Identity and access management di Amazon SES - Amazon Simple Email Service
Membuat Kebijakan IAM untuk Akses ke SESContoh Kebijakan IAM untuk SES

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identity and access management di Amazon SES

Anda dapat menggunakanAWS Identity and Access Management (IAM) dengan Amazon Simple Email Service (Amazon SES) untuk menentukan tindakan SES API yang dapat dilakukan pengguna, grup, atau grup, atau pengguna grup, atau. (Dalam topik ini kita mengacu pada entitas ini secara kolektif sebagai pengguna.) Anda juga dapat mengontrol alamat email pengguna agar dapat digunakan untuk alamat email "Dari", penerima, dan "Jalur-Kembali".

Misalnya, Anda dapat membuat kebijakan IAM yang memungkinkan pengguna di organisasi Anda untuk mengirim email, namun tidak melakukan tindakan administratif seperti memeriksa statistik pengiriman. Sebagai contoh lain, Anda dapat menulis kebijakan yang memungkinkan pengguna untuk mengirim email melalui SES dari akun Anda, tetapi hanya jika mereka menggunakan alamat “Dari” tertentu.

Untuk menggunakan IAM, Anda menentukan kebijakan IAM, yang merupakan dokumen yang secara eksplisit menentukan izin, dan melampirkan kebijakan untuk pengguna. Untuk mempelajari cara membuat kebijakan IAM, lihat Panduan Pengguna IAM. Selain menerapkan pembatasan yang Anda atur dalam kebijakan Anda, tidak ada perubahan pada cara pengguna berinteraksi dengan SES atau cara SES melaksanakan permintaan.

catatan

  • Jika akun Anda berada di kotak pasir SES, pembatasannya juga mencegah penerapan beberapa kebijakan ini - lihatKeluar dari sandbox.

  • Anda juga dapat mengontrol akses ke SES dengan menggunakan kebijakan otorisasi pengiriman. Sementara kebijakan IAM membatasi hal-hal yang dapat dilakukan pengguna individu, kebijakan otorisasi pengiriman membatasi cara identitas individu diverifikasi agar dapat digunakan. Selanjutnya, hanya kebijakan otorisasi pengiriman yang dapat memberikan akses lintas akun. Untuk informasi selengkapnya tentang otorisasi pengiriman, lihat Menggunakan otorisasi pengiriman dengan Amazon SES.

Jika Anda mencari informasi tentang cara menghasilkan kredensi SES SMTP untuk pengguna yang sudah ada, lihatMendapatkan kredensial SMTP Amazon SES.

Membuat Kebijakan IAM untuk Akses ke SES

Bagian ini menjelaskan cara agar Anda dapat menggunakan kebijakan IAM secara khusus dengan SES. Untuk mempelajari cara membuat kebijakan IAM secara umum, lihat Panduan Pengguna IAM.

Ada tiga alasan Anda dapat menggunakan IAM dengan SES:

  • Untuk membatasi tindakan pengiriman-email.

  • Untuk membatasi alamat email "Dari", penerima, dan "Jalur-Kembali" yang dikirim oleh pengguna.

  • Untuk mengontrol aspek-aspek umum penggunaan API seperti periode waktu yang pengguna izinkan untuk memanggil API agar dapat digunakan.

Membatasi Tindakan

Untuk mengontrol tindakan SES yang dapat dilakukan pengguna, Anda menggunakanAction elemen kebijakan IAM. Anda dapat mengaturAction elemen untuk setiap tindakan SES API dengan menggunakan prefiks nama API dengan string huruf kecilses:. Misalnya, Anda dapat mengatur Action ke ses:SendEmail, ses:GetSendStatistics, atau ses:* (untuk semua tindakan).

Kemudian, tergantung pada Action, tentukan elemen Resource sebagai berikut:

JikaAction elemen hanya mengizinkan akses ke API pengiriman-email (yaitu,ses:SendEmail dan/atauses:SendRawEmail):

  • Untuk mengizinkan pengguna mengirim dari identitas apa pun di Akun AWS Anda, atur Resource menjadi *

  • Untuk membatasi identitas yang diizinkan untuk dikirim oleh pengguna, atur Resource ke ARN identitas yang Anda izinkan untuk digunakan pengguna.

JikaAction elemen memungkinkan akses ke semua API:

  • Jika Anda tidak ingin membatasi identitas yang dapat dikirim oleh pengguna, atur Resource menjadi *

  • Jika Anda ingin membatasi identitas yang diizinkan untuk dikirim oleh pengguna, Anda perlu membuat dua kebijakan (atau dua pernyataan dalam satu kebijakan):

    • Satu denganAction set ke daftar eksplisit non-email-sending API yang diizinkan danResource diatur ke *

    • Satu dengan Action diatur ke salah satu API pengiriman-email (ses:SendEmail dan/atau ses:SendRawEmail), dan Resource diatur ke ARN identitas yang Anda izinkan untuk digunakan oleh pengguna.

Untuk daftar tindakan SES yang tersedia, lihat Referensi API Amazon Simple Email Service. Jika pengguna akan menggunakan antarmuka SMTP, Anda harus mengizinkan aksesses:SendRawEmail minimal.

