本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 透過 Amazon SES 使用傳送授權
您可以設定 Amazon SES 授權其他使用者使用他們自有的 Amazon SES 帳戶,從您所有的身分 (地址或網域) 中傳送電子郵件。藉助此*傳送授權*功能,您可維持對身分的控制,從而可隨時變更或撤銷許可。例如,如果您是公司負責人,您可以使用傳送授權來讓第三方 (例如電子郵件行銷公司) 從您所有的網域傳送電子郵件。
本章介紹了傳送授權的具體內容,這些授權取代了舊版跨帳戶通知功能。首先,您應該了解使用授權政策的身份型授權的基礎知識,如 [在 Amazon SES 中使用身分授權](identity-authorization-policies.md) 中所說明,其中包括授權政策結構,以及如何管理您的政策等重要主題。
## 跨帳戶通知舊版支援
針對與從委派寄件者傳送的電子郵件相關聯的退信、投訴和遞送的意見回饋通知 (委派寄件者經由身分擁有者授權,可從其中一個已驗證身分傳送電子郵件),傳統上都是使用跨帳戶通知進行設定,由委派寄件者為主題和其未擁有的身分 (此為跨帳戶身分) 建立關聯。但是,已使用與委派傳送相關聯的組態集和已驗證的身分取代跨帳戶通知,其中委派寄件者已由身分擁有者授權,可以使用其中一個已驗證的身分傳送電子郵件。此新方法允許透過以下兩種途徑靈活地設定退信、投訴、遞送和其他事件通知,端視您是委派寄件者或已驗證身分的擁有者而定:
+ **組態集** - 委派寄件者可以在自己的組態集中設定事件發佈,在從其未擁有 (但已由身分擁有者透過授權政策加以授權) 的已驗證身分傳送電子郵件時,便可以指定此組態集。事件發佈允許將退信、投訴、交付和其他事件通知發佈至 Amazon CloudWatch、Amazon Data Firehose、Amazon Pinpoint 和 Amazon SNS。請參閱 [建立事件目的地](event-destinations-manage.md)。
+ **已驗證身分** - 除了讓身分擁有者授權委派寄件者使用其中一個已驗證身分來傳送電子郵件之外,也可以應委派寄件者要求,設定共用身分的意見回饋通知,以使用委派寄件者所擁有的 SNS 主題。只有委派寄件者會收到這些通知,因為他們擁有 SNS 主題。請參閱步驟 14 以了解如何在授權政策程序中[設定「您未擁有的 SNS 主題」](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own)。
**注意**
為了相容性,您帳戶中目前使用的舊版跨帳戶通知會支援跨帳戶通知。此支援僅限於能夠修改和使用現已在 Amazon SES 傳統主控台中建立的跨帳戶通知;不過,您無法再建立*新的*跨帳戶通知。若要在 Amazon SES 新主控台中建立新的跨帳戶通知,請使用新的委派傳送方法:搭配使用組態集和[事件發佈](event-destinations-manage.md),或使用[透過您所擁有的 SNS 主題設定](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own)的已驗證身分。
**Topics**
+ [
## 跨帳戶通知舊版支援
](#sending-authorization-cross-account-sunsetting)
+ [
# Amazon SES 傳送授權概觀
](sending-authorization-overview.md)
+ [
# Amazon SES 傳送授權的身分擁有者任務
](sending-authorization-identity-owner-tasks.md)
+ [
# Amazon SES 傳送授權的委派寄件者任務
](sending-authorization-delegate-sender-tasks.md)
# Amazon SES 傳送授權概觀
本主題提供傳送授權程序的概觀,並解釋 Amazon SES 電子郵件傳送功能 (例如傳送配額和通知) 使用傳送授權的方式。
此章節將使用以下名詞:
+ **身分** - Amazon SES 使用者用於傳送電子郵件的電子郵件地址或網域。
+ **身分擁有者** - 已使用 [驗證身分](verify-addresses-and-domains.md) 中所說明的程序驗證電子郵件地址或網域所有權的 Amazon SES 使用者。
+ **委派寄件**者 – AWS 帳戶、 AWS Identity and Access Management (IAM) 使用者或透過授權政策授權的 AWS 服務,代表身分擁有者傳送電子郵件。
+ **傳送授權政策** - 您附加到身分的文件,用於指定誰可以為該身分傳送訊息,以及傳送的條件。
+ **Amazon Resource Name (ARN)** – 一種可唯一識別所有 AWS 服務中 AWS 資源的標準化方式。對於傳送授權,資源為身分擁有者授權委派寄件者使用的身分。其中一個 ARN 的範例是 *arn:aws:ses:us-east-1:123456789012:identity/example.com*。
## 傳送授權程序
傳送授權以傳送授權政策為基礎。若您希望讓委派寄件者代您傳送,您需要使用 Amazon SES 主控台或 Amazon SES API 來建立傳送授權政策,並將該政策與您的身分建立關聯。當委派寄件者嘗試代表您透過 Amazon SES 傳送電子郵件時,委派寄件者將在請求中或者電子郵件的標題中傳遞您的身分 ARN。
當 Amazon SES 收到傳送電子郵件的請求時,它會檢查您身分的政策 (若有),以確定您是否已授權委派寄件者來代表該身分傳送。若委派寄件者已獲得授權,Amazon SES 便會接受電子郵件;否則 Amazon SES 會傳回錯誤訊息。
下方圖表顯示傳送授權概念之間的高階關聯:
![\[傳送授權概觀\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/sending_authorization_overview.png)
傳送授權程序以下列步驟組成:
1. 身分擁有者會選取供委派寄件者使用的已驗證身分。(如果您尚未驗證任何身分,請參閱 [驗證身分](verify-addresses-and-domains.md)。)
**注意**
您為委派寄件者選擇的已驗證身分無法接受指派的[預設組態集](managing-configuration-sets.md#default-config-sets)。
1. 委派寄件者可讓身分擁有者知道他們想要用來傳送 AWS 的帳戶 ID 或 IAM 使用者 ARN。
1. 如果身分擁有者同意讓委派寄件者從其中一個擁有者的帳戶傳送,則擁有者會建立傳送授權政策,並使用 Amazon SES 主控台或 Amazon SES API 將該政策連接到所選身分。
1. 身分擁有者提供授權身分 ARN 給委派寄件者,讓委派寄件者可在電子郵件傳送時提供 ARN 給 Amazon SES。
1. 委派寄件者可以透過[事件發佈](monitor-using-event-publishing.md) (在委派傳送期間指定的組態集中啟用) 來設定退信和投訴通知。身分擁有者也可以將退信和投訴事件的電子郵件意見回饋通知設為傳送至委派寄件者的 Amazon SNS 主題。
