  업로드한 후 이전 명령에서 반환된 작업 ID를 사용하여 가져오기 작업을 시작합니다.

  ```
  aws mailmanager start-address-list-import-job --job-id "job-123456789"
  ```

### 주소 목록 관리
<a name="managing-address-lists"></a>

필요에 따라 주소 목록을 업데이트, 확인 및 삭제할 수 있습니다.

**Topics**
+ [주소 목록 업데이트](#updating-address-lists)
+ [주소 목록 세부 정보 보기](#viewing-address-lists)
+ [주소 목록 삭제](#deleting-address-lists)

#### 주소 목록 업데이트
<a name="updating-address-lists"></a>

주소를 추가 또는 제거하고 선택적으로 태그를 추가 또는 제거하여 주소 목록을 업데이트할 수 있습니다.

**주소 목록 업데이트:**

1. **주소 목록** 페이지에서 편집하려는 주소 목록의 이름을 선택합니다.

1. 주소를 추가하려면 **이메일 주소 추가**를 선택하고 [주소 목록 만들기 및 채우기](#creating-address-lists)에 설명된 대로 수동 입력 또는 대량 업로드 방법을 진행합니다.

1. 주소를 제거하려면 제거하려는 각 주소 옆의 확인란을 선택한 다음 **이메일 주소 제거**를 선택하고 삭제를 확인합니다.

1. (선택 사항) **태그 관리**를 선택하여 주소 목록에서 **태그**를 추가하거나 제거합니다.

사용 AWS CLI:

**Add**

```
aws mailmanager register-member-to-address-list \
                --address-list-id al-123456789abc \
                --address "user@example.com"
```

**Remove**

```
aws mailmanager deregister-member-from-address-list \
                --address-list-id al-123456789abc \
                --address "user@example.com"
```

#### 주소 목록 세부 정보 보기
<a name="viewing-address-lists"></a>

주소 목록 세부 정보 보기:
+ **주소 목록** 페이지에서 주소 목록의 이름을 선택하여 세부 정보를 확인합니다.

사용 AWS CLI:

```
aws mailmanager list-members-of-address-list --address-list-id al-123456789abc
```

#### 주소 목록 삭제
<a name="deleting-address-lists"></a>

주소 목록 삭제:

1. **주소 목록** 페이지에서 삭제하려는 주소 목록 옆의 라디오 버튼을 선택한 다음 **삭제**를 선택합니다.

1. *확인*과 **삭제**를 차례로 입력하여 목록 삭제를 확인합니다.

사용 AWS CLI:

```
aws mailmanager delete-address-list --address-list-id al-123456789abc
```

## 트래픽 정책 및 규칙 세트에서 주소 목록 사용
<a name="using-address-lists-in-traffic-policies-and-rule-sets"></a>

주소 목록은 트래픽 정책 문과 규칙 조건에서 사용할 수 있으며, 목록 구성원 자격에 따라 이메일을 처리함으로써 이메일 흐름을 제어할 수 있습니다. 다음 섹션에서는 각 트래픽 정책 및 규칙 세트에 사용되는 주소 목록의 예제를 제공합니다.

**Topics**
+ [트래픽 정책 예제](#traffic-policy-example)
+ [규칙 세트 예제](#rule-set-example)

### 트래픽 정책 문에서 주소 목록 사용
<a name="traffic-policy-example"></a>

수신 엔드포인트로 들어오는 이메일을 허용하거나 거부하도록 트래픽 정책 문의 조건을 빌드할 때 주소 목록을 선택할 수 있습니다.

다음 콘솔 절차와 이에 AWS CLI 상응하는 절차는 수신자가 지정된 주소 목록에 있는 경우 수신 엔드포인트로 메시지를 허용하는 정책 설명을 생성하는 예를 보여줍니다.

**트래픽 정책 문에서 주소 목록을 사용하려면:**

1. [트래픽 정책 및 정책 스테이트먼트 만들기(콘솔)](eb-filters.md#eb-filters-create-console)에 설명된 대로 새 트래픽 정책을 만들거나 기존 트래픽 정책을 편집합니다.

1. **정책 문** 컨테이너에서 문 조건이 충족될 때 작업을 수행할 수 있도록 **허용**을 선택합니다.

1. 다음과 같이 문 조건을 빌드합니다.
   + **프로토콜** 필드에서 **수신자 주소**를 선택합니다.
   + **연산자** 필드에서 **주소 목록에 포함**을 선택합니다.
   + **값** 필드에서 주소 목록의 이름을 선택합니다.

1. 이것은 하나의 예제에 불과하지만, 사용 중인 어떤 주소 목록에도 다양한 연산자를 기반으로 하는 정책 조건을 추가할 수 있습니다.

사용 AWS CLI:

```
aws mailmanager create-traffic-policy \
  --default-action ALLOW \
  --traffic-policy-name "testpolicy" \
  --policy-statements '[{
    "Action": "ALLOW",
    "Conditions": [{
      "BooleanExpression": {
        "Evaluate": {
          "IsInAddressList": {
            "Attribute": "RECIPIENT",
            "AddressLists": [
              "arn:aws:ses:eu-west-3:123456789012:mailmanager-address-list/al-123456789abc"
            ]
          }
        },
        "Operator": "IS_TRUE"
      }
  }]
}]'
```

### 규칙에서 주소 목록 사용
<a name="rule-set-example"></a>

규칙 세트 중 하나에 사용되는 규칙의 조건을 빌드하여 규칙의 작업을 트리거할 때 주소 목록을 선택할 수 있습니다.

다음 콘솔 절차와 이에 AWS CLI 상응하는 절차는 수신자가 지정된 주소 목록에 있는 경우 삭제 작업을 호출하는 규칙을 생성하는 예를 보여줍니다.

**규칙 조건에서 주소 목록 사용:**

1. [규칙 세트 및 규칙 만들기(콘솔)](eb-rules.md#eb-rules-create-console)에 설명된 대로 새 규칙을 만들거나 기존 규칙을 편집합니다.

1. **규칙 조건** 컨테이너에서 다음과 같이 규칙의 조건을 빌드합니다.
   + **속성 선택** 필드에서 **수신자 주소**를 선택합니다.
   + **연산자 선택** 필드에서 **주소 목록에 포함**을 선택합니다.
   + **값** 필드에서 주소 목록의 이름을 선택합니다.

1. **작업** 컨테이너에서 **새 작업 추가**를 선택하고 **삭제 작업**을 선택합니다.

1. 이것은 하나의 예제에 불과하지만, 사용 중인 어떤 주소 목록에도 다양한 연산자를 기반으로 한 규칙 조건을 추가하여 다양한 작업을 수행할 수 있습니다.

