Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Identity and Access Management en Amazon SES
Puede utilizar AWS Identity and Access Management (IAM) con Amazon Simple Email Service (Amazon SES) para especificar qué acciones de la API de SES puede realizar un rol, grupo o usuario. (En este tema hacemos referencia a estas entidades colectivamente como usuario). También puede controlar qué direcciones de correo electrónico puede utilizar el usuario para las direcciones de remitente ("From"), destinatario y "Return-Path" de los correos electrónicos.
Por ejemplo, puede crear una política de IAM que permita a los usuarios de su organización enviar correos electrónicos, pero no llevar a cabo acciones administrativas tales como estadísticas de envío de comprobación. Otro ejemplo, puede escribir una política que permita a un usuario enviar correos electrónicos a través de SES desde su cuenta, pero solo si utilizan una dirección de remitente ("From") específica.
Para utilizar IAM, defina una política de IAM, que es un documento que define de forma explícita los permisos y adjunta la política a un usuario. Para obtener información sobre cómo crear políticas de IAM, consulte la Guía del usuario de IAM. Aparte de aplicar las restricciones que establezca en su política, no hay cambios en el modo en que los usuarios interactúan con SES o en cómo SES lleva a cabo las solicitudes.
nota
-
Si la cuenta está en el entorno aislado de SES, sus restricciones impiden la implementación de algunas de estas políticas; consulte Solicitar acceso de producción.
-
También puede controlar el acceso a SES utilizando políticas de autorización de envío. Mientras que las políticas de IAM restringen lo que pueden hacer los usuarios, las políticas de autorización de envío restringen cómo se pueden utilizar las identidades verificadas. Además, solo las políticas de autorización de envío pueden otorgar acceso entre cuentas. Para obtener más información acerca de la autorización de envío, consulte Uso de la autorización de envío con Amazon SES.
Si busca información sobre cómo generar credenciales de SMTP de SES para un usuario existente, consulte Obtención de las credenciales de SMTP de Amazon SES.
Creación de políticas de IAM para acceso a SES
En esta sección se explica cómo puede utilizar las políticas de IAM; específicamente con SES. Para obtener información sobre cómo crear políticas de IAM en general consulte la Guía del usuario de IAM.
Existen tres razones por las que podría utilizar IAM con SES:
-
Para restringir la acción de envío de correo electrónico.
-
Para restringir las direcciones "From", de destinatario y de "Return-Path" de los correos electrónicos que el usuario envía.
-
Para controlar aspectos generales del uso de la API, como el periodo de tiempo durante el que se permite que un usuario llame a las API que está autorizado a utilizar.
Restringir la acción
Para controlar qué acciones de SES puede realizar un usuario, utilice el elemento Action
de una política de IAM. Puede establecer el elemento Action
en cualquier acción de API de SES poniendo como prefijo en el nombre de la API la cadena en minúsculas ses:
. Por ejemplo, puede establecer Action
en ses:SendEmail
, ses:GetSendStatistics
o ses:*
(para todas las acciones).
A continuación, en función de Action
, especifique el elemento Resource
de la siguiente manera:
Si el elemento Action
solo permite el acceso a API de envío de correo electrónico (es decir, ses:SendEmail
o ses:SendRawEmail
):
-
Para permitir al usuario realizar envíos desde cualquier identidad de su Cuenta de AWS, defina
Resource
en *. -
Para restringir las identidades desde las que un usuario puede enviar, establezca
Resource
en los ARN de las identidades que el usuario tiene permiso para utilizar.
Si el elemento Action
permite el acceso a todos los API:
-
Si no desea restringir las identidades desde las que puede enviar el usuario, establezca
Resource
en * -
Si desea restringir las identidades desde las que un usuario puede enviar, debe crear dos políticas (o dos instrucciones dentro de una política):
-
Una con
Action
definida en una lista explícita de los API no de envío de correo electrónico yResource
establecido en * -
Una con
Action
establecido en uno de los API de envío de correo electrónico (ses:SendEmail
oses:SendRawEmail
) yResource
definido en los ARN de las identidades que permite utilizar al usuario.
-
Para obtener una lista de acciones de SES disponibles, consulte la Referencia de la API de Amazon Simple Email Service. Si el usuario va a utilizar la interfaz de SMTP, debe permitir como mínimo el acceso a ses:SendRawEmail
.
Restricción de direcciones de correo electrónico
Si desea restringir al usuario a direcciones de correo electrónico específicas, puede utilizar un bloque Condition
. En el bloque Condition
, debe especificar las condiciones utilizando claves de condición tal y como se describe en la Guía del usuario de IAM. Mediante el uso de claves de condición, podrá controlar las siguientes direcciones de correo electrónico:
nota
Estas claves de condición de dirección de correo electrónico se aplican únicamente a los API indicados en la siguiente tabla.