**注意**
如果身分擁有者停用傳送事件通知,委派寄件者必須設定事件發佈,將退信和投訴事件發佈至 Amazon SNS 主題或 Firehose 串流。寄件者也必須將包含事件發佈規則的組態集套用到他們傳送的每封電子郵件。若身分擁有者或委派寄件者都沒有針對退信和投訴事件設定傳送通知的方法,則 Amazon SES 會自動透過電子郵件將事件通知傳送到電子郵件傳回路徑中的地址 (或是若沒有指定傳回路徑地址,則為來源欄位中的地址),即使身分擁有者停用電子郵件回饋轉送也一樣。
1. 委派寄件者在請求中或者電子郵件的標題中傳遞身分擁有者的身分 ARN,以嘗試代表身分擁有者透過 Amazon SES 傳送電子郵件。委派寄件者可使用 Amazon SES SMTP 界面或 Amazon SES API 傳送電子郵件。收到請求後,Amazon SES 會檢查任何連接到身分的政策,並在委派寄件者獲得授權使用指定的「寄件人」地址和「傳回路徑」地址時接受電子郵件;否則 Amazon SES 將傳回錯誤且不會接受訊息。
**重要**
委派寄件者 AWS 的帳戶必須從沙盒中移除,才能用來傳送電子郵件到未驗證的地址。
1. 若身分擁有者需要若要解除對委派寄件者的授權,身分持有者需要編輯傳送授權政策或者完全刪除政策。身分擁有者可使用 Amazon SES 主控台或 Amazon SES API 執行任一種動作。
如需有關身分持有者或委託寄件者可執行這些任務的方法之資訊,請分別參閱 [身分擁有者任務](sending-authorization-identity-owner-tasks.md) 或 [委派寄件者任務](sending-authorization-delegate-sender-tasks.md)。
## 電子郵件傳送功能的屬性
了解委派寄件者與身分擁有者的在 Amazon SES 電子郵件傳送功能 (例如每日傳送配額、退信與投訴、DKIM 簽署、回饋轉送以及其他功能) 中扮演的角色非常重要。屬性如下:
+ **傳送配額** - 從身分擁有者的身分傳出的電子郵件將計入委派寄件者的配額。
+ **退信和投訴** - 退信與投訴事件會記錄在委派寄件者的 Amazon SES 帳戶中,並可能因此影響委派寄件者的評價。
+ **DKIM 簽署** - 若身分擁有者已為身分啟用 Easy DKIM 簽署,所有從該身分寄出的電子郵件都會經過 DKIM 簽署,包括由委派寄件者傳送的電子郵件。只有身分擁有者能控制電子郵件是否需經 DKIM 簽署。
+ **通知** - 身分擁有者與委派寄件者皆可針對退信和投訴設定通知。電子郵件身分擁有者也可以啟用電子郵件回饋轉送。如需設定通知的詳細資訊,請參閱「[監控您的 Amazon SES 傳送活動](monitor-sending-activity.md)」。
+ **驗證** - 身分擁有者需負責 [驗證身分](verify-addresses-and-domains.md) 中的程序,以驗證他們擁有授權委派寄件者使用的電子郵件地址與網域。委託寄件者不需要特地為驗證授權驗證任何電子郵件地址或網域。
**重要**
委派寄件者 AWS 的帳戶必須從沙盒中移除,才能用來傳送電子郵件到未驗證的地址。
+ **AWS 區域** – 委派寄件者必須從驗證身分擁有者身分 AWS 的區域傳送電子郵件。提供委派寄件者權限的傳送授權政策必須連接到該區域內的身分。
+ **帳單** - 所有從委派寄件者帳戶傳送的訊息 (包含委派寄件者使用身分擁有者地址傳送的電子郵件) 都會計入委派寄件者的帳單。
# Amazon SES 傳送授權的身分擁有者任務
本節說明身分持有者在設定傳送授權時必須採取的步驟。
**Topics**
+ [
# 為 Amazon SES 傳送授權驗證身分
](sending-authorization-identity-owner-tasks-verification.md)
+ [
# 為 Amazon SES 傳送授權設定身分擁有者通知
](sending-authorization-identity-owner-tasks-notifications.md)
+ [
# 向 Amazon SES 傳送授權的委派寄件者取得資訊
](sending-authorization-identity-owner-tasks-information.md)
+ [
# 在 Amazon SES 中建立傳送授權政策
](sending-authorization-identity-owner-tasks-policy.md)
+ [
# 傳送政策範例
](sending-authorization-policy-examples.md)
+ [
# 提供身分資訊給 Amazon SES 傳送授權的委派寄件者
](sending-authorization-identity-owner-tasks-identity.md)
# 為 Amazon SES 傳送授權驗證身分
設定傳送授權的第一步即為證明委託寄件者用以傳送電子郵件的電子郵件地址或網域為您所擁有。驗證程序如 [驗證身分](verify-addresses-and-domains.md) 中所述。
您可以在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 的已驗證身分區段中檢查電子郵件地址或網域的狀態,或使用 `GetIdentityVerificationAttributes` API 操作來確認電子郵件地址或網域已驗證。
您必須提交請求,將您的帳戶從 Amazon SES 沙盒移除,您或委派寄件者才可以傳送電子郵件到未經驗證的電子郵件地址。如需詳細資訊,請參閱[請求生產存取權 (移出 Amazon SES 沙盒)](request-production-access.md)。
**重要**
委派寄件 AWS 帳戶 者的 必須先從沙盒中移除,才能用來向未驗證的地址傳送電子郵件。
如果您的帳戶位於沙盒中,您無法傳送至帳戶中未驗證的電子郵件地址,即使這些網域或電子郵件地址已在身分帳戶中驗證
# 為 Amazon SES 傳送授權設定身分擁有者通知
若您授權委派寄件者代表您傳送電子郵件,Amazon SES 會將那些電子郵件產生的所有退信或投訴計入委派寄件者的退信和投訴限制,而非您的限制。但是,若您的 IP 地址因為委派寄件者傳送的訊息而遭列於第三方防垃圾郵件 DNS 黑名單 (DNSBL) 上,您身分的評價便可能會因此受到損害。因此,若您是身分擁有者,建議您為您的所有身分設定電子郵件回饋轉送,包括您已授權用於委派傳送的身分。如需詳細資訊,請參閱[透過電子郵件接收 Amazon SES 通知](monitor-sending-activity-using-notifications-email.md)。
委派寄件者可以且必須針對您授權他們使用的身分,設定自己的退信和投訴通知。他們可以設定[事件發佈至 ](monitor-using-event-publishing.md),將退信和投訴事件發佈至 Amazon SNS 主題或 Firehose 串流。
