Identity and Access Management en Amazon SES - Amazon Simple Email Service
Creación de políticas de IAM para acceso a SESEjemplos de políticas de IAM para SES

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identity and Access Management en Amazon SES

Puede utilizar AWS Identity and Access Management (IAM) con Amazon Simple Email Service (Amazon SES) para especificar qué acciones de la API de SES puede realizar un rol, grupo o usuario. (En este tema hacemos referencia a estas entidades colectivamente como usuario). También puede controlar qué direcciones de correo electrónico puede utilizar el usuario para las direcciones de remitente ("From"), destinatario y "Return-Path" de los correos electrónicos.

Por ejemplo, puede crear una política de IAM que permita a los usuarios de su organización enviar correos electrónicos, pero no llevar a cabo acciones administrativas tales como estadísticas de envío de comprobación. Otro ejemplo, puede escribir una política que permita a un usuario enviar correos electrónicos a través de SES desde su cuenta, pero solo si utilizan una dirección de remitente ("From") específica.

Para utilizar IAM, defina una política de IAM, que es un documento que define de forma explícita los permisos y adjunta la política a un usuario. Para obtener información sobre cómo crear políticas de IAM, consulte la Guía del usuario de IAM. Aparte de aplicar las restricciones que establezca en su política, no hay cambios en el modo en que los usuarios interactúan con SES o en cómo SES lleva a cabo las solicitudes.

nota

  • Si la cuenta está en el entorno aislado de SES, sus restricciones impiden la implementación de algunas de estas políticas; consulte Solicitar acceso de producción.

  • También puede controlar el acceso a SES utilizando políticas de autorización de envío. Mientras que las políticas de IAM restringen lo que pueden hacer los usuarios, las políticas de autorización de envío restringen cómo se pueden utilizar las identidades verificadas. Además, solo las políticas de autorización de envío pueden otorgar acceso entre cuentas. Para obtener más información acerca de la autorización de envío, consulte Uso de la autorización de envío con Amazon SES.

Si busca información sobre cómo generar credenciales de SMTP de SES para un usuario existente, consulte Obtención de las credenciales de SMTP de Amazon SES.

Creación de políticas de IAM para acceso a SES

En esta sección se explica cómo puede utilizar las políticas de IAM; específicamente con SES. Para obtener información sobre cómo crear políticas de IAM en general consulte la Guía del usuario de IAM.

Existen tres razones por las que podría utilizar IAM con SES:

  • Para restringir la acción de envío de correo electrónico.

  • Para restringir las direcciones "From", de destinatario y de "Return-Path" de los correos electrónicos que el usuario envía.

  • Para controlar aspectos generales del uso de la API, como el periodo de tiempo durante el que se permite que un usuario llame a las API que está autorizado a utilizar.

Restringir la acción

Para controlar qué acciones de SES puede realizar un usuario, utilice el elemento Action de una política de IAM. Puede establecer el elemento Action en cualquier acción de API de SES poniendo como prefijo en el nombre de la API la cadena en minúsculas ses:. Por ejemplo, puede establecer Action en ses:SendEmail, ses:GetSendStatisticso ses:* (para todas las acciones).

A continuación, en función de Action, especifique el elemento Resource de la siguiente manera:

Si el elemento Action solo permite el acceso a API de envío de correo electrónico (es decir, ses:SendEmail o ses:SendRawEmail):

  • Para permitir al usuario realizar envíos desde cualquier identidad de su Cuenta de AWS, defina Resource en *.

  • Para restringir las identidades desde las que un usuario puede enviar, establezca Resource en los ARN de las identidades que el usuario tiene permiso para utilizar.

Si el elemento Action permite el acceso a todos los API:

  • Si no desea restringir las identidades desde las que puede enviar el usuario, establezca Resource en *

  • Si desea restringir las identidades desde las que un usuario puede enviar, debe crear dos políticas (o dos instrucciones dentro de una política):

    • Una con Action definida en una lista explícita de los API no de envío de correo electrónico y Resource establecido en *

    • Una con Action establecido en uno de los API de envío de correo electrónico (ses:SendEmail o ses:SendRawEmail) y Resource definido en los ARN de las identidades que permite utilizar al usuario.

Para obtener una lista de acciones de SES disponibles, consulte la Referencia de la API de Amazon Simple Email Service. Si el usuario va a utilizar la interfaz de SMTP, debe permitir como mínimo el acceso a ses:SendRawEmail.

