Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Manajemen identitas dan akses di Amazon SES
Anda dapat menggunakan AWS Identity and Access Management (IAM) dengan Amazon Simple Email Service (AmazonSES) untuk menentukan SES API tindakan yang dapat dilakukan pengguna, grup, atau peran. (Dalam topik ini kita mengacu pada entitas ini secara kolektif sebagai pengguna.) Anda juga dapat mengontrol alamat email pengguna agar dapat digunakan untuk alamat email "Dari", penerima, dan "Jalur-Kembali".
Misalnya, Anda dapat membuat IAM kebijakan yang memungkinkan pengguna di organisasi Anda mengirim email, tetapi tidak melakukan tindakan administratif seperti memeriksa statistik pengiriman. Sebagai contoh lain, Anda dapat menulis kebijakan yang memungkinkan pengguna mengirim email melalui SES dari akun Anda, tetapi hanya jika mereka menggunakan alamat “Dari” tertentu.
Untuk menggunakannyaIAM, Anda menentukan IAM kebijakan, yang merupakan dokumen yang secara eksplisit mendefinisikan izin, dan melampirkan kebijakan tersebut ke pengguna. Untuk mempelajari cara membuat IAM kebijakan, lihat Panduan IAM Pengguna. Selain menerapkan batasan yang Anda tetapkan dalam kebijakan Anda, tidak ada perubahan pada cara pengguna berinteraksi dengan SES atau cara SES melaksanakan permintaan.
catatan
-
Jika akun Anda ada di SES kotak pasir, batasannya mencegah penerapan beberapa kebijakan ini - lihat. Minta akses produksi
-
Anda juga dapat mengontrol akses SES dengan menggunakan kebijakan otorisasi pengiriman. Sementara IAM kebijakan membatasi apa yang dapat dilakukan pengguna individu, mengirimkan kebijakan otorisasi membatasi bagaimana identitas terverifikasi individu dapat digunakan. Selanjutnya, hanya kebijakan otorisasi pengiriman yang dapat memberikan akses lintas akun. Untuk informasi selengkapnya tentang otorisasi pengiriman, lihat Menggunakan otorisasi pengiriman dengan Amazon SES.
Jika Anda mencari informasi tentang cara menghasilkan SES SMTP kredensi untuk pengguna yang sudah ada, lihat. Mendapatkan kredensial SMTP Amazon SES
Membuat IAM Kebijakan untuk Akses ke SES
Bagian ini menjelaskan bagaimana Anda dapat menggunakan IAM kebijakan secara khususSES. Untuk mempelajari cara membuat IAM kebijakan secara umum, lihat Panduan IAM Pengguna.
Ada tiga alasan yang mungkin Anda gunakan IAM denganSES:
-
Untuk membatasi tindakan pengiriman-email.
-
Untuk membatasi alamat email "Dari", penerima, dan "Jalur-Kembali" yang dikirim oleh pengguna.
-
Untuk mengontrol aspek umum API penggunaan seperti periode waktu di mana pengguna diizinkan untuk memanggil APIs bahwa mereka berwenang untuk menggunakan.
Membatasi Tindakan
Untuk mengontrol SES tindakan mana yang dapat dilakukan pengguna, Anda menggunakan Action elemen IAM kebijakan. Anda dapat mengatur Action elemen untuk SES API tindakan apapun dengan awalan API nama dengan string huruf kecil. ses: Misalnya, Anda dapat mengatur Action ke ses:SendEmail, ses:GetSendStatistics, atau ses:* (untuk semua tindakan).
Kemudian, tergantung pada Action, tentukan elemen Resource sebagai berikut:
Jika Action elemen hanya mengizinkan akses ke pengiriman email APIs (yaitu, dan/atau): ses:SendEmail ses:SendRawEmail
-
Untuk memungkinkan pengguna mengirim dari identitas apa pun di Anda Akun AWS, atur
Resourceke* -
Untuk membatasi identitas yang diizinkan untuk dikirim oleh pengguna, setel
Resourceke identitas ARNs yang Anda izinkan untuk digunakan oleh pengguna.
Jika Action elemen mengizinkan akses ke semuaAPIs:
-
Jika Anda tidak ingin membatasi identitas yang dapat dikirim oleh pengguna, atur
Resourcemenjadi * -
Jika Anda ingin membatasi identitas yang diizinkan untuk dikirim oleh pengguna, Anda perlu membuat dua kebijakan (atau dua pernyataan dalam satu kebijakan):
-
Satu dengan
Actionset ke daftar eksplisit yang diizinkan non-email-sending APIs danResourcedisetel ke* -
Satu dengan
Actionset ke salah satu pengiriman email APIs (ses:SendEmaildan/atauses:SendRawEmail), danResourceatur ke ARN identitas yang Anda izinkan untuk digunakan pengguna.
-
Untuk daftar SES tindakan yang tersedia, lihat APIReferensi Layanan Email Sederhana Amazon. Jika pengguna akan menggunakan SMTP antarmuka, Anda harus mengizinkan ses:SendRawEmail akses minimum.