若身分擁有者或委派寄件者都沒有針對退信和投訴事件設定傳送通知的方法,或是寄件者並未套用使用事件發佈規則的組態集,則 Amazon SES 會自動透過電子郵件將事件通知傳送到電子郵件傳回路徑中的地址 (或是若沒有指定傳回路徑地址,則為來源欄位中的地址),即使您停用電子郵件回饋轉送也一樣。下圖說明此程序。
![\[Flowchart showing notification paths for bounce/complaint events based on various settings.\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/feedback_forwarding.png)
# 向 Amazon SES 傳送授權的委派寄件者取得資訊
您的傳送授權政策必須指定至少一個*委託人*,這是您授予存取權的委派寄件者的實體,可讓對方代表您的其中一個已驗證身分進行傳送。對於 Amazon SES 傳送授權政策,委託人可以是委派寄件者的 AWS 帳戶或 AWS Identity and Access Management (IAM) 使用者 ARN AWS 或服務。
簡單的思路為*委託人* (委派寄件者) 是被授予者,而您 (身分擁有者) 是授權政策中的授予者,您要授予*允許*許可,供對方從您所擁有的*資源* (已驗證身分) 傳送任何電子郵件、電子郵件原始碼、範本電子郵件或大量範本電子郵件的組合。
如果您想要最佳的細微控制,請要求委派寄件者設定 IAM 使用者,讓只有一位委派寄件者能為您傳送電子郵件,而非委派寄件者 AWS 帳戶中的任何使用者。委派寄件者可在《*IAM 使用者指南*》中的[在您的 AWS 帳戶中建立 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html)裡找到設定 IAM 使用者的相關資訊。
向您的委派寄件者詢問 AWS 帳戶 ID 或 IAM 使用者的 Amazon Resource Name (ARN),以便您可以將其包含在傳送授權政策中。可告知您的委託寄件者前往 [提供資訊給身分擁有者](sending-authorization-delegate-sender-tasks-information.md) 取得此資訊的說明。如果委派寄件者是 AWS 服務,請參閱該服務的文件以判斷服務名稱。
以下範例政策說明身分擁有者為了授權委派寄件者從身分擁有者的資源進行傳送,所建立的政策中需要哪些基本元素。身分擁有者會進入 Verified identities (已驗證身分) 工作流程,然後在 Authorization (授權) 下使用政策產生器,以最簡單的形式建立下列基本政策,允許委派寄件者代表身分擁有者所擁有的資源進行傳送:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESSendEmail",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": [
"arn:aws:ses:us-east-1:444455556666:identity/bob@example.com"
],
"Condition": {}
}
]
}
```
------
以下圖例說明上述政策的主要元素及擁有者:
+ **Principal** (委託人) - 此欄位會填入委派寄件者的 IAM 使用者 ARN。
+ **Action** (動作) - 此欄位會填入身分擁有者允許委派寄件者從身分擁有者的資源執行的兩個 SES 動作 (`SendEmail` 和 `SendRawEmail`)。
+ **Resource** (資源) - 此欄位會填入身分擁有者授權委派寄件者從中進行傳送的已驗證資源。
# 在 Amazon SES 中建立傳送授權政策
如同在 [建立身分授權政策](identity-authorization-policies-creating.md) 中所說明,與在 Amazon SES 建立任何授權政策類似,若要授權委託寄件者使用您擁有的電子郵件地址或網域 (*身分*),您會建立已指定 SES 傳送 API 動作的政策,然後將該政策連接至該身分。
如需可在傳送授權政策中指定的 API 動作清單,請參閱 [政策專用的陳述式](policy-anatomy.md#identity-authorization-policy-statements) 表格中的 *Action* (動作) 列。
您可以使用政策產生器或建立自訂政策來建立傳送授權政策。針對任一種方法提供了建立傳送授權政策的特定程序。
**注意**
附加到電子郵件地址身分的傳送授權政策會優先於附加到其對應網域身分的政策。例如,如果您針對 *example.com* 建立不允許委派寄件者的政策,而針對 *sender@example.com* 建立允許委派寄件者的政策,則委派寄件者可以從 *sender@example.com* 傳送電子郵件,但不能從 *example.com* 網域上的任何其他地址傳送電子郵件。
如果您針對 *example.com* 建立允許委託寄件者的政策,而針對 *sender@example.com* 建立不允許委託寄件者的政策,則委託寄件者可以從 *example.com* 網域上的任何地址傳送電子郵件,但 *sender@example.com* 除外。
如果您不熟悉 SES 授權政策的結構,請參閱 [政策剖析](policy-anatomy.md)。
如果您授權的身分在次要區域中重複,做為[全域端點](global-endpoints.md)功能的一部分,您將需要在主要和次要區域中建立身分的傳送授權政策,以便委派寄件者具有在這兩個區域中使用此身分傳送的許可。
## 使用政策產生器建立傳送授權政策
您可以遵循以下步驟,以使用政策產生器建立傳送授權政策。
**若要使用政策產生器建立傳送授權政策**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的**組態**下,選擇**身分**。
1. 在 **Verified identities** (已驗證身分) 畫面的 **Identities** (身分) 容器中,選取您要授權委派寄件者代表您傳送的已驗證身分。
1. 選擇已驗證身份的**授權**標籤。
1. 在 **Authorization policies** (授權政策) 窗格中,選擇 **Create policy** (建立政策),然後從下拉式選單中選取 **Use policy generator** (使用政策產生器)。
1. 在 **Create statement** (建立陳述式) 窗格中,選擇 **Effect** (效果) 欄位中的 **Allow** (允許)。(如果您要建立政策來限制委派寄件者,請改為選擇 **Deny** (拒絕))。
1. 在 **Principals** (委託人) 欄位中,輸入委派寄件者與您分享的 *AWS 帳戶 ID* 或 *IAM 使用者 ARN*,以授權對方代表您的帳戶傳送此身分的電子郵件,然後選擇 **Add** (新增)。(如果您要授權多個委派寄件者,請針對每人重複此步驟)。
1. 在 **Actions** (動作) 欄位中,根據您要授權委派寄件者的各種傳送類型選取相應的核取方塊。
1. (選用) 如果您要對委派寄件者許可新增限定用的陳述式,請展開 **Specify conditions** (指定條件)。