사용 AWS CLI:

```
aws mailmanager create-rule-set \
  --rule-set-name "testruleset2" \
  --rules '[{
    "Name": "addresslist",
    "Conditions": [{
      "BooleanExpression": {
        "Evaluate": {
          "IsInAddressList": {
            "Attribute": "RECIPIENT",
            "AddressLists": [
              "arn:aws:ses:us-east-1:123456789012:mailmanager-address-list/al-123456789abc"
            ]
          }
        },
        "Operator": "IS_TRUE"
      }
    }],
    "Actions": [{
      "Drop": {}
    }]
  }]'
```

## 모범 사례 및 고려 사항
<a name="best-practices-and-considerations"></a>
+ 목록 크기에 유의하세요. 목록이 매우 크면 성능에 영향을 미칠 수 있습니다.
+ 주소 목록은 계정별로 다르며 동일한 AWS 계정 내에서만 사용할 수 있습니다.
+ 중첩 주소 목록은 현재 지원되지 않습니다.
+ 리전당 최대 100개의 주소 목록이 지원됩니다.
+ 주소 목록당 최대 10만 개의 주소가 지원됩니다.

# 이메일 아카이빙
<a name="eb-archiving"></a>

이메일 아카이빙은 수신 엔드포인트로 들어오는 사용자가 지정한 이메일 유형 또는 사용자가 구성 세트를 통해 보내는 이메일을 아카이빙할 수 있는 방법을 제공합니다. 또한 다양한 고급 검색 필터 세트와 결과를 내보낼 수 있는 기능을 통해 아카이빙된 메시지를 찾을 수 있는 방법을 제공합니다.

이메일 아카이빙은 영구적이고 안전한 장기 스토리지에 데이터를 저장하여 이메일을 저장하고 보호하며, 이메일을 빠르게 검색하고 아카이브할 수 있는 방법을 제공합니다. 메일박스 서버의 스토리지 요구 사항을 늘리지 않고 풀타임 엔터프라이즈 수준 아카이브를 제공합니다.

아카이브에는 전송된 이메일과 수신된 이메일의 조합이 포함될 수 있습니다.
+ **전송된 이메일 아카이브** - 아카이브 옵션이 활성화된 구성 세트를 통해 이메일을 전송(아웃바운드)하면 해당 구성 세트를 사용하여 전송된 모든 이메일이 지정한 이메일 아카이브에 아카이빙됩니다.
+ **수신된 이메일 아카이빙** – 수신 엔드포인트에 이메일이 수신되면 트래픽 정책을 사용하여 어떤 이메일을 차단하거나 허용할지 결정합니다. 여기서 허용하는 이메일은 조건부 규칙을 적용하여 특정 유형의 이메일에 대해 정의한 작업을 실행하는 규칙 세트로 전달됩니다. 정의할 수 있는 규칙 작업 중 하나는 *아카이브 작업*입니다. 이 작업을 선택하면 이메일이 사용자가 지정한 이메일 아카이브에 보관 처리됩니다.

규칙 작업 또는 구성 세트에서 지정하려면 먼저 아카이브를 생성해야 합니다. 다음 섹션의 절차에서는 SES 콘솔에서 아카이브를 만드는 방법을 안내합니다.

## Amazon SES 콘솔에서 이메일 아카이빙 사용
<a name="eb-archiving-console"></a>

SES 콘솔의 **이메일 아카이브** 페이지는 **아카이브 검색**, **검색 기록**, **내보내기 기록**, **아카이브 관리**라는 대화형 테이블 네 개로 구성되며, 이를 통해 아카이브에서 이메일을 검색하고, 결과를 내보내고, 아카이브를 관리할 수 있습니다. 다음 절차에서는 각 테이블에 대한 설명을 제공합니다.

****이메일 아카이브** 페이지를 사용하여 아카이브를 검색, 내보내기, 관리하는 방법**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 왼쪽 탐색 패널의 **Mail Manager**에서 **이메일 아카이브**를 선택합니다.

1. **이메일 아카이브** 페이지는 테이블 네 개로 구성되며, **아카이브 검색**, **검색 기록**, **내보내기 기록**, **아카이브 관리**입니다. 이러한 각 테이블과 관련된 설명은 아래에서 해당 탭을 선택해 확인하세요.

------
#### [ Search archive ]

**아카이브 검색**은 대화형 테이블로, 특정 이메일부터 광범위한 범주와 일치하는 많은 이메일에 이르기까지 모든 항목을 찾을 수 있는 세부 검색 기준을 제공해 주는 다양한 필터 및 날짜 모음으로 아카이브된 메시지를 검색하고 찾을 수 있습니다. 검색 기준과 일치하는 메시지는 개별로 다운로드하거나 S3 버킷으로 대량으로 내보낼 수 있습니다.

**아카이브된 이메일을 검색, 다운로드, 내보내는 방법**

1. **이메일 아카이브** 페이지에서 **아카이브 검색** 탭을 선택하여 **아카이브 검색** 테이블을 표시합니다.

1. **아카이브** 필드 내부를 클릭하고 목록에서 아카이브를 선택한 다음 **검색**을 선택하거나 다음 단계를 사용하여 검색을 구체화합니다.

1. **날짜 범위** 필드를 선택하여 검색의 날짜 범위 옵션을 펼칩니다.
   + **상대 범위**(기본값) - 원하는 일수에 해당하는 라디오 버튼을 선택하거나 시간 단위와 최대 30일의 날짜 단위를 선택하여 **사용자 지정 범위**를 선택합니다.
   + **절대 범위** - 최대 30일까지 **시작 날짜** 및 **종료 날짜***(필요한 경우 시간)*를 입력합니다.
**참고**  
 아카이브 내에서 검색은 한 번에 30일로 제한됩니다. 예를 들어 6월 1일부터 7월 31일까지 메시지를 검색하려면 다음과 같이 세 가지 검색으로 나누어야 합니다.  
6월의 30일
7월의 첫 30일
7월 31일
**상대 범위** 날짜의 경우 마지막 날은 자정에 종료됩니다. 예를 들어, *Last 7 days*(지난 7일)를 선택하면 일곱째 날은 어제 자정에 끝나는 날이 됩니다.

1. (선택 사항) **필터** 필드를 선택하여 *보내는 사람*, *받는 사람*, *참조*, *제목 줄*, *첨부 파일 있음* 필터 중에서 선택하고 다음 속성을 적용합니다.
   + 최대 10개의 필터를 만들 수 있습니다.
   + 필터를 클릭하여 편집하거나 **X**를 선택하여 제거할 수 있습니다.

1. **검색**을 선택하면 검색 기준과 일치하는 아카이브된 이메일이 **검색 결과** 테이블에 채워집니다.
   + **메시지 ID** 열은 기본적으로 숨겨져 있지만 기어 모양 아이콘을 선택해 메시지 테이블을 보는 방법을 사용자 지정하여 표시할 수 있습니다.
   + 실행하는 모든 검색은 고유한 검색 ID와 함께 자동으로 저장되며 **검색 기록** 테이블에 나열됩니다.

1. 메시지의 텍스트를 봉투 및 헤더 정보와 함께 보려면 메시지의 라디오 버튼을 선택한 다음 **세부 정보 보기**를 선택하여 **메시지 세부 정보** 사이드바를 엽니다.