Restricción de direcciones de correo electrónico

Si desea restringir al usuario a direcciones de correo electrónico específicas, puede utilizar un bloque Condition. En el bloque Condition, debe especificar las condiciones utilizando claves de condición tal y como se describe en la Guía del usuario de IAM. Mediante el uso de claves de condición, podrá controlar las siguientes direcciones de correo electrónico:

nota

Estas claves de condición de dirección de correo electrónico se aplican únicamente a los API indicados en la siguiente tabla.

Clave de condición

Descripción

API

ses:Recipients

Restringe las direcciones del destinatario, que incluyen las direcciones To:, "CC" y "BCC".

SendEmail, SendRawEmail

ses:FromAddress

Restringe la dirección de remitente ("From").

SendEmail, SendRawEmail, SendBounce

ses:FromDisplayName

Restringe la dirección de remitente ("From") que se utiliza como nombre de visualización.

SendEmail, SendRawEmail

ses:FeedbackAddress

Restringe la dirección "Return-Path", que es la dirección donde se pueden enviar los rebotes y las reclamaciones mediante reenvío de retroalimentación de correo electrónico. Para obtener información acerca del reenvío de retroalimentación de correo electrónico, consulte Recepción de notificaciones de Amazon SES por correo electrónico.

SendEmail, SendRawEmail

Restricción por versión de la API de SES

Mediante el uso de la clave de ses:ApiVersion en condiciones, puede restringir el acceso a SES en función de la versión de la API de SES.

nota

La interfaz de SMTP de SES utiliza la API de SES versión 2 de ses:SendRawEmail.

Restricción del uso general de la API

Mediante el uso de condiciones de claves a escala de AWS, puede restringir el acceso a SES en función de aspectos como, por ejemplo, la fecha y la hora a la que se permite al usuario el acceso a las API. SES implementa solo las claves de políticas a escala de AWS que se indican a continuación:

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Para obtener más información acerca de estas claves, consulte la Guía del usuario de IAM.

Ejemplos de políticas de IAM para SES

En este tema se ofrecen ejemplos de políticas que permiten a un usuario acceder a SES, pero solo en determinadas condiciones.

Permitir el acceso completo a todas las acciones de SES

La siguiente política permite a un usuario llamar a cualquier acción de SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:*"
      ],
      "Resource":"*"
    }
  ]
}

Permitir el acceso solo a la API de SES versión 2

La siguiente política permite a un usuario llamar solo a las acciones de SES de la API versión 2.

{
  		                 "Version":"2012-10-17",
  		                 "Statement":[
  		                     {
  		                         "Effect":"Allow",
  		                         "Action":[
  		                         "ses:*"
  		                         ],
  		                         "Resource":"*",
  		                         "Condition": {
  		                             "StringEquals" : {
  		                             "ses:ApiVersion" : "2"
  		                             }
  		                         }
  		                     }
  		                 ]
  		             }

Permitir el acceso solo a acciones de envío de correo electrónico

La siguiente política permite a un usuario enviar correos electrónicos a través de SES, pero no permite al usuario llevar a cabo acciones administrativas como, por ejemplo, el acceso a las estadísticas de envío de SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*"
    }
  ]
}

Restricción del periodo de tiempo de envío

La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES solo durante el mes de septiembre de 2018.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "DateGreaterThan":{
          "aws:CurrentTime":"2018-08-31T12:00Z"
        },
        "DateLessThan":{
          "aws:CurrentTime":"2018-10-01T12:00Z"
        }
      }
    }
  ]
}

Restricción de las direcciones de destinatario

La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES, pero solo a las direcciones de los destinatarios que pertenezcan al dominio example.com (StringLike distingue entre mayúsculas y minúsculas).

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringLike":{
          "ses:Recipients":[
            "*@example.com"
          ]
        }
      }
    }
  ]
}

Restricción de la dirección de remitente ("From")

La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES, pero solo si la dirección de remitente ("From") es marketing@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"marketing@example.com"
        }
      }
    }
  ]
}

La siguiente política permite a un usuario llamar a la API SendBounce, pero solo si la dirección de remitente ("From") es bounce@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendBounce"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"bounce@example.com"
        }
      }
    }
  ]
}

Restricción del nombre de visualización del remitente de correo electrónico

La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES, pero solo si el nombre de visualización de la dirección del remitente "From"‎ incluye Marketing (StringLike distingue entre mayúsculas y minúsculas). 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "ses:FromDisplayName":"Marketing"
        }
      }
    }
  ]
}

Restringir el destino de retroalimentación de rebotes y reclamaciones

La siguiente política permite a un usuario llamar a las API de envío de correo electrónico de SES, pero solo si la dirección “Ruta de devolución” del correo electrónico se ha establecido en feedback@example.com.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FeedbackAddress":"feedback@example.com"
        }
      }
    }
  ]
}