1. 從 **Operator** (運算子) 下拉式選單中選取運算子。
1. 從 **Key** (金鑰) 下拉式選單中選取類型。
1. 根據您選取的金鑰類型,在 **Value** (值) 欄位中輸入金鑰值 (如果您想要新增更多條件,請選擇 **Add new condition** (新增條件),並針對各個額外條件重複此步驟)。
1. 選擇 **Save statement** (儲存陳述式)。
1. (選用) 如果您要對政策新增更多陳述式,請展開 **Create another statement** (建立其他陳述式),並重複步驟 6 - 10。
1. 選擇 **Next** (下一步),進入 **Customize policy** (自訂政策) 畫面,在 **Edit policy details** (編輯政策詳細資訊) 容器提供的欄位中變更或自訂政策的 **Name** (名稱) 與 **Policy document** (政策文件) 本身。
1. 選擇 **Next** (下一步),進入 **Review and apply** (檢閱並套用) 畫面,**Overview** (概觀) 容器會顯示您為委派寄件者授權的已驗證身分,以及此原則的名稱。**Policy document** (政策文件) 窗格中會呈現您剛才撰寫的實際政策,以及您新增的任何條件 - 請檢閱政策,如果正確無誤則選擇 **Apply policy** (套用政策) (如果您需要進行變更或修正,請選擇 **Previous** (上一步),在 **Edit policy details** (編輯政策詳細資訊) 容器中進行處理)。您剛建立的原則將允許您的委派寄件者代表您進行傳送。
1. (選用) 如果您的委派寄件者也想要使用他們擁有的 SNS 主題、在收到退信、投訴或電子郵件已遞送時接收意見回饋通知,您必須在此已驗證身分中設定他們的 SNS 主題 (您的委派寄件者必須與您共用他們的 SNS 主題 ARN)。選取 **Notifications** (通知) 索引標籤,然後選取 **Feedback notifications** (意見回饋通知) 容器中的 **Edit** (編輯):
1. 在 **Configure SNS topics** (設定 SNS 主題) 窗格的任一意見回饋欄位 (退信、投訴或遞送) 中,選取 **SNS topic you don’t own** (您未擁有的 SNS 主題),然後輸入委派寄件者所擁有並與您共用的 **SNS topic ARN** (SNS 主題 ARN) (只有您的委派寄件者才會收到這些通知,因為他們擁有 SNS 主題 - 您是身分擁有者,並不會收到這些通知)。
1. (選用) 如果您希望主題通知包含原始電子郵件的標頭,請在各種意見回饋類型的 SNS 主題名稱正下方勾選 **Include original email headers** (包含原始電子郵件標頭) 方塊。此選項僅適用於您將 Amazon SNS 主題指派至相關聯通知類型的情況。如需有關原始電子郵件標題內容的詳細資訊,請參閱 [通知內容](notification-contents.md) 中的 `mail` 物件。
1. 選擇**儲存變更**。您對通知設定所作的變動可能需要幾分鐘的時間才會生效。
1. (選用) 由於您的委派寄件者會收到退信和投訴的 Amazon SNS 主題通知,因此如果您不想收到此身分傳送的意見回饋,可以完全停用電子郵件通知。若要停用退信和投訴的電子郵件意見回饋,請在 **Notifications** (通知) 索引標籤的 **Email Feedback Forwarding** (電子郵件意見轉送) 容器中選擇 **Edit** (編輯),取消勾選 **Enabled** (已啟用) 方塊,然後選擇 **Save changes** (儲存變更)。遞送狀態通知現在只會傳送至委派寄件者所擁有的 SNS 主題。
## 建立自訂傳送授權政策
如果您要建立自訂傳送授權政策並連接至身分,有下列方法:
+ **使用 Amazon SES API** - 在文字編輯器中建立政策,然後使用 [Amazon Simple Email Service API 參考資料](https://docs.aws.amazon.com/ses/latest/APIReference/)中所述 `PutIdentityPolicy` API 來將政策連接至身分。
+ **使用 Amazon SES 主控台** - 在文字編輯器中建立政策,並將政策貼到 Amazon SES 主控台中的「自訂政策」編輯器,以將政策連接至身分。下方說明此方法操作程序。
**若要使用自訂政策編輯器來建立自訂傳送授權政策**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的**組態**下,選擇**身分**。
1. 在 **Verified identities** (已驗證身分) 畫面的 **Identities** (身分) 容器中,選取您要授權委派寄件者代表您傳送的已驗證身分。
1. 在您於上一步選取之已驗證身分的詳細資訊畫面中,選擇 **Authorization** (授權) 索引標籤。
1. 在 **Authorization policies** (授權政策) 窗格中,選擇 **Create policy** (建立政策),然後從下拉式選單中選取 **Create custom policy** (建立自訂政策)。
1. 在 **Policy document** (政策文件) 窗格中,貼上 JSON 格式的政策文字。您也可以使用政策產生器快速建立政策基本架構,然後可在此自訂其內容。
1. 選擇 **Apply Policy** (套用政策) (如果您需要修改自訂政策,只需在 **Authorization** (授權) 索引標籤下選取相應的核取方塊,選擇 **Edit** (編輯),然後在 **Policy document** (政策文件) 窗格中進行變更,隨後選擇 **Save changes** (儲存變更))。
1. (選用) 如果您的委派寄件者也想要使用他們擁有的 SNS 主題、在收到退信、投訴或電子郵件已遞送時接收意見回饋通知,您必須在此已驗證身分中設定他們的 SNS 主題 (您的委派寄件者必須與您共用他們的 SNS 主題 ARN)。選取 **Notifications** (通知) 索引標籤,然後選取 **Feedback notifications** (意見回饋通知) 容器中的 **Edit** (編輯):
1. 在 **Configure SNS topics** (設定 SNS 主題) 窗格的任一意見回饋欄位 (退信、投訴或遞送) 中,選取 **SNS topic you don’t own** (您未擁有的 SNS 主題),然後輸入委派寄件者所擁有並與您共用的 **SNS topic ARN** (SNS 主題 ARN) (只有您的委派寄件者才會收到這些通知,因為他們擁有 SNS 主題 - 您是身分擁有者,並不會收到這些通知)。