1. 메시지의 로컬 파일을 만들려면 메시지의 라디오 버튼을 선택한 다음 **다운로드 메시지**를 선택합니다.

1. 필터링된 검색은 **S3로 내보내기**를 선택하여 Amazon S3 버킷에 저장할 수 있습니다.

   1. 사용하려는 S3 버킷의 URI를 알고 있는 경우 **S3 URI** 필드에 입력합니다. 정보를 모르는 경우 **S3 찾아보기**를 선택하고 S3 페이지에서 사용할 S3 버킷 및 폴더를 선택합니다.

   1. (선택 사항) KMS AWS KMS 키 ARN 필드에 자체 키를 입력하거나 **새 키 생성을** 선택하여 내보낸 메시지를 암호화할 수 있습니다. **** 그렇지 않으면 암호화가 대상 S3 버킷(없는 경우에도)에서 사용되는 모든 메서드로 설정됩니다.

   1. **내보내기**를 선택하면 필터링된 검색에서 찾은 모든 메시지가 선택한 S3 폴더에 개별 파일로 저장됩니다.

**참고**  
아카이브에 포함할 수 있는 메시지 수에는 제한이 없지만 검색 결과는 **검색 결과** 테이블에 1,000개 행으로 제한됩니다.

------
#### [ Search history ]

검색 기록이 이 테이블에 나열되어 있으므로 결과 세트를 복원하거나 이전에 만들어진 복잡한 필터 세트에 액세스할 수 있습니다. 또한 필터와 날짜를 편집하여 원래 검색을 기반으로 새 검색을 만들 수 있습니다. 모든 새 검색은 고유한 검색 ID와 함께 자동으로 저장되며 이 테이블에 나열됩니다.

**이전 검색을 보고 작업하는 방법**

1. **이메일 아카이브** 페이지에서 **검색 기록** 탭을 선택하여 **검색 기록** 테이블을 표시하면 상단에 가장 최근 검색을 포함하여 모든 아카이브된 이메일 검색 기록이 나열됩니다. *이 테이블은 처음 방문할 때 데이터가 로드됩니다. 탭을 전환하고 다시 돌아오면 새로 고침 아이콘을 사용하여 최신 데이터를 검색합니다.*

1. **아카이브** 필드 내부를 클릭하고 목록에서 아카이브를 선택합니다. 해당 아카이브에 속하는 모든 검색이 테이블에 채워집니다. 아래 단계에서 각 검색을 보고 더 많은 작업을 수행할 수 있습니다.

1. 이전 검색의 라디오 버튼을 선택한 다음 **검색 결과 보기**를 선택하여 원래 검색 결과를 복원합니다. **아카이브 검색** 페이지가 열리고 원래 검색에 사용된 필터 세트와 날짜 범위가 해당 기준에 따라 이전에 확인된 모든 메시지와 함께 표시됩니다. 다음 방법으로 원래 검색을 확장할 수 있습니다.
   + 날짜 범위와 필터를 수정한 다음 **검색**을 선택하여 새 검색을 만듭니다.
   + 수행하는 모든 새 검색은 고유한 검색 ID와 함께 자동으로 저장되며 **검색 기록** 테이블에 나열됩니다.

------
#### [ Export history ]

이 테이블에는 내보내기 기록이 나열되어 있으므로 S3 콘솔에서 내보내기 폴더의 내용에 쉽게 액세스할 수 있습니다.

**최근 내보내기를 보는 방법**

1. **이메일 아카이브** 페이지에서 **내보내기 기록** 탭을 선택하여 지난 30일 이내에 S3 버킷에 내보낸 모든 아카이브된 이메일 검색을 나열하는 **내보내기 기록** 테이블을 표시합니다. *이 테이블은 처음 방문할 때 데이터가 로드됩니다. 탭을 전환하고 다시 돌아오면 새로 고침 아이콘을 사용하여 최신 데이터를 검색합니다.*

1. 내보내기 상태가 *대기 중*, *전처리 중*, *처리 중*이면 **취소**를 선택하여 취소할 수 있습니다.

1. **S3 URI**를 선택하여 포함된 파일을 볼 수 있는 S3 콘솔에서 내보내기의 버킷 폴더를 엽니다.

------
#### [ Manage archives ]

이 테이블에는 새 아카이브를 만들거나, 특정 아카이브를 검색하고, 세부 정보를 보거나, 아카이브를 편집하거나, 아카이브를 삭제할 수 있는 옵션이 있는 아카이브가 나열되어 있습니다.

**아카이브를 만들고 관리하는 방법**

1. **이메일 아카이브** 페이지에서 **아카이브 관리** 탭을 선택하여 모든 이메일 아카이브를 나열하는 **아카이브** 테이블을 표시합니다. *이 테이블은 처음 방문할 때 데이터가 로드됩니다. 탭을 전환하고 다시 돌아오면 새로 고침 아이콘을 사용하여 최신 데이터를 검색합니다.*

1. 특정 아카이브를 검색하려면 **아카이브** 필드에 입력을 시작합니다.

1. 아카이브의 세부 정보를 보려면 **아카이브 이름** 열에서 해당 이름을 선택합니다.

1. 아카이브를 만들려면 **아카이브 만들기**를 선택합니다.

   1. **아카이브** 이름 필드에 고유한 이름을 입력합니다.

   1. (선택 사항) **보존 기간** 필드에서 보존 기간을 선택하여 기본 보존 기간인 180일을 재정의합니다.

   1. (선택 사항) KMS AWS KMS 키 ARN 필드에 자체 키를 입력하거나 **새 키 생성을** 선택하여 아카이브를 암호화할 수 있습니다. **** 

   **아카이브 만들기**를 선택합니다.

1. 이제 아카이브를 생성했으므로 [규칙 세트](eb-rules.md#eb-rules-create-console)에서 아카이브를 사용하여 수신된(인바운드) 이메일을 아카이빙하거나 [구성 세트](creating-configuration-sets.md#config-sets-create-console)에서 이를 지정하여 전송된(아웃바운드) 이메일을 아카이빙할 수 있습니다.

1. 아카이브를 편집하려면 라디오 버튼을 선택한 다음 **편집**을 선택합니다.

   1. **아카이브 이름** 필드에서 이름을 편집하거나 변경합니다.

   1. **보존 기간** 필드에서 보존 기간을 변경합니다.

   **아카이브 업데이트**를 선택합니다.

1. 아카이브를 삭제하려면 라디오 버튼을 선택한 다음 **삭제**를 선택합니다.

   1. **확인** 필드에 `delete`를 입력하고 **삭제**를 선택합니다.

     *아카이브* 테이블에서 아카이브 상태가 **삭제 보류 중**으로 전환되고 30일 후에 자동으로 삭제됩니다.

------

# 이메일 추가 기능
<a name="eb-addons"></a>

Email 추가 기능은 수신 엔드포인트에 허용하는 이메일 유형을 관리하고 특정 유형의 이메일에 대해 수행할 작업을 결정하는 데 사용할 수 있는 SES 승인 공급자의 전문 보안 도구 제품군입니다. 이러한 도구는 이메일 워크플로에 통합할 준비가 되어 있고 Mail Manager 콘솔에서 직접 활성화할 수 있는 인증된 보안 인텔리전스 및 적용 솔루션입니다.

