Erstellen einer Richtlinie für die Amazon-SES-Sendeautorisierung - Amazon Simple Email Service

Erstellen einer Richtlinie für die Amazon-SES-Sendeautorisierung

Um einen stellvertretenden Sender zum Senden von E-Mails mit einer E-Mail-Adresse oder Domäne (einer Identität) in Ihrem Besitz zu autorisieren, erstellen Sie eine Sendeautorisierungsrichtlinie und fügen diese Richtlinie dann der Identität an. Eine Identität kann null, eine oder viele Richtlinien haben. Eine einzelne Richtlinie kann jedoch nur mit einer einzigen Identität verknüpft werden.

Sie können eine Richtlinie für die Sendeautorisierung auf folgende Weisen erstellen:

  • Durch Verwendung des Richtliniengenerators – Sie können eine einfache Richtlinie mithilfe des Richtliniengenerators in der Amazon-SES-Konsole erstellen. Zusätzlich zur Angabe, wer die E-Mails senden kann, können Sie das Versenden der E-Mails durch weitere Bedingungen einschränken. Dazu gehören die Uhrzeit und der Datumsbereich, zu dem die E-Mails gesendet werden können, die "From"-Adresse, der "From"-Anzeigenamen, die Adresse, an die Unzustellbarkeitsnachrichten und Beschwerden gesendet werden, die Empfängeradressen und die Quell-IP-Adresse. Sie können den Richtliniengenerator auch zum Erstellen einer einfachen Richtlinienstruktur verwenden und diese zu einem späteren Zeitpunkt durch das Bearbeiten der Richtlinie anpassen.

  • Durch Erstellen einer benutzerdefinierten Richtlinie – Wenn Sie erweiterte Bedingungen einschließen oder einen AWS-Service als Prinzipal verwenden möchten, können Sie eine benutzerdefinierte Richtlinie erstellen und diese mithilfe der Amazon-SES-Konsole oder der Amazon-SES-API an die Identität anfügen.

In diesem Thema werden beide Methoden beschrieben.

Anmerkung

Sendeautorisierungsrichtlinien, die Sie an E-Mail-Adressidentitäten anfügen, haben Vorrang vor Richtlinien, die Sie den entsprechenden Domänenidentitäten anfügen. Wenn Sie beispielsweise eine Richtlinie für example.com erstellen, die einen delegierten Sender nicht zulässt, und eine Richtlinie für sender@example.com die den delegierten Sender zulässt, kann der delegierte Sender E-Mails von sender@example.com senden, jedoch von keiner anderen Adresse in der Domäne example.com.

Wenn Sie eine Richtlinie für example.com erstellen, die einen stellvertretenden Sender zulässt, und eine Richtlinie für sender@example.com, die den stellvertretenden Sender nicht zulässt, kann der stellvertretende Sender E-Mails von jeder Adresse in der Domäne example.com senden, mit Ausnahme von sender@example.com.

Erstellen einer Richtlinie mit dem Richtliniengenerator

Sie können den Richtliniengenerator verwenden, um eine einfache Autorisierungsrichtlinie zu erstellen, indem Sie diese Schritte ausführen.

So erstellen Sie eine Richtlinie mit dem Richtliniengenerator
  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-SES-Konsole unter https://console.aws.amazon.com/ses.

  2. Klicken Sie im Navigationsbereich unter Configuration (Konfiguration), wählen Sie Verified identities (Verifizierte Identitäten) aus.

  3. Wählen Sie im Container Identities (Identitäten) auf dem Bildschirm Verified identities (Verifizierte Identitäten) die verifizierte Identität aus, die Sie für den delegierten Sender autorisieren möchten, um sie in Ihrem Namen zu senden.

  4. Wählen Sie im Detailfenster der verifizierten Identität, die Sie im vorherigen Schritt ausgewählt haben, die Registerkarte Authorization (Autorisierung).

