Présentation de l'autorisation d'envoi Amazon SES - Amazon Simple Email Service
Processus d'autorisation d'envoiAttribution des fonctions d'envoi d'e-mail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de l'autorisation d'envoi Amazon SES

Cette rubrique offre une présentation du processus d'autorisation d'envoi et explique comment les fonctions d'envoi d'e-mails d'Amazon SES, telles que les quotas d'envoi et les notifications, fonctionnent avec l'autorisation d'envoi.

Cette section utilise les termes suivants :

  • Identité – Adresse e-mail ou domaine dont se servent les utilisateurs Amazon SES pour envoyer un e-mail.

  • Propriétaire d'identité – Utilisateur Amazon SES dont la propriété d'une adresse e-mail ou d'un domaine a été vérifiée selon les procédures décrites dans Identités vérifiées.

  • Expéditeur délégué – Un compte AWS, un utilisateur AWS Identity and Access Management (IAM), ou un service AWS autorisé par le biais d'une politique d'autorisation pour envoyer des e-mails au nom du propriétaire de l'identité.

  • Stratégie d'autorisation d'envoi – Document que vous attachez à une identité pour spécifier les personnes habilitées à effectuer des envois pour cette identité et sous quelles conditions.

  • ARN (Amazon Resource Name) – Moyen standardisé d'identifier de manière unique une ressource AWS à travers tous les services AWS. Pour l'autorisation d'envoi, la ressource est l'identité que le propriétaire de l'identité veut que l'expéditeur délégué utilise. Voici un exemple d'ARN : arn:aws:ses:us-east-1:123456789012:identity/example.com.

Processus d'autorisation d'envoi

L'autorisation d'envoi repose sur des stratégies d'autorisation d'envoi. Si vous souhaitez permettre à un expéditeur délégué d'effectuer un envoi en votre nom, vous devez créer une stratégie d'autorisation d'envoi et l'associer à votre identité à l'aide de la console Amazon SES ou de l'API Amazon SES. Lorsque l'expéditeur délégué tente d'envoyer un e-mail via Amazon SES en votre nom, il transmet l'ARN de votre identité dans la demande ou dans l'en-tête de l'e-mail.

Lorsqu'Amazon SES reçoit la demande d'envoi de l'e-mail et qu'une stratégie existe pour votre identité, cette dernière est vérifiée pour déterminer si vous avez autorisé l'expéditeur délégué à effectuer un envoi au nom de l'identité. Si l'expéditeur délégué est autorisé, Amazon SES accepte l'e-mail ; dans le cas contraire, Amazon SES renvoie un message d'erreur.

Le schéma suivant illustre la relation globale entre les concepts d'autorisation d'envoi :

Présentation de l'autorisation d'envoi

Le processus d'autorisation d'envoi se compose des trois étapes suivantes :

  1. Le propriétaire d'identité sélectionne une identité vérifiée que l'expéditeur délégué doit utiliser. (Si vous n'avez pas vérifié d'identité, consultez Identités vérifiées.)

    Note

    Aucun jeu de configurations par défaut ne doit être affecté à l'identité vérifiée que vous choisissez pour votre expéditeur délégué.

  2. L'expéditeur délégué fait savoir au propriétaire de l'identité quel ID de compte AWS ou ARN d'utilisateur IAM il souhaite utiliser pour l'envoi.

  3. Si le propriétaire de l'identité accepte d'autoriser l'expéditeur délégué à effectuer des envois à partir de l'un des comptes du propriétaire, celui-ci crée une politique d'autorisation d'envoi et l'attache à l'identité choisie en utilisant la console Amazon SES ou l'API Amazon SES.

  4. Le propriétaire de l'identité donne à l'expéditeur délégué l'ARN de l'identité autorisée afin que l'expéditeur délégué puisse fournir l'ARN à Amazon SES au moment de l'envoi de l'e-mail.

  5. L'expéditeur délégué peut configurer des notifications de retour à l'expéditeur et de réclamation via la publication d'événement activée dans un jeu de configurations spécifié lors de l'envoi délégué. Le propriétaire de l'identité peut également configurer des notifications de commentaires par e-mail pour les événements de retour à l'expéditeur et de réclamation à envoyer aux rubriques Amazon SNS de l'expéditeur délégué.

