本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Mail Manager 的許可政策
本章中的政策提供做為使用 Mail Manager 所有不同功能所需政策的單一參考點。
在郵件管理員功能頁面中,提供的連結將帶您前往此頁面的相應區段,其中包含使用功能所需的政策。選取您所需政策的複製圖示,並依照個別功能敘述中的指示貼上。
下列政策可讓您透過資源許可政策和 AWS Secrets Manager 政策,使用 Amazon SES Mail Manager 中包含的不同功能。如果您是初次使用許可政策,請參閱 Amazon SES 政策結構和 的許可政策。 AWS Secrets Manager
傳入端點的許可政策
本節中的兩個政策都需要建立輸入端點。若要了解如何建立輸入端點以及在何處使用這些政策,請參閱 在 SES 主控台中建立輸入端點。
輸入端點的 Secrets Manager 秘密資源許可政策
需要下列 Secrets Manager 秘密資源許可政策,才能允許 SES 使用輸入端點資源存取秘密。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Id": "Id",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
]
}
輸入端點的 KMS 客戶受管金鑰 (CMK) 金鑰政策
需要下列 KMS 客戶受管金鑰 (CMK) 金鑰政策,才能允許 SES 在使用您的秘密時使用金鑰。
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
SMTP 轉送的許可政策
本節中的兩個政策都需要建立 SMTP 轉送。若要了解如何建立 SMTP 轉送以及使用這些政策的位置,請參閱 在 SES 主控台中建立 SMTP 轉送。
適用於 SMTP 轉送的 Secrets Manager 秘密資源許可政策
需要下列 Secrets Manager 秘密資源許可政策,才能允許 SES 使用 SMTP 轉送資源存取秘密。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Principal": {
"Service": [
"ses.amazonaws.com"
]
},
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*"
}
}
}
]
}
適用於 SMTP 轉送的 KMS 客戶受管金鑰 (CMK) 金鑰政策
需要下列 KMS 客戶受管金鑰 (CMK) 金鑰政策,才能允許 SES 在使用您的秘密時使用金鑰。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Principal": {
"Service": "ses.amazonaws.com"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*"
}
}
}
]
}
電子郵件封存的許可政策
封存匯出
IAM 身分呼叫StartArchiveExport必須能夠存取由下列政策設定的目的地 S3 儲存貯體:
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
這是目的地儲存貯體的政策。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
封存不支援混淆代理人條件索引鍵 (aws:SourceArn、aws:SourceAccount、aws:SourceOrgID 或 aws:SourceOrgPaths)。這是因為 Mail Manager 的電子郵件封存會先測試呼叫身分是否具有使用轉送存取工作階段寫入匯出目的地儲存貯體的許可,再開始實際匯出,以避免混淆代理人問題。
IAM 身分呼叫 CreateArchive和 UpdateArchive 必須能夠透過下列政策存取 KMS 金鑰 ARN:
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": {
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID"
}
}
這是電子郵件封存所需的 KMS 金鑰政策。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"ses.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
執行規則動作的許可和信任政策
SES 規則執行角色是 AWS Identity and Access Management (IAM) 角色,授予規則執行存取 AWS 服務和資源的許可。在規則集中建立規則之前,您必須使用允許存取所需 AWS 資源的政策來建立 IAM 角色。SES 在執行規則動作時擔任此角色。例如,您可以建立規則執行角色,其具有將電子郵件訊息寫入 S3 儲存貯體的許可,做為符合規則條件時要採取的規則動作。
因此,除了本節中執行每個特定規則動作所需的個別許可政策之外,還需要下列信任政策。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*"
}
}
}
]
}
寫入 S3 規則動作的許可政策
需要下列政策才能使用寫入 S3 規則動作,將收到的電子郵件傳送到 S3 儲存貯體。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "AllowPutObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName/*"
]
},
{
"Sid": "AllowListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName"
]
}
]
}
如果您針對已啟用伺服器端加密的 S3 儲存貯體使用 AWS KMS 客戶受管金鑰,則需要新增 IAM 角色政策動作 "kms:GenerateDataKey*"。使用上述範例,將此動作新增至您的角色政策會顯示如下:
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "AllowKMSKeyAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:us-east-1:888888888888:key/*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
如需將政策連接至 AWS KMS 金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在 中使用金鑰政策 AWS KMS。
傳遞至信箱規則動作的許可政策
需要下列政策才能使用交付至信箱規則動作,將收到的電子郵件交付至 Amazon WorkMail 帳戶。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": ["workmail:DeliverToMailbox"],
"Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>"
}
]
}
傳送至網際網路規則動作的許可政策
需要下列政策才能使用 傳送至網際網路 規則動作,將收到的電子郵件傳送至外部網域。
如果您的 SES 身分使用預設組態集,您也需要新增組態集資源,如下列範例所示。
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": ["ses:SendEmail", "ses:SendRawEmail"],
"Resource":[
"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set"
]
}
]
}
交付至 Q Business 規則動作的許可政策
需要下列政策才能使用交付至 Q Business 規則動作,將收到的電子郵件交付至 Amazon Q Business 索引。
Amazon Q Business 政策:
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "AllowAccessToQBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:BatchPutDocument"
],
"Resource": [
"arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID"
]
}
]
}
Amazon Q Business 的 KMS 政策:
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForQbusiness",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
如需將政策連接至 AWS KMS 金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在 中使用金鑰政策 AWS KMS。
發佈至 SNS 規則動作的許可政策
需要下列政策才能使用發佈至 SNS 規則動作,此動作會將收到的電子郵件傳送到 Amazon SNS 主題。
Amazon SNS 政策:
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "AllowAccessToSNSTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:888888888888:MySnsTopic"
]
}
]
}
Amazon SNS 的 KMS 政策:
- JSON
-
-
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForSNS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
如需將政策連接至 AWS KMS 金鑰的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在 中使用金鑰政策 AWS KMS。