Membatasi Alamat Email

Jika Anda ingin membatasi pengguna ke alamat email tertentu, maka Anda dapat menggunakan blok Condition. Di blok Condition, Anda menentukan syarat dengan menggunakan kunci syarat seperti yang dijelaskan dalam Panduan Pengguna IAM. Dengan menggunakan kunci syarat, Anda dapat mengontrol alamat email berikut:

catatan

Kunci syarat alamat email ini hanya berlaku untuk API yang tercantum dalam tabel berikut.

Kunci Syarat

Deskripsi

API

ses:Recipients

Membatasi alamat penerima, yang meliputi alamat Kepada:, "CC", dan "BCC".

SendEmail, SendRawEmail

ses:FromAddress

Membatasi alamat "Dari".

SendEmail, SendRawEmail, SendBounce

ses:FromDisplayName

Membatasi alamat "Dari" yang digunakan sebagai nama tampilan.

SendEmail, SendRawEmail

ses:FeedbackAddress

Membatasi alamat "Jalur-Kembali", yang merupakan alamat tempat pentalan dan aduan dapat dikirim kepada Anda melalui penerusan umpan balik email. Untuk informasi tentang penerusan umpan balik email, lihat Menerima notifikasi Amazon SES melalui email.

SendEmail, SendRawEmail

Membatasi versi SES API

Dengan menggunakanses:ApiVersion kunci dalam kondisi, Anda dapat membatasi akses ke SES berdasarkan versi SES API.

catatan

Antarmuka SES SMTP menggunakan SES API versi 2 darises:SendRawEmail.

Membatasi Penggunaan API Umum

Dengan menggunakan kunciAWS lebar dalam syarat, Anda dapat membatasi akses ke SES berdasarkan aspek-aspek seperti tanggal dan waktu pengguna diizinkan mengakses API. SES hanya mengimplementasikan kunci kebijakanAWS lebar berikut:

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:UserAgent

Untuk informasi selengkapnya tentang kunci ini, lihat Panduan Pengguna IAM.

Contoh Kebijakan IAM untuk SES

Topik ini menyediakan contoh kebijakan yang mengizinkan akses pengguna ke SES, tetapi hanya dalam syarat tertentu.

Mengizinkan Akses Penuh ke Semua Tindakan SES

Kebijakan berikut memungkinkan pengguna untuk memanggil setiap tindakan SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:*"
      ],
      "Resource":"*"
    }
  ]
}

Mengizinkan Akses ke hanya SES API versi 2

Kebijakan berikut memungkinkan pengguna untuk memanggil hanya tindakan SES API versi 2.

{
  		                 "Version":"2012-10-17",
  		                 "Statement":[
  		                     {
  		                         "Effect":"Allow",
  		                         "Action":[
  		                         "ses:*"
  		                         ],
  		                         "Resource":"*",
  		                         "Condition": {
  		                             "StringEquals" : {
  		                             "ses:ApiVersion" : "2"
  		                             }
  		                         }
  		                     }
  		                 ]
  		             }

Mengizinkan Akses Hanya ke Tindakan Pengiriman-Email

Kebijakan berikut memungkinkan pengguna untuk mengirim email menggunakan SES, tetapi tidak mengizinkan pengguna untuk melakukan tindakan administratif, seperti mengakses statistik pengiriman SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*"
    }
  ]
}

Membatasi Periode Waktu Pengiriman

Kebijakan berikut memungkinkan pengguna untuk memanggil API pengiriman-email SES hanya selama bulan September 2018.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "DateGreaterThan":{
          "aws:CurrentTime":"2018-08-31T12:00Z"
        },
        "DateLessThan":{
          "aws:CurrentTime":"2018-10-01T12:00Z"
        }
      }
    }
  ]
}

Membatasi Alamat Penerima

Kebijakan berikut memungkinkan pengguna untuk memanggil API pengiriman-email SES, tetapi hanya untuk alamat penerima di domain example.com (StringLikeadalah case sensitive).

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringLike":{
          "ses:Recipients":[
            "*@example.com"
          ]
        }
      }
    }
  ]
}

Membatasi Alamat "Dari"

Kebijakan berikut memungkinkan pengguna untuk memanggil API pengiriman-email SES, tetapi hanya jika alamat “Dari” adalah marketing@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"marketing@example.com"
        }
      }
    }
  ]
}

Kebijakan berikut memungkinkan pengguna untuk memanggil SendBounceAPI, tetapi hanya jika alamat “Dari” adalah bounce@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendBounce"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"bounce@example.com"
        }
      }
    }
  ]
}

Membatasi Nama Tampilan Pengirim Email

Kebijakan berikut memungkinkan pengguna untuk memanggil API pengiriman-email SES, tetapi hanya jika nama tampilan alamat “Dari” menyertakan Marketing (StringLikebersifat case sensitive). 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "ses:FromDisplayName":"Marketing"
        }
      }
    }
  ]
}

Membatasi Tujuan dari Umpan Balik Pentalan dan Aduan

Kebijakan berikut memungkinkan pengguna untuk memanggil API pengiriman-email SES, tetapi hanya jika “Jalur-Kembali” email diatur menjadi feedback@example.com.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FeedbackAddress":"feedback@example.com"
        }
      }
    }
  ]
}