1. (選用) 如果您希望主題通知包含原始電子郵件的標頭,請在各種意見回饋類型的 SNS 主題名稱正下方勾選 **Include original email headers** (包含原始電子郵件標頭) 方塊。此選項僅適用於您將 Amazon SNS 主題指派至相關聯通知類型的情況。如需有關原始電子郵件標題內容的詳細資訊,請參閱 [通知內容](notification-contents.md) 中的 `mail` 物件。
1. 選擇**儲存變更**。您對通知設定所作的變動可能需要幾分鐘的時間才會生效。
1. (選用) 由於您的委派寄件者會收到退信和投訴的 Amazon SNS 主題通知,因此如果您不想收到此身分傳送的意見回饋,可以完全停用電子郵件通知。若要停用退信和投訴的電子郵件意見回饋,請在 **Notifications** (通知) 索引標籤的 **Email Feedback Forwarding** (電子郵件意見轉送) 容器中選擇 **Edit** (編輯),取消勾選 **Enabled** (已啟用) 方塊,然後選擇 **Save changes** (儲存變更)。遞送狀態通知現在只會傳送至委派寄件者所擁有的 SNS 主題。
# 傳送政策範例
傳送授權可讓您指定精確的條件,需符合這些條件才可允許委託寄件者代表您傳送。
**Topics**
+ [
## 發送授權的特定條件
](#sending-authorization-policy-conditions)
+ [
## 指定委託寄件者
](#sending-authorization-policy-example-sender)
+ [
## 限制「寄件人」地址
](#sending-authorization-policy-example-from)
+ [
## 限制受委託者可傳送電子郵件的時間
](#sending-authorization-policy-example-time)
+ [
## 限制電子郵件傳送動作
](#sending-authorization-policy-example-action)
+ [
## 限制電子郵件寄件者的顯示名稱
](#sending-authorization-policy-example-display-name)
+ [
## 使用多個陳述式
](#sending-authorization-policy-example-multiple-statements)
## 發送授權的特定條件
*條件*是關於陳述式內許可的任何限制。指定條件的陳述式部分可能是所有部分中最詳細的。*金鑰*是做為存取限制基準的特定特性,例如請求的日期和時間。
您同時使用條件和金鑰來表達限制。例如,若您希望限制委派寄件者代表您在 2019 年 7 月 30 日後向 Amazon SES 發出請求,您可以使用稱為 `DateLessThan` 的條件。您可以使用稱為 `aws:CurrentTime`的金鑰並將其設定為 `2019-07-30T00:00:00Z` 的值。
您可以使用 *IAM 使用者指南*中[可用](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys)金鑰中列出的任何 AWS通用金鑰,也可以使用下列其中一個適用於 SES 的金鑰,這些金鑰有助於傳送授權政策:
****
| 條件金鑰 | Description |
| --- | --- |
| `ses:Recipients` | 限制收件人地址,包括:「收件人」、「副本」和「密件副本」地址。 |
| `ses:FromAddress` | 限制「寄件人」地址。 |
| `ses:FromDisplayName` | 限制用於「寄件人」顯示名稱的字串內容 (有時稱為「方便從」)。例如,"John Doe " 的顯示名稱為 John Doe。 |
| `ses:FeedbackAddress` | 限制「傳回路徑」地址,此地址可使用電子郵件意見回饋轉送功能來接收退信和投訴。如需關於電子郵件意見轉送功能的詳細資訊,請參閱 [透過電子郵件接收 Amazon SES 通知](monitor-sending-activity-using-notifications-email.md)。 |
您可以搭配 Amazon SES 金鑰使用 `StringEquals` 和 `StringLike` 條件。這些條件用於區分大小寫字串的比對。針對 `StringLike`,其值可以在字串中的任何位置包含多字元比對萬用字元 (\$1) 或單一字元比對萬用字元 (?)。例如,以下條件會指定委派寄件者只能從以 *invoicing* 為開頭、以 *@example.com* 為結尾的 "From" 地址傳送:
```
1. "Condition": {
2. "StringLike": {
3. "ses:FromAddress": "invoicing*@example.com"
4. }
5. }
```
您也可以使用 `StringNotLike` 條件,防止委託寄件者從特定電子郵件地址傳送電子郵件。例如,您可以在政策陳述式中包含以下條件,禁止從 *admin@example.com* 以及類似地址進行傳送,例如 *"admin"@example.com*、*admin\$11@example.com* 或 *sender@admin.example.com*:
```
1. "Condition": {
2. "StringNotLike": {
3. "ses:FromAddress": "*admin*example.com"
4. }
5. }
```
如需指定條件的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
## 指定委託寄件者
*委託人*是您授予許可的實體,可以是 AWS 帳戶、 AWS Identity and Access Management (IAM) 使用者或 AWS 服務。
下列範例顯示一個簡單的政策,允許 AWS ID *123456789012* 從已驗證的身分 *example.com* (由 AWS 帳戶 *888888888888* 擁有) 傳送電子郵件。此政策中的`Condition`陳述式僅允許委派人 (即 AWS ID *123456789012*) 從地址 *marketing\$1.\$1@example.com* 傳送電子郵件,其中 *\$1* 是寄件者在 *marketing\$1 之後想要新增的任何字串*。
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromAddress":"marketing+.*@example.com"
}
}
}
]
}
```
------
以下範例政策授予兩個 IAM 使用者從身分 *example.com* 傳送的許可。IAM 使用者由他們的 Amazon Resource Name (ARN) 指定。
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::111122223333:user/John",
"arn:aws:iam::444455556666:user/Jane"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
]
}