  5. Wählen Sie im Bereich Sending authorization policies (Sendeautorisierungsrichtlinien) in der unteren rechten Ecke Create policy (Richtlinie erstellen) und wählen Sie Use policy generator (Verwenden des Richtliniengenerators) aus der Dropdown-Liste aus.

  6. Wählen Sie im Bereich Create statement (Anweisung erstellen) im Feld Effect (Effekt) die Option Allow (Erlauben) aus. (Wenn Sie eine Richtlinie erstellen möchten, um Ihren delegierten Sender einzuschränken, wählen Sie stattdessen Deny (Verweigern).)

  7. Geben Sie im Feld Principals (Prinzipale) die AWS-Konto-ID oder den IAM user ARN (IAM-Benutzer-ARN) ein, die Ihr delegierter Sender mit Ihnen geteilt hat, um ihn zu autorisieren, E-Mails im Namen Ihres Kontos für diese Identität zu senden und wählen Sie dann Add (Hinzufügen) aus. (Wenn Sie mehr als einen delegierten Sender autorisieren möchten, wiederholen Sie diesen Schritt für jeden.)

  8. Aktivieren Sie im Feld Actions (Aktionen) das Kontrollkästchen für jeden Sendetyp, den Sie für Ihren delegierten Sender autorisieren möchten.

  9. (Optional) Erweitern Sie Specify conditions (Bedingungen angeben), wenn Sie der Berechtigung für den delegierten Sender eine qualifizierende Anweisung hinzufügen möchten.

    1. Wählen Sie einen Operator aus der Dropdown-Liste Operator aus.

    2. Wählen Sie einen Typ aus der Dropdown-Liste Key (Schlüssel) aus.

    3. Geben Sie den Wert des ausgewählten Schlüsseltyps in das Feld Value (Wert) ein. (Wenn Sie weitere Bedingungen hinzufügen möchten, wählen Sie Add new condition (Neue Bedingung hinzufügen) und wiederholen Sie diesen Schritt für jede weitere.)

  10. Wählen Sie Save statement (Anweisung speichern) aus.

  11. (Optional) Erweitern Sie Create another statement (Eine weitere Anweisung erstellen), wenn Sie Ihrer Richtlinie weitere Anweisungen hinzufügen möchten und wiederholen Sie die Schritte 6 - 10.

  12. Wählen Sie Next (Weiter) und auf dem Bildschirm Cutomize policy (Richtlinie anpassen) enthält der Container Edit policy details (Richtliniendetails bearbeiten) Felder, in denen Sie Name der Richtlinie und das Policy document (Richtliniendokument) selbst ändern oder anpassen können.

  13. Wählen Sie Next (Weiter) und auf dem Bildschirm Review and apply (Überprüfen und anwenden) zeigt der Container Overview (Übersicht) die bestätigte Identität an, die Sie für Ihren delegierten Sender autorisieren, sowie den Namen dieser Richtlinie. Im Bereich Policy document (Richtliniendokument) wird die aktuelle Richtlinie, die Sie gerade geschrieben haben, zusammen mit den von Ihnen hinzugefügten Bedingungen angezeigt. Überprüfen Sie die Richtlinie und wählen Sie Apply policy (Richtlinie anwenden), wenn sie richtig aussieht. (Wenn Sie etwas ändern oder korrigieren müssen, wählen Sie Previous (Zurück) und arbeiten Sie im Container Edit policy details (Richtliniendetails bearbeiten).) Die gerade erstellte Richtlinie ermöglicht es Ihrem delegierten Sender, in Ihrem Namen zu senden.