Membatasi Alamat Email
Jika Anda ingin membatasi pengguna ke alamat email tertentu, maka Anda dapat menggunakan blok Condition. Di Condition blok, Anda menentukan kondisi dengan menggunakan tombol kondisi seperti yang dijelaskan dalam Panduan IAM Pengguna. Dengan menggunakan kunci syarat, Anda dapat mengontrol alamat email berikut:
catatan
Kunci kondisi alamat email ini hanya berlaku untuk yang APIs tercantum dalam tabel berikut.
Kunci Syarat |
Deskripsi |
API |
|---|---|---|
|
Membatasi alamat penerima, yang meliputi alamat Kepada:, “CC”, dan BCC "”. |
|
|
Membatasi alamat "Dari". |
|
|
Membatasi alamat "Dari" yang digunakan sebagai nama tampilan. |
|
|
Membatasi alamat "Jalur-Kembali", yang merupakan alamat tempat pentalan dan aduan dapat dikirim kepada Anda melalui penerusan umpan balik email. Untuk informasi tentang penerusan umpan balik email, lihat Menerima notifikasi Amazon SES melalui email. |
|
|
Memungkinkan Anda mengontrol ID endpoint apa yang digunakan saat mengirim email |
|
Membatasi berdasarkan versi SES API
Dengan menggunakan ses:ApiVersion kunci dalam kondisi, Anda dapat membatasi akses SES berdasarkan versi. SES API
catatan
SESSMTPAntarmuka menggunakan SES API versi 2 darises:SendRawEmail.
Membatasi Penggunaan Umum API
Dengan menggunakan tombol AWS-wide dalam kondisi, Anda dapat membatasi akses SES berdasarkan aspek-aspek seperti tanggal dan waktu yang diizinkan akses pengguna. APIs SEShanya mengimplementasikan kunci kebijakan AWS-wide berikut:
-
aws:CurrentTime -
aws:EpochTime -
aws:SecureTransport -
aws:SourceIp -
aws:SourceVpc -
aws:SourceVpce -
aws:UserAgent -
aws:VpcSourceIp
Untuk informasi selengkapnya tentang kunci ini, lihat Panduan IAM Pengguna.
Contoh IAM Kebijakan untuk SES
Topik ini memberikan contoh kebijakan yang mengizinkan akses penggunaSES, tetapi hanya dalam kondisi tertentu.
Contoh kebijakan di bagian ini:
Memungkinkan Akses Penuh ke Semua SES Tindakan
Kebijakan berikut memungkinkan pengguna untuk memanggil SES tindakan apa pun.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:*" ], "Resource":"*" } ] }
Mengizinkan Akses hanya ke SES API versi 2
Kebijakan berikut memungkinkan pengguna untuk memanggil hanya SES tindakan API versi 2.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:*" ], "Resource":"*", "Condition": { "StringEquals" : { "ses:ApiVersion" : "2" } } } ] }
Mengizinkan Akses Hanya ke Tindakan Pengiriman-Email
Kebijakan berikut memungkinkan pengguna untuk mengirim email menggunakanSES, tetapi tidak mengizinkan pengguna untuk melakukan tindakan administratif seperti mengakses statistik SES pengiriman.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*" } ] }
Membatasi Periode Waktu Pengiriman
Kebijakan berikut mengizinkan pengguna untuk menelepon SES pengiriman email APIs hanya selama bulan September 2018.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "DateGreaterThan":{ "aws:CurrentTime":"2018-08-31T12:00Z" }, "DateLessThan":{ "aws:CurrentTime":"2018-10-01T12:00Z" } } } ] }
Membatasi Alamat Penerima
Kebijakan berikut mengizinkan pengguna untuk memanggil SES pengiriman email, tetapi hanya ke alamat penerima di domain example.com (peka huruf APIs besar/kecil). StringLike
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "ForAllValues:StringLike":{ "ses:Recipients":[ "*@example.com" ] } } } ] }
Membatasi Alamat "Dari"
Kebijakan berikut mengizinkan pengguna untuk menelepon SES pengirim emailAPIs, tetapi hanya jika alamat “Dari” adalah marketing@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FromAddress":"marketing@example.com" } } } ] }
Kebijakan berikut mengizinkan pengguna untuk menelepon SendBounceAPI, tetapi hanya jika alamat “Dari” adalah bounce@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendBounce" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FromAddress":"bounce@example.com" } } } ] }
Membatasi Nama Tampilan Pengirim Email
Kebijakan berikut mengizinkan pengguna untuk memanggil SES pengiriman emailAPIs, tetapi hanya jika nama tampilan alamat “Dari” termasuk Pemasaran (StringLikepeka huruf besar/kecil).
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringLike":{ "ses:FromDisplayName":"Marketing" } } } ] }
Membatasi Tujuan dari Umpan Balik Pentalan dan Aduan
Kebijakan berikut mengizinkan pengguna untuk memanggil SES pengiriman emailAPIs, tetapi hanya jika “Jalur Kembali” email disetel ke feedback@example.com.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ses:SendEmail", "ses:SendRawEmail" ], "Resource":"*", "Condition":{ "StringEquals":{ "ses:FeedbackAddress":"feedback@example.com" } } } ] }