]
}
```
------
以下範例政策將許可授予 Amazon Cognito,允許其從身分 *example.com* 傳送。
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeService",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"Service":[
"cognito-idp.amazonaws.com"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888",
"aws:SourceArn": "arn:aws:cognito-idp:us-east-1:888888888888:userpool/your-user-pool-id-goes-here"
}
}
}
]
}
```
------
以下範例政策將許可授予 AWS Organizations 中的所有帳戶,允許其從身分 example.com 傳送。 AWS Organization 是使用 [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 全域條件金鑰來指定。
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeOrg",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":"*",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID":"o-xxxxxxxxxxx"
}
}
}
]
}
```
------
## 限制「寄件人」地址
如果您使用驗證網域,可以會想要建立一個政策,只允許委託寄件者從指定的電子郵件地址中傳送。若要限制「寄件人」的地址,您需要在鍵上設定一個稱為 *ses:FromAddress* 的條件。下列政策可讓 AWS 帳戶 ID *123456789012* 從身分 *example.com* 傳送,但只能從電子郵件地址 *sender@example.com* 傳送。
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"ses:FromAddress":"sender@example.com"
}
}
}
]
}
```
------
## 限制受委託者可傳送電子郵件的時間
您也可以設定您的寄件者授權政策,因讓委託寄件者僅可於一天中的特定時間或者在特定日期範圍內傳送電子郵件。例如,如果您計劃在 2021 年 9 月傳送電子郵件行銷活動,您可以使用以下政策來限制受委託人僅能在該月份內傳送電子郵件。
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlTimePeriod",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2021-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2021-10-01T12:00Z"
}
}
}
]
}
```
------
## 限制電子郵件傳送動作
寄件者可使用兩種動作來透過 Amazon SES 傳送電子郵件:`SendEmail` 和 `SendRawEmail`,取決於寄件者想要對電子郵件格式擁有多少控制權。傳送授權政策可讓您限制委託寄件者為以下兩種動作之一。但是,許多身分擁有者會在政策中啟用兩種動作,以讓委派寄件者決定電子郵件傳送呼叫的詳細資訊。
**注意**
如果您想要讓委派寄件者透過 SMTP 界面存取 Amazon SES,您必須至少選擇 `SendRawEmail`。
如果您的使用案例是想要限制動作,可以只在傳送授權政策中加入一個動作。以下範例說明如何對 `SendRawEmail` 限制動作。
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlAction",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendRawEmail"
]
}
]
}
```
------
## 限制電子郵件寄件者的顯示名稱
部分電子郵件用戶端顯示電子郵件寄件者的「方便」名稱 (若電子郵件標題提供),而非實際的「寄件人」地址。例如,"John Doe " 的顯示名稱為 John Doe。例如,您可能會從 *user@example.com* 傳送電子郵件,但是您想讓收件人看到該電子郵件是來自 *Marketing* (行銷),而非來自 *user@example.com*。下列政策可讓 AWS 帳戶 ID 123456789012 從身分 *example.com* 傳送,但前提是「寄件人」地址的顯示名稱包含*行銷*。
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
## 使用多個陳述式
您的傳送授權政策可以包含多個陳述式。以下範例政策有兩個陳述式。第一個陳述式授權兩個從 *sender@example.com* AWS 帳戶 傳送,只要「寄件人」地址和意見回饋地址都使用網域 *example.com*。第二個陳述式授權 IAM 使用者從 *sender@example.com* 傳送,只要在收件人的電子郵件地址位於 *example.com* 網域內就能傳送。
# 提供身分資訊給 Amazon SES 傳送授權的委派寄件者
在您建立傳送授權政策並附加至身分後,可提供委託寄件者身分的 Amazon Resource Name (ARN) 資訊。委派寄件者會利用電子郵件傳送作業或電子郵件標題將 ARN 傳遞給 Amazon SES。若要尋找身分的 ARN,請按照下列步驟操作。
**若要尋找身分 ARN**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的 **Configuration** (組態) 下,選擇 **Verified identities** (已驗證身分)。
1. 在身分清單中,選擇想要附加傳送授權政策的身分。
1. 在 **Summary** (摘要) 窗格中,第二欄 **Amazon Resource Name (ARN)** (Amazon 資源名稱 (ARN)) 將包含身分的 ARN。其格式與 *arn:aws:ses:us-east-1:123456789012:identity/user@example.com* 相似。複製整個 ARN 並提供給您的委派寄件人。
**重要**
如果您授權的身分在次要區域中作為[全域端點](global-endpoints.md)功能的一部分重複,請將區域參數取代為星號,例如 `us-east-1`,`*`如下列範例所示`arn:aws:ses:*:123456789012:identity/user@example.com`。
# Amazon SES 傳送授權的委派寄件者任務
身為委派寄件者,您會在經過授權的情況下代表並非自有的身分來傳送電子郵件。即使您代表身分擁有者傳送,退信和投訴也會計入您 AWS 帳戶的退信和投訴指標,而您傳送的訊息數量也會計入您的傳送配額。您也需負責提出任何可能需要的傳送配額提高請求,以傳送身分持有者的電子郵件。