  14. (Optional) Wenn Ihr delegierter Sender auch ein SNS-Thema verwenden möchte, das er besitzt, um Feedback-Benachrichtigungen zu erhalten, wenn er Unzustellbarkeit oder Beschwerden erhält oder wenn E-Mails zugestellt werden, müssen Sie sein SNS-Thema in dieser verifizierten Identität konfigurieren. (Ihr delegierter Sender muss mit Ihnen seinen SNS-Thema-ARN teilen.) Wählen Sie die Registerkarte Notifications (Benachrichtigungen) und wählen Sie Edit (Bearbeiten) im Container Feedback notifications (Feedback-Benachrichtigungen):

    1. Wählen Sie im Bereich SNS-Themen konfigurieren in einem der Feedbackfelder (Unzustellbarkeit, Beschwerde oder Zustellung) ein SNS-Thema aus, das Ihnen nicht gehört und geben Sie den SNS-Themen-ARN ein, der Ihnen gehört und von Ihrem delegierten Sender für Sie freigegeben wurde. (Nur Ihr delegierter Sender erhält diese Benachrichtigungen, da er das SNS-Thema besitzt – Sie als Identitätsbesitzer nicht.)

    2. (Optional) Wenn Sie möchten, dass Ihre Themenachrichtigung die Header der ursprünglichen E-Mail einschließt, aktivieren Sie das Kontrollkästchen Einschließen von ursprünglichen E-Mail-Header direkt unter dem SNS-Themennamen jedes Feedback-Typs. Diese Option ist nur verfügbar, sofern Sie der zugeordneten Benachrichtigungsart ein Amazon-SNS-Thema zugewiesen haben. Weitere Informationen zum Inhalt der ursprünglichen E-Mail-Header finden Sie im Abschnitt zum mail-Objekt unter Benachrichtigungsinhalte.

    3. Wählen Sie Save Changes. Es kann ein paar Minuten dauern, bis die Änderungen an den Benachrichtigungseinstellungen übernommen werden.

    4. (Optional) Da Ihr delegierter Sender Benachrichtigungen über Amazon-SNS-Themenbenachrichtigungen für Unzustellbarkeit und Beschwerden erhält, können Sie E-Mail-Benachrichtigungen vollständig deaktivieren, wenn Sie kein Feedback für die Sendungen dieser Identität erhalten möchten. Um E-Mail-Feedback für Unzustellbarkeiten und Beschwerden zu deaktivieren, wählen Sie auf der Registerkarte Notifications (Benachrichtigungen) im Container Email Feedback Forwarding (E-Mail-Feedback-Weiterleitung) die Option Edit (Bearbeiten), deaktivieren Sie das Kontrollkästchen Enabled (Aktiviert) und wählen Sie Save changes (Änderungen speichern). Benachrichtigungen über den Lieferstatus werden jetzt nur an die SNS-Themen gesendet, die Ihrem delegierten Sender gehören.

Erstellen einer benutzerdefinierten Richtlinie

Wenn Sie eine benutzerdefinierte Richtlinie erstellen und Sie einer Identität anfügen möchten, haben Sie die folgenden Optionen:

  • Mithilfe der Amazon-SES-API – Erstellen Sie eine Richtlinie in einem Texteditor, und fügen Sie die Richtlinie dann mithilfe der in der Amazon-Simple-Email-Service-API-Referenz beschriebenen PutIdentityPolicyAPI an die Identität an.

  • Mithilfe der Amazon-SES-Konsole – Erstellen Sie die Richtlinie in einem Texteditor und fügen Sie sie anschließend einer Identität hinzu, indem Sie die Richtlinie in den Editor für benutzerdefinierte Richtlinien in der Amazon-SES-Konsole einfügen. Im folgenden Abschnitt wird diese Methode beschrieben.

So erstellen Sie eine benutzerdefinierte Richtlinie mit dem Editor für benutzerdefinierte Richtlinien
  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-SES-Konsole unter https://console.aws.amazon.com/ses.

  2. Klicken Sie im Navigationsbereich unter Configuration (Konfiguration), wählen Sie Verified identities (Verifizierte Identitäten) aus.

  3. Wählen Sie im Container Identities (Identitäten) auf dem Bildschirm Verified identities (Verifizierte Identitäten) die verifizierte Identität aus, die Sie für den delegierten Sender autorisieren möchten, um sie in Ihrem Namen zu senden.