이러한 추가 기능은 필요에 맞게 최적화되지 않을 수 있는 대규모 단일 제품 솔루션을 구매하는 대신 개별 사용 사례에 적합한 검증된 이메일 보안 솔루션 중에서 선택할 수 있는 유연성을 제공하며, 이는 사용한 만큼 요금이 부과될 수 있습니다. 이메일 추가 기능은 주요 위협 인텔리전스 및 보안 적용 기능을 워크로드별로 확장하므로 필요한 용량을 추측할 필요가 없습니다. 이러한 이점을 통해 이메일 보안 문제를 미리 대비하고 조직의 높은 서비스 표준을 유지하는 데 집중할 수 있습니다.

Mail Manager 콘솔에 있는 이메일 추가 기능 페이지에서 직접 각 추가 기능에 대해 자세히 알아볼 수 있으며, 콘솔에서 제품 설명, 주요 이점, 요금 정보에 액세스할 수 있습니다. 사용하려는 추가 기능을 결정하면 Mail Manager 콘솔에서 구독하기만 하면 됩니다. 구독하면 수신 엔드포인트로 허용되는 이메일을 결정할 때 트래픽 정책 조건으로 선택하거나 특정 이메일에 대해 수행할 작업을 결정하는 규칙 세트 조건으로 선택할 수 있습니다. 모든 추가 기능에 대한 기본 지원은에서 제공하며 Mail Manager 콘솔에서도 액세스할 AWS 수 있습니다.

다음 섹션의 절차에서는 Mail Manager 콘솔에서 이메일 추가 기능을 구독하는 방법을 안내합니다.

## Mail Manager 콘솔에서 이메일 추가 기능 구독
<a name="eb-addons-subscribe-console"></a>

다음 절차에서는 트래픽 정책 또는 규칙 세트에서 사용할 수 있도록 Mail Manager 콘솔의 **이메일 추가 기능** 페이지를 사용하여 추가 기능을 구독하는 방법을 보여줍니다.

**콘솔을 사용하여 이메일 추가 기능을 구독하는 방법**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 왼쪽 탐색 패널의 **Mail Manager**에서 **이메일 추가 기능**을 선택합니다.

1. **이메일 추가 기능** 페이지에서 추가 기능 카드의 제목을 선택하여 개요 페이지를 엽니다. 여기에서 기능, 주요 이점, 요금 정보를 자세히 알아볼 수 있습니다. 이 추가 기능을 사용하려면 **구독**을 선택합니다.
   + 제시된 **이용 약관**을 읽고 **동의함** 상자를 선택한 다음 **구독**을 선택합니다.

1. 추가 기능을 구독하면 수신 엔드포인트에 이메일을 거부하거나 허용하는 트래픽 정책 조건 또는 규칙 세트 조건으로 선택하여 적격 메시지에 대해 수행할 작업을 결정하여 이메일 워크플로에 통합할 수 있습니다.

   다음 예제에서는 정책 스테이트먼트 조건 및 규칙 조건에서 추가 기능을 사용하는 방법을 보여줍니다.

    

**추가 기능을 사용한 트래픽 정책 예제**  
정책 스테이트먼트 조건에서 **Spamhaus Domain Block List** 추가 기능을 사용하여 Spamhaus에 나열된 도메인에서 시작된 수신 엔드포인트로 들어오는 이메일을 차단합니다.  
![\[정책 스테이트먼트 조건에서 Spamhaus Domain Block List 추가 기능을 사용하여 수신 엔드포인트로 들어오는 이메일을 차단합니다.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/SpamhausAddOnPolicyStmnt.png)

   이메일 추가 기능을 사용하여 트래픽 정책을 만들고 정책 스테이트먼트 조건을 빌드하는 방법에 대한 자세한 내용은 [SES 콘솔에서 트래픽 정책 및 정책 스테이트먼트 만들기](eb-filters.md#eb-filters-create-console) 섹션을 참조하세요.

**추가 기능을 사용한 규칙 조건 예제**  
규칙 조건에서 **Trend Micro 바이러스 검사** 추가 기능을 사용하여 바이러스 검사를 통과하는 이메일에 대한 규칙 작업을 결정합니다.  
![\[규칙 조건에서 Trend Micro 바이러스 검사 추가 기능을 사용하여 바이러스 검사를 통과하는 이메일에 대한 규칙 작업을 결정합니다.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/TrendMicroAddOnRule.png)

   이메일 추가 기능을 사용하여 규칙 세트를 만들고 규칙 조건을 작성하는 방법에 대한 자세한 내용은 [SES 콘솔에서 규칙 세트 및 규칙 만들기](eb-rules.md#eb-rules-create-console) 섹션을 참조하세요.

1. 구독 중인 추가 기능에 대한 일반 세부 정보를 보거나 지원에 액세스하려면 **이메일 추가 기능** 페이지에서 이름을 선택하여 개요 페이지를 엽니다.
   + **일반 세부 정보**에서 구독 날짜 및 추가 기능의 Amazon 리소스 이름(ARN)을 볼 수 있습니다.
   + **지원** 탭을 선택하여 AWS 지원으로 연결되는 링크에 액세스합니다.

1. 추가 기능 구독을 해지하는 방법은 다음과 같습니다.

   1. 먼저 조건에 정의된 트래픽 정책 또는 규칙 세트에서 제거해야 합니다. 이렇게 하지 않으면 다음 구독 해지 단계를 진행할 수 없습니다.

   1. **이메일 추가 기능** 페이지에서 이름을 선택하여 개요 페이지를 연 다음 **구독 해지**를 선택합니다.

   1. **확인** 필드에 `confirm`을 입력하고 **구독 해지**를 선택합니다.

# Mail Manager에 대한 권한 정책
<a name="eb-policies"></a>

이 장에 나와 있는 정책은 Mail Manager의 모든 다양한 기능을 활용하는 데 필요한 정책에 대한 단일 참조 자료로 제공됩니다.

Mail Manager 기능 페이지에서는 기능을 활용하는 데 필요한 정책이 포함된 이 페이지의 각 섹션으로 연결되는 링크가 제공됩니다. 필요한 정책의 복사 아이콘을 선택하고 해당 기능 설명에 지시된 대로 붙여넣습니다.

다음 정책은 리소스 권한 정책 및 AWS Secrets Manager 정책을 통해 Amazon SES Mail Manager에 포함된 다양한 기능을 사용할 수 있는 권한을 부여합니다. 권한 정책을 처음 사용하는 경우 [Amazon SES 정책 구조](policy-anatomy.md) 및 [AWS Secrets Manager에 대한 권한 정책](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html)을 참조하세요.