身為委託寄件者,您必須完成下列任務:
+ [提供資訊給身分擁有者](sending-authorization-delegate-sender-tasks-information.md)
+ [使用委派寄件者通知](sending-authorization-delegate-sender-tasks-notifications.md)
+ [為身分擁有者傳送電子郵件](sending-authorization-delegate-sender-tasks-email.md)
# 提供資訊給 Amazon SES 傳送授權的身分擁有者
身為委派寄件者,您必須向身分擁有者提供 AWS 您的帳戶 ID 或 IAM 使用者 Amazon Resource Name (ARN),因為您將代表身分擁有者傳送電子郵件。身分擁有者需要您的帳戶資訊,才能建立政策,授予您從其中一個已驗證身分傳送的許可。
如果您想要使用自己的 SNS 主題,可以請求身分擁有者將退信、投訴或遞送的意見回饋通知設為傳送至您的一或多個 SNS 主題。若要這樣做,您需要與身分擁有者共用 SNS 主題 ARN,以便他們可以在授權您傳送的已驗證身分中設定 SNS 主題。
下列程序說明如何尋找您的帳戶資訊和 SNS 主題 ARN,以便與您的身分擁有者共用。
**尋找 AWS 您的帳戶 ID**
1. 在 AWS 管理主控台 https://[https://console.aws.amazon.com](https://console.aws.amazon.com/) 登入 。
1. 在主控台的右上角,展開您的名稱/帳戶號碼,然後從下拉式選單中選擇 **My Account** (我的帳戶)。
1. 帳戶設定頁面會開啟並顯示您的所有帳戶資訊,包括 AWS 您的帳戶 ID。
**若要尋找您的 IAM 使用者 ARN**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇**使用者** 。
1. 在使用者清單中選擇使用者名稱。**Summary** (摘要) 區段將顯示 IAM 使用者 ARN。ARN 會與以下範例相似:*arn:aws:iam::123456789012:user/John*。
**若要尋找您的 SNS 主題 ARN**
1. 在 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) 開啟 Amazon SNS 主控台。
1. 在導覽窗格中,選擇**主題**。
1. 在主題清單中,SNS 主題 ARN 會顯示在 **ARN** 一欄中。ARN 外觀類似以下範例:*arn:aws:sns:us-east-1:444455556666:my-sns-topic*。
# 使用 Amazon SES 傳送授權的委派寄件者通知
身為委派寄件者,您會代表並非自有的身分來傳送電子郵件;不過,退信和投訴仍然計入*您的*退信與投訴指標,而非身分擁有者的指標。
若您帳戶的退信或投訴率太高,您的帳戶就存在列入審核的風險,或會暫停帳戶傳送電子郵件的功能。因此,設定通知並擁有監控他們的程序相當重要。您也需要擁有從電子郵件清單中移除退信或投訴地址的程序。
因此,身為委派寄件者,您可以設定 Amazon SES,在代表您未擁有但已獲得身分擁有者授權使用的身分傳送的電子郵件發生退回和投訴事件時傳送通知。您也可以設定[事件發佈](monitor-using-event-publishing.md),將退信和投訴通知發佈至 Amazon SNS 或 Firehose。
**注意**
若您將 Amazon SES 設定為使用 Amazon SNS 傳送通知,您將需要針對收到的通知支付標準 Amazon SNS 費用。如需詳細資訊,請參閱 [Amazon SNS 定價頁面](https://aws.amazon.com/sns/pricing)。
## 建立新的委派寄件者通知
您可以設定委派傳送通知,方法是使用[事件發佈](event-destinations-manage.md)的組態集,或使用[以您自己的 SNS 主題設定](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own)的已驗證身分。
使用以上任一方法設定新委派傳送通知的程序如下:
+ 透過組態集設定事件發佈
+ 設定您的 SNS 主題的意見回饋通知
**若要透過組態集設定事件發佈以進行委派傳送**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 請遵循[建立事件目的地](event-destinations-manage.md)中的程序。
1. 在組態集中設定事件發佈之後,當您使用身分擁有者授權您傳送的已驗證身分,以委派寄件者身分傳送電子郵件時,請指定組態集的名稱。請參閱 [為身分擁有者傳送電子郵件](sending-authorization-delegate-sender-tasks-email.md)。
**若要設定您的 SNS 主題的意見回饋通知以進行委派傳送**
1. 決定要用於意見回饋通知的 SNS 主題之後,請遵循[尋找您的 SNS 主題 ARN](sending-authorization-delegate-sender-tasks-information.md#find-sns-topic-arn) 程序,複製完整的 ARN 並與您的身分擁有者共用。
1. 請身分擁有者透過已授權您進行傳送的共用身分,為您設定用於意見回饋通知的 SNS 主題 (您的身分擁有者必須遵循授權政策程序中的[設定 SNS 主題](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own)程序)。
# 為 Amazon SES 傳送授權的身分擁有者傳送電子郵件
身為委派寄件者,您可以與其他 Amazon SES 寄件者使用相同的方式來傳送電子郵件,只是您需要向身分擁有者提供授權您使用的身分之 Amazon Resource Name (ARN)。當您呼叫 Amazon SES 來傳送電子郵件時,Amazon SES 會檢查您指定的身分是否含有授權您傳送的政策。
有不同的方法可指定傳送電子郵件時的身分 ARN。您使用的方法,取決於您是使用 Amazon SES API 作業還是 Amazon SES SMTP 界面來傳送電子郵件。
**重要**
若要成功傳送電子郵件,您必須連線到身分擁有者驗證身分所在 AWS 區域中的 Amazon SES 端點。
此外, AWS **必須**從沙盒中移除身分擁有者和委派寄件者的帳戶,才能將任一帳戶傳送電子郵件到未驗證的地址。如需詳細資訊,請參閱[請求生產存取權 (移出 Amazon SES 沙盒)](request-production-access.md)。
如果您獲授權使用的身分在做為[全域端點](global-endpoints.md)功能一部分的次要區域中重複:
身分擁有者應該提供您具有區域參數的身分 ARN,例如 `us-east-1`,以星號取代 ,`*`如下列範例 所示`arn:aws:ses:*:123456789012:identity/user@example.com`。