  4. Wählen Sie im Detailfenster der verifizierten Identität, die Sie im vorherigen Schritt ausgewählt haben, die Registerkarte Authorization (Autorisierung).

  5. Wählen Sie im Bereich Sending authorization (Sendeautorisierungsrichtlinien) in der unteren rechten Ecke Create policy (Richtlinie erstellen) und wählen Sie Create custom policy (Benutzerdefinierte Richtlinie erstellen) aus der Dropdown-Liste aus.

  6. Fügen Sie im Bereich Policy document (Richtliniendokument) den Text Ihrer Richtlinie ein.

  7. Klicken Sie auf Apply Policy (Richtlinie anwenden). (Wenn Sie Ihre benutzerdefinierte Richtlinie jemals ändern müssen, aktivieren Sie einfach das Kontrollkästchen auf der Registerkarte Authorization (Autorisierung), wählen Sie Edit (Bearbeiten) und nehmen Sie Ihre Änderungen im Bereich Policy document (Richtliniendokument) vor und Save changes (Änderungen speichern) vor).

  8. (Optional) Wenn Ihr delegierter Sender auch ein SNS-Thema verwenden möchte, das er besitzt, um Feedback-Benachrichtigungen zu erhalten, wenn er Unzustellbarkeit oder Beschwerden erhält oder wenn E-Mails zugestellt werden, müssen Sie sein SNS-Thema in dieser verifizierten Identität konfigurieren. (Ihr delegierter Sender muss mit Ihnen seinen SNS-Thema-ARN teilen.) Wählen Sie die Registerkarte Notifications (Benachrichtigungen) und wählen Sie Edit (Bearbeiten) im Container Feedback notifications (Feedback-Benachrichtigungen):

    1. Wählen Sie im Bereich SNS-Themen konfigurieren in einem der Feedbackfelder (Unzustellbarkeit, Beschwerde oder Zustellung) ein SNS-Thema aus, das Ihnen nicht gehört und geben Sie den SNS-Themen-ARN ein, der Ihnen gehört und von Ihrem delegierten Sender für Sie freigegeben wurde. (Nur Ihr delegierter Sender erhält diese Benachrichtigungen, da er das SNS-Thema besitzt – Sie als Identitätsbesitzer nicht.)

    2. (Optional) Wenn Sie möchten, dass Ihre Themenachrichtigung die Header der ursprünglichen E-Mail einschließt, aktivieren Sie das Kontrollkästchen Einschließen von ursprünglichen E-Mail-Header direkt unter dem SNS-Themennamen jedes Feedback-Typs. Diese Option ist nur verfügbar, sofern Sie der zugeordneten Benachrichtigungsart ein Amazon-SNS-Thema zugewiesen haben. Weitere Informationen zum Inhalt der ursprünglichen E-Mail-Header finden Sie im Abschnitt zum mail-Objekt unter Benachrichtigungsinhalte.

    3. Wählen Sie Save Changes. Es kann ein paar Minuten dauern, bis die Änderungen an den Benachrichtigungseinstellungen übernommen werden.

    4. (Optional) Da Ihr delegierter Sender Benachrichtigungen über Amazon-SNS-Themenbenachrichtigungen für Unzustellbarkeit und Beschwerden erhält, können Sie E-Mail-Benachrichtigungen vollständig deaktivieren, wenn Sie kein Feedback für die Sendungen dieser Identität erhalten möchten. Um E-Mail-Feedback für Unzustellbarkeiten und Beschwerden zu deaktivieren, wählen Sie auf der Registerkarte Notifications (Benachrichtigungen) im Container Email Feedback Forwarding (E-Mail-Feedback-Weiterleitung) die Option Edit (Bearbeiten), deaktivieren Sie das Kontrollkästchen Enabled (Aktiviert) und wählen Sie Save changes (Änderungen speichern). Benachrichtigungen über den Lieferstatus werden jetzt nur an die SNS-Themen gesendet, die Ihrem delegierten Sender gehören.