Abrufen von Informationen vom delegierten Sender für die Amazon-SES-Sendeautorisierung - Amazon Simple Email Service

Abrufen von Informationen vom delegierten Sender für die Amazon-SES-Sendeautorisierung

Ihre Sendeautorisierungsrichtlinie muss mindestens einen Prinzipal angeben, bei dem es sich um die Entität Ihres delegierten Senders handelt, dem Sie Zugriff gewähren, damit er im Namen einer Ihrer bestätigten Identitäten senden kann. Für Amazon-SES-Sendeautorisierungsrichtlinien kann der Prinzipal entweder das AWS-Konto Ihres delegierten Senders oder den ARN des Benutzers AWS Identity and Access Management (IAM) oder ein AWS-Service sein.

Eine einfache Möglichkeit, dies zu bedenken, besteht darin, dass der Prinzipal (delegierter Sender) der Empfänger ist und Sie (Identitätsbesitzer) der Erteilender in der Autorisierungsrichtlinie sind, in der Sie ihm die Berechtigung zum Senden einer beliebigen Kombination aus E-Mail, Roh-E-Mail, Vorlagen-E-Mail oder Massen-Vorlagen-E-Mail von der Ressource (bestätigte Identität) erlaubt, die Sie besitzen.

Wenn Sie über größtmögliche Kontrolle verfügen möchten, bitten Sie den delegierten Sender einen IAM-Benutzer einzurichten. Auf diese Weise kann nur ein delegierter Sender in Ihrem Namen E-Mails senden und nicht jeder Benutzer, der sich im AWS-Konto des delegierten Senders befindet. Der stellvertretende Sender kann unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto im IAM Benutzerhandbuch weitere Informationen über das Einrichten eines IAM-Benutzers finden.

Fragen Sie Ihren delegierten Sender nach der AWS-Konto-ID oder dem Amazon-Ressourcennamen (ARN) des IAM-Benutzers, damit Sie ihn in Ihre Sendeautorisierungsrichtlinie aufnehmen können. Sie können den stellvertretenden Sender an die Anweisungen zum Auffinden dieser Information unter verweisen Bereitstellen von Informationen für den Identitätsbesitzer. Wenn der stellvertretende Abender ein AWS-Service ist, ziehen Sie die Dokumentation für diesen Service heran, um den Servicenamen zu bestimmen.

Die folgende Beispielrichtlinie veranschaulicht die grundlegenden Elemente dessen, was in einer Richtlinie erforderlich ist, die vom Identitätsbesitzer erstellt wurde, um den delegierten Sender zum Senden von der Ressource des Identitätsbesitzers zu autorisieren. Der Identitätsbesitzer würde in den Workflow „Verified identities“ (Verifizierte Identitäten) wechseln und unter Autorisierung den Richtliniengenerator verwenden, um in seiner einfachsten Form die folgende grundlegende Richtlinie zu erstellen, die es dem delegierten Sender ermöglicht, im Namen einer Ressource des Identitätsbesitzers zu senden:

Für die obige Richtlinie erläutert die folgende Legende die Schlüsselelemente und wem sie gehören:

  • Prinzipal – dieses Feld wird mit dem ARN des IAM-Benutzers des delegierten Senders ausgefüllt.

  • Aktion – Dieses Feld wird mit zwei SES-Aktionen (SendEmail und SendRawEmail) gefüllt, die der Identitätsbesitzer dem delegierten Sender von der Ressource des Identitätsbesitzers aus ausführen lässt.

  • Ressource – Dieses Feld wird mit der verifizierten Ressource des Identitätsbesitzers ausgefüllt, von der er den delegierten Sender zum Senden autorisiert.