Clave de condición |
Descripción |
API |
---|---|---|
|
Restringe las direcciones del destinatario, que incluyen las direcciones To:, "CC" y "BCC". |
|
|
Restringe la dirección de remitente ("From"). |
|
|
Restringe la dirección de remitente ("From") que se utiliza como nombre de visualización. |
|
|
Restringe la dirección "Return-Path", que es la dirección donde se pueden enviar los rebotes y las reclamaciones mediante reenvío de retroalimentación de correo electrónico. Para obtener información acerca del reenvío de retroalimentación de correo electrónico, consulte Recepción de notificaciones de Amazon SES por correo electrónico. |
|
Restricción por versión de la API de SES
Mediante el uso de la clave de ses:ApiVersion
en condiciones, puede restringir el acceso a SES en función de la versión de la API de SES.
nota
La interfaz de SMTP de SES utiliza la API de SES versión 2 de ses:SendRawEmail
.
Restricción del uso general de la API
Mediante el uso de condiciones de claves a escala de AWS, puede restringir el acceso a SES en función de aspectos como, por ejemplo, la fecha y la hora a la que se permite al usuario el acceso a las API. SES implementa solo las claves de políticas a escala de AWS que se indican a continuación:
-
aws:CurrentTime
-
aws:EpochTime
-
aws:SecureTransport
-
aws:SourceIp
-
aws:SourceVpc
-
aws:SourceVpce
-
aws:UserAgent
-
aws:VpcSourceIp
Para obtener más información acerca de estas claves, consulte la Guía del usuario de IAM.
Ejemplos de políticas de IAM para SES
En este tema se ofrecen ejemplos de políticas que permiten a un usuario acceder a SES, pero solo en determinadas condiciones.
Ejemplos de políticas de esta sección:
- Permitir el acceso completo a todas las acciones de SES
- Permitir el acceso solo a la API de SES versión 2
- Permitir el acceso solo a acciones de envío de correo electrónico
- Restricción del periodo de tiempo de envío
- Restricción de las direcciones de destinatario
- Restricción de la dirección de remitente ("From")
- Restricción del nombre de visualización del remitente de correo electrónico
- Restringir el destino de retroalimentación de rebotes y reclamaciones
Permitir el acceso completo a todas las acciones de SES
La siguiente política permite a un usuario llamar a cualquier acción de SES.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:*" ], "Resource":"*" } ] }
Permitir el acceso solo a la API de SES versión 2
La siguiente política permite a un usuario llamar solo a las acciones de SES de la API versión 2.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:*" ], "Resource":"*", "Condition": { "StringEquals" : { "ses:ApiVersion" : "2" } } } ] }
Permitir el acceso solo a acciones de envío de correo electrónico
La siguiente política permite a un usuario enviar correos electrónicos a través de SES, pero no permite al usuario llevar a cabo acciones administrativas como, por ejemplo, el acceso a las estadísticas de envío de SES.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*" } ] }
Restricción del periodo de tiempo de envío
La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES solo durante el mes de septiembre de 2018.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "DateGreaterThan":{ "aws:CurrentTime":"2018-08-31T12:00Z" }, "DateLessThan":{ "aws:CurrentTime":"2018-10-01T12:00Z" } } } ] }
Restricción de las direcciones de destinatario
La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES, pero solo a las direcciones de los destinatarios que pertenezcan al dominio example.com (StringLike
distingue entre mayúsculas y minúsculas).
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "ForAllValues:StringLike":{ "ses:Recipients":[ "*@example.com" ] } } } ] }
Restricción de la dirección de remitente ("From")
La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES, pero solo si la dirección de remitente ("From") es marketing@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FromAddress":"marketing@example.com" } } } ] }
La siguiente política permite a un usuario llamar a la API SendBounce, pero solo si la dirección de remitente ("From") es bounce@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendBounce" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FromAddress":"bounce@example.com" } } } ] }
Restricción del nombre de visualización del remitente de correo electrónico
La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES, pero solo si el nombre de visualización de la dirección del remitente "From" incluye Marketing (StringLike
distingue entre mayúsculas y minúsculas).
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringLike":{ "ses:FromDisplayName":"Marketing" } } } ] }
Restringir el destino de retroalimentación de rebotes y reclamaciones
La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES, pero solo si la dirección “Ruta de devolución” del correo electrónico se ha establecido en feedback@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FeedbackAddress":"feedback@example.com" } } } ] }