## 수신 엔드포인트에 대한 권한 정책
<a name="eb-policies-ingress"></a>

이 섹션의 두 정책 모두 수신 엔드포인트를 만드는 데 필요합니다. 수신 엔드포인트를 만드는 방법과 이러한 정책을 사용하는 경우를 알아보려면 [SES 콘솔에서 수신 엔드포인트 만들기](eb-ingress.md#eb-ingress-create-console) 섹션을 참조하세요.

### 수신 엔드포인트에 대한 Secrets Manager 보안 암호 리소스 권한 정책
<a name="eb-policies-ingress-secrets"></a>

SES가 수신 엔드포인트 리소스를 사용하여 보안 암호에 액세스하도록 허용하려면 다음 Secrets Manager 보안 암호 리소스 권한 정책이 필요합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "Id",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ses.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "000000000000"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
                }
            }
        }
    ]
}
```

------

### 수신 엔드포인트에 대한 KMS 고객 관리형 키(CMK) 관련 키 정책
<a name="eb-policies-ingress-cmk"></a>

보안 암호에 고객 관리형 키(CMK)를 사용해야 합니다. SES가 보안 암호에 키를 사용하도록 허용하려면 KMS 키 정책 내에서 다음 명령문이 필요합니다.

```
{
    "Effect": "Allow",
    "Principal": {
        "Service": "ses.amazonaws.com"
    },
    "Action": "kms:Decrypt",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
            "aws:SourceAccount": "000000000000"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
        }
    }
}
```

### mTLS 트러스트 스토어에 대한 KMS 고객 관리형 키(CMK) 키 정책
<a name="eb-policies-ingress-mtls-cmk"></a>

고객 관리형 키(CMK)를 사용하여 mTLS 트러스트 스토어를 암호화하는 경우 SES가 키를 사용할 수 있도록 KMS 키 정책 내에 다음 명령문이 필요합니다.

```
{
    "Effect": "Allow",
    "Principal": {
        "Service": "ses.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "000000000000"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
        }
    }
}
```

## SMTP 릴레이에 대한 권한 정책
<a name="eb-policies-relay"></a>

SMTP 릴레이를 만들려면 이 섹션의 두 정책이 모두 필요합니다. SMTP 릴레이를 만드는 방법과 이러한 정책을 사용하는 경우를 알아보려면 [SES 콘솔에서 SMTP 릴레이 만들기](eb-relay.md#eb-relay-create-console) 섹션을 참조하세요.

### SMTP 릴레이에 대한 Secrets Manager 보안 암호 리소스 권한 정책
<a name="eb-policies-relay-secrets"></a>

SES가 SMTP 릴레이 리소스를 사용하여 보안 암호에 액세스하도록 허용하려면 다음 Secrets Manager 보안 암호 리소스 권한 정책이 필요합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Principal": {
                "Service": [
                    "ses.amazonaws.com"
                ]
            },
            "Resource": "*",
            "Condition": {
               "StringEquals": {
                   "aws:SourceAccount": "888888888888"
                },
               "ArnLike": {
                   "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*"
               }
           }
        }
    ]
}
```

------

### SMTP 릴레이에 대한 KMS 고객 관리형 키(CMK) 관련 키 정책
<a name="eb-policies-relay-cmk"></a>

SES가 보안 암호에 키를 사용하도록 허용하려면 KMS 키 정책 내에서 다음 명령문이 필요합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Principal": {
                "Service": "ses.amazonaws.com"
            },
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
                    "aws:SourceAccount": "000000000000"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*"
                }
            }
        }
    ]
}
```

------

## 이메일 아카이빙에 대한 권한 정책
<a name="eb-policies-archiving"></a>

**내보내기 아카이빙**  
IAM 자격 증명 호출에는 다음 IAM 정책에 의해 구성된 대상 S3 버킷에 대한 액세스 권한이 `StartArchiveExport` 있어야 합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::MyDestinationBucketName"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectTagging",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::MyDestinationBucketName/*"
        }
    ]
}
```

------

대상 버킷에 대한 S3 버킷 정책입니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ses.amazonaws.com"
            },
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::MyDestinationBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ses.amazonaws.com"
            },
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectTagging",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::MyDestinationBucketName/*"
        }
    ]
}
```

------

**참고**  
아카이빙은 [혼동된 대리 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-security-warning-restrict-access-to-service-principal)(aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, aws:SourceOrgPaths)를 지원하지 않습니다. 이는 Mail Manager의 이메일 아카이빙이 실제 내보내기를 시작하기 전에 먼저 직접 호출 ID가 [전달 액세스 세션](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 사용하여 내보내기 대상 버킷에 대한 쓰기 권한이 있는지 테스트하여 혼동된 대리자 문제를 방지하기 때문입니다.

**KMS CMK로 저장 시 암호화 아카이빙**  
IAM 자격 증명 호출 `CreateArchive` 및는 다음 정책을 통해 KMS 키 ARN에 액세스할 수 있어야 `UpdateArchive` 합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "kms:DescribeKey",
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-east-1:111122223333:key/MyKmsKeyArnID"
    }
}
```

------

KMS 키 정책에는 다음 명령문이 필요합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "ses.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ses.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## 규칙 작업을 실행할 수 있는 권한 및 신뢰 정책
<a name="eb-policies-rule-action"></a>

SES 규칙 실행 역할은 규칙 실행에 AWS 서비스 및 리소스에 액세스할 수 있는 권한을 부여하는 AWS Identity and Access Management (IAM) 역할입니다. 규칙 세트에서 규칙을 생성하기 전에 필요한 AWS 리소스에 대한 액세스를 허용하는 정책을 사용하여 IAM 역할을 생성해야 합니다. 규칙 작업을 실행할 때 SES가 이 역할을 맡습니다. 예를 들어 규칙 조건이 충족될 때 수행할 규칙 작업으로 S3 버킷에 이메일 메시지를 쓸 수 있는 권한이 있는 규칙 실행 역할을 만들 수 있습니다.

따라서 이 섹션의 개별 권한 정책 *외에도* 각 특정 규칙 작업을 실행하는 데 필요한 다음과 신뢰 정책이 필요합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "ses.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
          "StringEquals": {
                   "aws:SourceAccount": "888888888888"
          },
          "ArnLike": {
             "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*"
          }
        }
      }
    ]
  }
```

------

**Topics**
+ [S3에 쓰기 정책](#eb-policies-s3)
+ [메일박스로 전송 정책](#eb-policies-workmail)
+ [인터넷으로 전송 정책](#eb-policies-internet)
+ [Q Business로 전송 정책](#eb-policies-q)
+ [SNS에 게시 정책](#eb-policies-sns)
+ [반송 정책](#eb-policies-bounce)
+ [Lambda 함수 정책 호출](#eb-policies-lambda)

### *S3에 쓰기* 규칙 작업에 대한 권한 정책
<a name="eb-policies-s3"></a>

IAM 역할이 수신된 이메일을 ** S3 버킷에 전달하는 S3에 쓰기** 규칙 작업을 사용하려면 다음 정책이 필요합니다. S3 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowPutObject",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::MyDestinationBucketName/*"
            ]
        },
        {
            "Sid": "AllowListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::MyDestinationBucketName"
            ]
        }
    ]
}
```