    Note

    Si le propriétaire de l'identité désactive l'envoi de notifications d'événements, l'expéditeur délégué doit configurer la publication d'événements pour publier les événements de rebond et de plainte sur une rubrique Amazon SNS ou un stream Firehose. L'expéditeur doit également appliquer le jeu de configurations qui contient la règle de publication d'événements à chaque e-mail qu'il envoie. Si ni le propriétaire d'identité ni l'expéditeur délégué ne configure une méthode d'envoi de notifications d'événements de retour à l'expéditeur et de réclamation, ou si l'expéditeur n'applique pas le jeu de configurations qui utilise la règle de publication d'événements, Amazon SES envoie automatiquement les notifications d'événements par e-mail à l'adresse indiquée dans le champ Return-Path (Chemin de retour) de l'e-mail (ou à l'adresse du champ Source si vous n'avez pas spécifié d'adresse Return-Path (Chemin de retour)), même si le propriétaire d'identité a désactivé le transfert de commentaires par e-mail.

  6. L'expéditeur délégué tente d'envoyer un e-mail via Amazon SES au nom du propriétaire d'identité en transmettant l'ARN de l'identité de son propriétaire dans la demande ou dans l'en-tête de l'e-mail. L'expéditeur délégué peut envoyer l'e-mail à partir de l'interface SMTP Amazon SES ou de l'API Amazon SES. À réception de la demande, Amazon SES examine les stratégies éventuellement attachées à l'identité et accepte l'e-mail si l'expéditeur délégué est autorisé à utiliser les adresses d'expédition et de chemin de retour spécifiées ; sinon, Amazon SES renvoie une erreur et n'accepte pas le message.

    Important

    Le compte AWS de l'expéditeur délégué doit être supprimé de l'environnement de test (sandbox) pour que l'envoi d'e-mails soit utilisé afin d'envoyer des e-mails à des adresses non vérifiées.

  7. Si le propriétaire d'identité doit annuler l'autorisation accordée à l'expéditeur délégué, il modifie simplement la stratégie d'autorisation d'envoi ou la supprime entièrement. Le propriétaire d'identité peut effectuer l'une ou l'autre de ces actions à l'aide de la console Amazon SES ou de l'API Amazon SES.

Pour en savoir plus sur la façon dont le propriétaire d'identité ou l'expéditeur délégué effectue ces tâches, consultez respectivement Tâches de propriétaire d'identité ou Tâches d'expéditeur délégué.

Attribution des fonctions d'envoi d'e-mail

Il est important de comprendre le rôle de l'expéditeur délégué et du propriétaire d'identité par rapport aux fonctions d'envoi de courrier électronique Amazon SES, telles que le quota d'envoi quotidien, les retours à l'expéditeur et les réclamations, la signature DKIM, le transfert de commentaires, etc. L'attribution est la suivante :

  • Quotas d'envoi – Les e-mails envoyés à partir d'identités de propriétaire d'identité sont comptabilisés par rapport au quota de l'expéditeur délégué.

  • Retours à l'expéditeur et réclamations – Les événements de retour à l'expéditeur et de réclamation sont enregistrés par rapport au compte Amazon SES de l'expéditeur délégué et peuvent donc influer sur la réputation de l'expéditeur délégué.

  • Signature DKIM – Si le propriétaire d'identité a activé la signature Easy DKIM pour une identité, tous les e-mails envoyés à partir de cette identité sont signés par DKIM, y compris ceux envoyés par l'expéditeur délégué. Le propriétaire d'identité est le seul à pouvoir contrôler que les e-mails ont une signature DKIM.

  • Notifications – Le propriétaire d'identité et l'expéditeur délégué peuvent configurer des notifications de retours à l'expéditeur et de réclamations. Le propriétaire d'identité des e-mails peut aussi activer le transfert de commentaires par e-mail. Pour en savoir plus sur la configuration des notifications, consultez Surveillance de votre activité d'envoi Amazon SES.

  • Vérification – Les propriétaires d'identité sont tenus de suivre la procédure décrite dans Identités vérifiées pour vérifier qu'ils sont propriétaires des adresses e-mail et des domaines qu'ils autorisent les expéditeurs délégués à utiliser. Les expéditeurs délégués n'ont pas besoin de vérifier les adresses e-mail ou les domaines précisément pour l'autorisation d'envoi.

    Important

    Le compte AWS de l'expéditeur délégué doit être supprimé de l'environnement de test (sandbox) pour que l'envoi d'e-mails soit utilisé afin d'envoyer des e-mails à des adresses non vérifiées.

  • Régions AWS – L'expéditeur délégué doit envoyer les e-mails à partir de la région AWS dans laquelle l'identité de son propriétaire est vérifiée. La stratégie d'autorisation d'envoi qui donne l'autorisation à l'expéditeur délégué doit être attachée à l'identité de cette région.

  • Facturation – Tous les messages envoyés à partir du compte de l'expéditeur délégué, y compris les e-mails que l'expéditeur délégué envoie à l'aide des adresses du propriétaire d'identité, sont facturés à l'expéditeur délégué.