身分擁有者應該已在主要和次要區域中為您建立傳送授權政策。
## 使用 Amazon SES API
與任何 Amazon SES 電子郵件寄件者一樣,如果您透過 Amazon SES API (直接透過 HTTPS 或間接透過 AWS SDK) 存取 Amazon SES`SendTemplatedEmail`,您可以選擇三種電子郵件傳送動作之一:`SendEmail`、 和 `SendRawEmail`。[Amazon Simple Email Service API 參考資料](https://docs.aws.amazon.com/ses/latest/APIReference/)中說明了這些 API 的詳細資訊,但我們在此提供的是傳送授權參數的概觀。
### SendRawEmail
如果您想要使用 `SendRawEmail` 來控制您的電子郵件格式,下列提供兩種方式來指定委派授權身分:
+ **傳遞選擇性的參數到 `SendRawEmail` API**。下表說明必要參數:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
+ **在電子郵件中加入 X 標頭**。X-標題為自訂標頭,是除了標準電子郵件標頭 (例如「寄件人」、「回覆至」或「主旨」標題) 外可用的另一選擇。Amazon SES 能辨識三種 X-標題,可用於指定傳送授權參數:
**重要**
請勿在 DKIM 簽章中加入這些 X-標題,因為 Amazon SES 已在傳送電子郵件前將其移除。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
Amazon SES 會在傳送前自電子郵件移除所有 X-標題。如果您加入 X-標題的多個例項,Amazon SES 只會使用第一個例項。
以下範例顯示一封電子郵件,其中包含傳送授權 X-標題:
```
1. X-SES-SOURCE-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
2. X-SES-FROM-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
3. X-SES-RETURN-PATH-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
4.
5. From: sender@example.com
6. To: recipient@example.com
7. Return-Path: feedback@example.com
8. Subject: subject
9. Content-Type: multipart/alternative;
10. boundary="----=_boundary"
11.
12. ------=_boundary
13. Content-Type: text/plain; charset=UTF-8
14. Content-Transfer-Encoding: 7bit
15.
16. body
17. ------=_boundary
18. Content-Type: text/html; charset=UTF-8
19. Content-Transfer-Encoding: 7bit
20.
21. body
22. ------=_boundary--
```
### SendEmail 和 SendTemplatedEmail
如果您使用 `SendEmail` 或 `SendTemplatedEmail` 作業,可以透過下方的選用參數傳遞來指定委派授權身分。當您使用 `SendEmail` 或 `SendTemplatedEmail` 作業時,不可使用 X-標題方法。
****
| 參數 | Description |
| --- | --- |
| `SourceArn` | 與傳送授權政策相關的身分 ARN,該政策允許您為 `SendEmail` 或 `SendTemplatedEmail` 中的 `Source` 參數中所指定的電子郵件地址傳送。 |
| `ReturnPathArn` | 與傳送授權政策相關的身分 ARN,該政策允許您使用 `SendEmail` 或 `SendTemplatedEmail` 中的 `ReturnPath` 參數中所指定的電子郵件地址。 |
以下範例說明如何傳送電子郵件,郵件中包含使用 `SendEmail` 或 `SendTemplatedEmail` 作業及[適用於 Python 的 SDK](https://aws.amazon.com/sdk-for-python) 的 `SourceArn` 與 `ReturnPathArn` 屬性。
```
import boto3
from botocore.exceptions import ClientError
# Create a new SES resource and specify a region.
client = boto3.client('ses',region_name="us-east-1")
# Try to send the email.
try:
#Provide the contents of the email.
response = client.send_email(
Destination={
'ToAddresses': [
'recipient@example.com',
],
},
Message={
'Body': {
'Html': {
'Charset': 'UTF-8',
'Data': 'This email was sent with Amazon SES.',
},
},
'Subject': {
'Charset': 'UTF-8',
'Data': 'Amazon SES Test',
},
},
SourceArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
ReturnPathArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
Source='sender@example.com',
ReturnPath='feedback@example.com'
)
# Display an error if something goes wrong.
except ClientError as e:
print(e.response['Error']['Message'])
else:
print("Email sent! Message ID:"),
print(response['ResponseMetadata']['RequestId'])
```
## 使用 Amazon SES SMTP 界面
使用 Amazon SES SMTP 界面進行委派傳送時,您必須在訊息中包含 `X-SES-SOURCE-ARN`、`X-SES-FROM-ARN` 和 `X-SES-RETURN-PATH-ARN` 標頭。在您於 SMTP 交談中發出 `DATA` 命令後傳遞這些標頭。