------

서버 측 암호화가 활성화된 S3 버킷에 AWS KMS 고객 관리형 키를 사용하는 경우 IAM 역할 정책 작업을 추가해야 합니다`"kms:GenerateDataKey*"`. 앞의 예제를 다시 사용하여 이 작업을 역할 정책에 추가하면 다음과 같이 표시됩니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowKMSKeyAccess",
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey*",
            "Resource": "arn:aws:kms:us-east-1:888888888888:key/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:ResourceAliases": [
                        "alias/MyKeyAlias"
                    ]
                }
            }
        }
    ]
}
```

------

 AWS KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [에서 키 정책 사용을 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 참조하세요.

### *메일박스로 전송* 규칙 작업에 대한 권한 정책
<a name="eb-policies-workmail"></a>

IAM 역할이 수신된 이메일을 Amazon WorkMail 계정으로 전송하는 **메일박스로 전송** 규칙 작업을 사용하려면 다음 정책이 필요합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": ["workmail:DeliverToMailbox"],
        "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>"
      }
    ]
  }
```

------

### *인터넷으로 전송* 규칙 작업에 대한 권한 정책
<a name="eb-policies-internet"></a>

IAM 역할이 수신된 이메일을 외부 도메인으로 보내는 **인터넷으로 전송** 규칙 작업을 사용하려면 다음 정책이 필요합니다.

**참고**  
SES ID가 기본 구성 세트를 사용하는 경우 다음 예제와 같이 구성 세트 리소스도 추가해야 합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": ["ses:SendEmail", "ses:SendRawEmail"],
        "Resource":[
        "arn:aws:ses:us-east-1:888888888888:identity/example.com",
        "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set"
        ]        
      }
    ]
  }
```

------

### *Q Business로 전송* 규칙 작업에 대한 권한 정책
<a name="eb-policies-q"></a>

수신된 이메일을 Amazon Q Business 인덱스로 전송하는 **Q Business로 전송** 규칙 작업을 사용하려면 다음 정책이 필요합니다.

역할에 필요한 IAM 정책:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccessToQBusiness",
            "Effect": "Allow",
            "Action": [
                "qbusiness:BatchPutDocument"
            ],
            "Resource": [
                "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID"
            ]
        }
    ]
}
```

------

KMS 키 정책에 필요한 문:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccessToKMSKeyForQbusiness",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Encrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:888888888888:key/*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
                    "kms:CallerAccount": "888888888888"
                 },
                 "ForAnyValue:StringEquals": {
                    "kms:ResourceAliases": [
                        "alias/MyKeyAlias"
                    ]
                }
            }
        }
    ]
}
```

------

 AWS KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [에서 키 정책 사용을 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 참조하세요.

### *SNS에 게시* 규칙 작업에 대한 권한 정책
<a name="eb-policies-sns"></a>

수신된 이메일을 Amazon SNS 주제에 전달하는 **SNS에 게시** 규칙 작업을 사용하려면 다음 정책이 필요합니다.

역할에 필요한 IAM 정책:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccessToSNSTopic",
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1:888888888888:MySnsTopic"
            ]
        }
    ]
}
```

------

KMS 키 정책에 필요한 문:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccessToKMSKeyForSNS",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Encrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:888888888888:key/*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
                    "kms:CallerAccount": "888888888888"
                 },
                 "ForAnyValue:StringEquals": {
                    "kms:ResourceAliases": [
                        "alias/MyKeyAlias"
                    ]
                }
            }
        }
    ]
}
```

------

 AWS KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [에서 키 정책 사용을 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 참조하세요.

### *반송 메일* 규칙 작업에 대한 권한 정책
<a name="eb-policies-bounce"></a>

IAM 역할이 발신자에게 **반송 메일** 응답을 반환하여 이메일을 반송하는 반송 메일 규칙 작업을 사용하려면 다음 정책이 필요합니다.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSendBounce",
            "Effect": "Allow",
            "Action": [
                "ses:SendBounce"
            ],
            "Resource": [
                "arn:aws:ses:us-east-1:123456789012:identity/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ses:FromAddress": "sender@example.com"
                }
            }
        }
    ]
}
```

### *Lambda 함수 호출* 규칙 작업에 대한 권한 정책
<a name="eb-policies-lambda"></a>

IAM 역할이 AWS Lambda 함수를 **호출하여 이메일을 처리하는 Lambda 함수 호출** 규칙 작업을 사용하려면 다음 정책이 필요합니다.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInvokeLambdaFunction",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:us-east-1:123456789012:function:MyFunction"
            ]
        }
    ]
}
```

# Mail Manager 로깅
<a name="eb-logging"></a>

Mail Manager 로깅은 Mail Manager 작업에 대한 자세한 가시성을 제공합니다. 로깅 기능은 수신 엔드포인트의 초기 수신부터 구성된 규칙 세트 및 규칙에 따른 메시지 처리까지의 메시지 흐름을 추적합니다.

Mail Manager는 다음 리소스에 대한 로깅을 제공합니다.
+ 수신 엔드포인트
+ 규칙 세트

Mail Manager는 Amazon CloudWatch Logs 서비스를 사용하여 로그를 전송하며 로그는 *CloudWatch Logs*, *Amazon S3* 또는 *Amazon Data Firehose* 대상 중 하나로 전송할 수 있습니다.

## Mail Manager 로그 전송 설정
<a name="setting-up-log-delivery"></a>

작동하는 로그 전송은 다음 세 가지 요소로 구성됩니다.
+ **DeliverySource** - 수신 엔드포인트 또는 규칙 세트 등 로그를 전송하는 리소스를 나타내는 논리적 객체입니다.
+ **DeliveryDestination** - 실제 전송 대상(CloudWatch Logs, S3 또는 Firehose)을 나타내는 논리적 객체입니다.
+ **전송** – 전송 소스를 전송 대상에 연결합니다.

이 섹션에서는 Mail Manager 로깅을 사용하는 데 필요한 권한과 함께 이러한 객체를 생성하는 방법을 설명합니다.

### 사전 조건
<a name="logging-prerequisites"></a>

Mail Manager 로깅을 설정하기 전에 다음을 완료했는지 확인합니다.

1. [수신 엔드포인트](eb-ingress.md) 또는 [규칙 세트](eb-rules.md)를 생성했습니다.

1. Mail Manager 리소스에서 전송 대상으로 로그를 보내는 데 필요한 CloudWatch Logs 및 SES Mail Manager 권한이 있습니다.

#### 필수 권한
<a name="logging-permissions"></a>

*Amazon CloudWatch Logs 사용 설명서*의 [추가 권한이 필요한 로깅[V2]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions-V2) 섹션에 설명된 대로 공급된 로그 권한을 설정하고 전송 대상에 해당하는 권한을 적용해야 합니다.
+ [CloudWatch Logs로 전송된 로그](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-V2-CloudWatchLogs)
+ [Amazon S3로 보낸 로그](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-V2-S3)
+ [Firehose로 전송된 로그](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-V2-Firehose)

또한 Mail Manager에서 로그 전송을 구성하려면 다음과 같은 사용자 권한이 필요합니다.
+ `ses:AllowVendedLogDeliveryForResource` - Mail Manager가 예제와 같이 특정 리소스에 대해 사용자를 대신하여 CloudWatch Logs에 로그를 전송할 수 있도록 허용하는 데 필요합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSesMailManagerLogDelivery",
            "Effect": "Allow",
            "Action": [
                "ses:AllowVendedLogDeliveryForResource"
            ],
            "Resource": [
            "arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/inp-xxxxx",
            "arn:aws:ses:us-east-1:111122223333:mailmanager-rule-set/rs-xxxx"
            ]
        }
    ]
}
```

------

### SES 콘솔에서 로깅 활성화
<a name="enable-logging-console"></a>

콘솔을 사용하여 Mail Manager 리소스에 대한 로깅 활성화:

1. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)에서 SES 콘솔을 엽니다.

1. 탐색 창의 **Mail Manager**에서 **수신 엔드포인트** 또는 **규칙 세트**를 선택하고 로깅에 활성화하려는 특정 리소스를 선택합니다.

1. 리소스의 세부 정보 페이지에서 **로그 전송 추가**를 확장하고 **CloudWatch Logs**, **S3** 또는 **Firehose**로 전송을 선택합니다.

1. 선택한 대상에 대한 **전송 추가** 대화 상자에서 프롬프트에 따라 대상 유형에 맞는 로그 전송 옵션을 구성합니다.

1. (선택 사항) **추가 설정**을 확장하여 레코드, 출력 형식, 필드 구분 기호 및 대상 유형과 관련된 기타 파라미터의 필드를 사용자 지정합니다.

### CloudWatch Logs API를 사용하여 로깅 활성화
<a name="enable-logging-api"></a>

CloudWatch Logs API를 사용하여 Mail Manager 리소스에 대한 로깅을 활성화하려면 다음을 수행해야 합니다.

1. [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html)를 사용하여 DeliverySource를 생성합니다.

1. [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html)을 사용하여 DeliveryDestination을 생성합니다.

1. [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html)를 사용하여 정확히 하나의 전송 소스와 하나의 전송 대상을 페어링하는 방법으로 전송을 생성합니다.

*Amazon CloudWatch Logs 사용 설명서*의 *추가 권한이 필요한 로깅[V2]* 섹션에서 특정 로깅 대상에 필요한 모든 권한이 포함된 IAM 역할 및 권한 정책의 예를 볼 수 있으며, *CloudWatch Logs*, *S3* 또는 [Firehose](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions-V2)와 같은 특정 로깅 대상 리소스에 대한 업데이트를 허용하는 등 로깅 대상에 대한 IAM 역할 및 권한 정책 예를 따를 수 있습니다.

**참고**  
DeliverySource를 생성할 때 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html#API_PutDeliverySource_RequestSyntax](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html#API_PutDeliverySource_RequestSyntax)은 수신 엔드포인트 ARN 또는 규칙 세트 ARN일 수 있습니다. DeliverySource에 따라 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html#API_PutDeliverySource_RequestSyntax](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html#API_PutDeliverySource_RequestSyntax)은 다음과 같을 수 있습니다.  
**수신 엔드포인트 ARN** – `APPLICATION_LOGS` 또는 `TRAFFIC_POLICY_DEBUG_LOGS`
**규칙 세트 ARN** - `APPLICATION_LOGS`

## 로그 해석
<a name="interpreting-logs"></a>

로그는 Mail Manager에서 처리되는 수신된 메시지의 흐름에 대한 추가 인사이트를 얻는 데 사용할 수 있습니다.

다음 예제에서는 각 리소스 및 로그 유형에 대한 로그의 다양한 필드를 자세히 설명합니다.

**Topics**
+ [수신 엔드포인트 로그 - `APPLICATION_LOGS`](#ingress-endpoint-logs-app)
+ [수신 엔드포인트 로그 - `TRAFFIC_POLICY_DEBUG_LOGS`](#ingress-endpoint-logs-traffic)
+ [규칙 세트 로그 - `APPLICATION_LOGS`](#rule-set-logs)

### 수신 엔드포인트 로그 - `APPLICATION_LOGS`
<a name="ingress-endpoint-logs-app"></a>

로그는 메시지별로 생성됩니다.

```
{
  "resource_arn": "arn:aws:ses:us-east-1:1234567890:mailmanager-ingress-point/inp-xxxxx",
  "event_timestamp": 1728562395042,
  "ingress_point_type": "OPEN" | "AUTH" | "MTLS",
  "ingress_point_name": "MyIngressPoint",
  "message_id": "0000llcki1jmushh817gr586f963a5inhkvnh81",
  "message_size_bytes": 100000,
  "rule_set_id": "rs-xxxx",
  "sender_ip_address": "1.2.3.4",
  "smtp_mail_from": "someone@domain.com",
  "smtp_helo": "domain.com",
  "tls_protocol": "TLSv1.2",
  "tls_cipher_suite": "TLS_AES_256_GCM_SHA384",
  "recipients": ["me@mydomain.com", "you@mydomain.com", "they@mydomain.com"],
  "ingress_point_metadata": {
       // Only applies to AUTH Ingress endpoint
       "password_version": "",
       "secrets_manager_arn": "",
       // Only applies to MTLS Ingress endpoint
       "client_certificate_details": {
           "common_names": ["mail.example.com"],
           "serial_number": "0A:DE:EB:89:42:FB:1C:67",
           "subject_alternative_names": ["mail.example.com", "smtp.example.com"],
           "issuer": "CN=Example CA,O=Example Corp,C=US",
           "not_before": "2025-01-15T00:00:00Z",
           "not_after": "2026-01-15T23:59:59Z"
       },
       "trust_store_monitoring": {
           "ca_invalid_or_near_expiry": [
               {
                   "subject": "CN=Example CA,O=Example Corp,C=US",
                   "not_before": "2023-06-01T00:00:00Z",
                   "not_after": "2025-05-15T23:59:59Z"
               },
               ...
           ],
           "crl_invalid_or_near_expiry": [
               {
                   "issuer": "CN=Example CA,O=Example Corp,C=US",
                   "this_update": "2025-03-01T00:00:00Z",
                   "next_update": "2025-04-01T00:00:00Z"
               },
               ...
           ]
       }
  }
}
```

**참고**  
로그는 수신 엔드포인트에서 수락한 메시지에 대해서만 생성됩니다. 수신되는 모든 메시지를 거부하는 수신 엔드포인트는 애플리케이션 로그를 게시하지 않습니다.

**참고**  
`trust_store_monitoring` 목록(`ca_invalid_or_near_expiry` 및 `crl_invalid_or_near_expiry`)은 각각 최대 10개의 항목을 반환합니다. “거의 만료됨”은 인증서 또는 CRL이 90일 이내에 만료됨을 의미합니다.

#### CloudWatch Logs Insights 쿼리 예제
<a name="ingress-endpoint-app-queries"></a>

sender@domain.com에서 메시지 쿼리:

```
fields @timestamp, @message, @logStream, @log
| filter smtp_mail_from like /sender@domain.com/
| sort @timestamp desc
| limit 10000
```

크기가 5,000바이트보다 큰 메시지 쿼리:

```
fields @timestamp, @message, @logStream, @log
| filter message_size_bytes > 5000
| sort @timestamp desc
| limit 10000
```

### 수신 엔드포인트 로그 - `TRAFFIC_POLICY_DEBUG_LOGS`
<a name="ingress-endpoint-logs-traffic"></a>

로그는 수신자별로 생성됩니다.

```
{
    "resource_arn": "arn:aws:ses:us-east-1:1234567890:mailmanager-ingress-point/inp-xxxxx",
    "event_timestamp": 1728562395042,
    "ingress_point_type": "OPEN" | "AUTH",
    "ingress_point_id": "inp-xxxx",
    "ingress_point_session_id": "xxxx",
    "traffic_policy_id": "tp-xxxx",
    "traffic_policy_evaluation": [
           // Array of policy evaluations
           {
                "action": "ALLOW" | "DENY",
                "conditions": [
                // Array of conditions
                {
                    "expression": {
                        "attribute": "RECIPIENT",
                        "operator": "CONTAINS",
                        "value": ["@domain.com", "@mydomain.com"]
                    },
                    "expressionResult": true | false
                }],
                "policyStatementMatched": true | false
            },
            // If no policy statement match then default action will be applied
            {
                "action": "ALLOW" | "DENY",
                "policyStatementMatched": true,
                "type": "DefaultAction",
                "scope": "Recipient"
            },
            // Only present if the email was too large according to the traffic policy
            {
                "action": "DENY",
                "allowedMessageSize": 41943040,
                "receivedMessageSize": 42495384,
                "scope": "Data"
            }
    ],
    "traffic_policy_verdict": "REJECT" | "ACCEPT",
    "sender_ip_address": "1.2.3.4",
    "smtp_mail_from": "someone@domain.com",
    "smtp_helo": "domain.com",
    "tls_protocol": "TLSv1.2",
    "recipient": "me@mydomain.com",
    "tls_cipher_suite": "TLS_AES_256_GCM_SHA384"
}
```

**참고**  
로그는 수락 또는 거부 여부에 관계없이 수신 엔드포인트에서 트래픽 정책에 의해 평가되는 모든 메시지에 대해 생성됩니다.
동일한 메시지(동일한 SMTP 대화 내)에 속하는 모든 수신자 트래픽 정책 평가는 공통된 `ingress_point_session_id`를 공유합니다. 이 ID는 메시지 수락 후까지 `message_id`를 사용할 수 없으므로 상관관계 식별자 역할을 합니다.
`traffic_policy_evaluation` 콘텐츠는 구성에 따라 다르며 결과가 결정되면 조기에 종료될 수 있습니다.

#### CloudWatch Logs Insights 쿼리 예제
<a name="ingress-endpoint-traffic-queries"></a>

sender@domain.com에서 메시지 쿼리:

```
fields @timestamp, @message, @logStream, @log
| filter smtp_mail_from like /sender@domain.com/
| sort @timestamp desc
| limit 10000
```

특정 `ingress_point_session_id`에 속하는 쿼리 메시지:

```
fields @timestamp, @message, @logStream, @log
| filter ingress_point_session_id = 'xxx'
| sort @timestamp desc
| limit 10000
```

거부된 메시지 쿼리:

```
fields @timestamp, @message, @logStream, @log
| filter traffic_policy_verdict = 'REJECT'
| sort @timestamp desc
| limit 10000
```

### 규칙 세트 로그 - `APPLICATION_LOGS`
<a name="rule-set-logs"></a>

로그는 작업당 메시지별로 생성됩니다. 즉, 규칙 세트의 규칙에서 작업이 메시지를 처리할 때마다 로그 레코드가 생성됩니다.

```
{
   "resource_arn": "arn:aws:ses:us-east-1:1234567890:mailmanager-rule-set/rs-xxxx",
   "event_timestamp": 1732298258254,
   "message_id": "0000llcki1jmushh817gr586f963a5inhkvnh81",
   "rule_set_name": "MyRuleSet",
   "rule_name": "MyRule",
   "rule_index": 1,
   "recipients_matched": ["recipient1@domain.com", "recipient2@domain.com"],
   "action_metadata": {
       "action_name": "WRITE_TO_S3" | "DROP" | "RELAY" | "DELIVER_TO_MAILBOX" | etc.,
       "action_index": 2,
       "action_status": "SUCCESS" | "FAILURE" | "IN_PROGRESS",
       "action_failure": "Access denied"
   }
}
```
+ `recipients_matched` - 작업이 수행되는 규칙의 조건과 일치하는 수신자입니다.
+ `rule_index` - 규칙 세트 내의 규칙 순서입니다.
+ `action_index` - 규칙 내 작업의 순서입니다.
+ `action_status` - 지정된 메시지에 대해 작업을 수행한 결과를 나타냅니다.
+ `action_failure` - 작업의 실패 세부 정보를 나타냅니다(작업이 실패할 때만 적용됨). 예를 들어, 제공된 역할에 작업을 수행할 수 있는 충분한 권한이 없는 경우입니다.

또한 규칙 조건이 메시지와 일치하지 않는 경우, 즉 메시지가 규칙에 의해 처리되지 않는 경우 단일 로그가 게시되어 메시지가 규칙 세트에 의해 처리되었지만 이에 대해 수행된 작업이 없음을 나타냅니다.

```
{
   "resource_arn": "arn:aws:ses:us-east-1:1234567890:mailmanager-rule-set/rs-xxxx",
   "event_timestamp": 1732298258254,
   "message_id": "0000llcki1jmushh817gr586f963a5inhkvnh81",
   "rule_set_name": "MyRuleSet",
   "rule_name": "MyRule",
   "rule_index": 1,
   "recipients_matched": [],
}
```

#### CloudWatch Logs Insights 쿼리 예제
<a name="rule-set-queries"></a>

특정 message-id에 대한 쿼리(규칙 세트를 통한 메시지 흐름 표시):

```
fields @timestamp, @message, @logStream, @log
| filter message_id = 'message-id-123'
| sort @timestamp desc
| limit 10000
```

실패한 WRITE\$1TO\$1S3 작업에 대한 쿼리:

```
fields @timestamp, @message, @logStream, @log
| filter action_metadata.action_name = 'WRITE_TO_S3'
    and action_metadata.action_status = 'FAILURE'
| sort @timestamp desc
| limit 10000
```

규칙 세트의 두 번째 규칙에 의해 처리되지 않은 메시지에 대한 쿼리(메시지가 규칙 조건을 충족하지 않음):

```
fields @timestamp, @message, @logStream, @log
| filter recipients_matched = '[]'
    and rule_index = 2
| sort @timestamp desc
| limit 10000
```