Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Políticas de permisos del Administrador de correo electrónico
Las políticas de este capítulo se proporcionan como punto de referencia único en el que consultar las políticas necesarias para utilizar todas las características del Administrador de correo electrónico.
En las páginas de características del Administrador de correo electrónico, hay enlaces que lo llevarán a la sección correspondiente de esta página que contiene las políticas que necesita para utilizar cada característica. Seleccione el icono de copia de la política que necesite y péguelo como se indica en la explicación de la característica correspondiente.
Las siguientes políticas le otorgan permiso para usar las diferentes funciones incluidas en Amazon SES Mail Manager a través de políticas y AWS Secrets Manager políticas de permisos de recursos. Si es la primera vez que utiliza políticas de permisos, consulte [Anatomía de las políticas de Amazon SES](policy-anatomy.md) y [Políticas de permisos para AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html).
## Políticas de permisos para puntos de conexión de entrada
Las dos políticas de esta sección se requieren para crear un punto de conexión de entrada. Para obtener más información acerca de cómo crear un punto de conexión de entrada y dónde usar estas políticas, consulte [Creación de un punto de conexión de entrada en la consola de SES](eb-ingress.md#eb-ingress-create-console).
### Política de permisos de recursos de secretos de Secrets Manager para puntos de conexión de entrada
La siguiente política de permisos de recursos de secretos de Secrets Manager se requiere para permitir que SES tenga acceso al secreto mediante el recurso de punto de conexión de entrada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Id",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
]
}
```
------
### Política de claves administradas por el cliente (CMK) de KMS para puntos de conexión de entrada
Es obligatorio utilizar una clave gestionada por el cliente (CMK) como secreto. La siguiente declaración es obligatoria en su política de claves de KMS para que SES pueda utilizar su clave como secreto.
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
```
### Política de claves administradas por el cliente (CMK) de KMS para el almacén de confianza de mTLS
Si utiliza una clave gestionada por el cliente (CMK) para cifrar su almacén de confianza de mTLS, su política de claves de KMS debe incluir la siguiente declaración para que SES pueda utilizar su clave.
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
```
## Políticas de permisos para relés de SMTP
Las dos políticas de esta sección se requieren para crear un relé de SMTP. Para obtener más información acerca de cómo crear un relé de SMTP y dónde usar estas políticas, consulte [Creación de un relé de SMTP en la consola de SES](eb-relay.md#eb-relay-create-console).
### Política de permisos de recursos de secretos de Secrets Manager para relés de SMTP
La siguiente política de permisos de recursos de secretos de Secrets Manager se requiere para permitir que SES tenga acceso al secreto mediante el recurso de relé de SMTP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Principal": {
"Service": [
"ses.amazonaws.com"
]
},
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
### Política de claves administradas por el cliente (CMK) de KMS para relés de SMTP
La siguiente declaración es obligatoria en tu política de claves de KMS para que SES pueda usar tu clave como secreto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Principal": {
"Service": "ses.amazonaws.com"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
## Políticas de permisos para archivar correo electrónico
**Exportación de archivos**
La llamada de identidad de IAM `StartArchiveExport` debe tener acceso al depósito de S3 de destino configurado según la siguiente política de IAM:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
```
------
Esta es la política del bucket de S3 para el bucket de destino:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
```
------
**nota**
El archivado no admite [claves de condición secundarias confusas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-security-warning-restrict-access-to-service-principal) (aws:SourceArn, aws:SourceAccount, aws: SourceOrg ID o aws:SourceOrgPaths). Esto se debe a que, para evitar el problema de los suplentes confusos, antes de iniciar la exportación propiamente dicha, el archivado de correo electrónico del Administrador de correo electrónico utiliza [sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) para comprobar si la identidad que llama tiene permisos de escritura para el bucket de destino de la exportación.
**Archivado del cifrado en reposo con CMK de KMS**
La identidad de IAM llama `CreateArchive` y `UpdateArchive` debe tener acceso a la clave ARN de KMS mediante la siguiente política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/MyKmsKeyArnID"
}
}
```
------
La política de claves de KMS requiere las siguientes declaraciones:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"ses.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## Políticas de permisos y de confianza para ejecutar acciones de reglas
La función de ejecución de reglas de SES es una función AWS Identity and Access Management (IAM) que otorga a las reglas permiso de ejecución para acceder a AWS los servicios y recursos. Antes de crear una regla en un conjunto de reglas, debe crear una función de IAM con una política que permita el acceso a los recursos necesarios AWS . SES asume este rol al ejecutar una acción de una regla. Por ejemplo, puede crear un rol de ejecución de reglas que tenga permiso para realizar la acción de regla consistente en escribir un mensaje de correo electrónico en un bucket de S3 cuando se cumplan las condiciones de la regla.
Por tanto, se requiere la siguiente política de confianza *además de* las políticas de permisos individuales de esta sección, necesaria para ejecutar cada acción de regla específica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*"
}
}
}
]
}
```
------
**Topics**
+ [Política para Escribir en S3](#eb-policies-s3)
+ [Política para Entregar al buzón](#eb-policies-workmail)
+ [Política para Enviar a Internet](#eb-policies-internet)
+ [Política Entregar a Q Business](#eb-policies-q)
+ [Política Publicar en SNS](#eb-policies-sns)
+ [Política de rebote](#eb-policies-bounce)
+ [Invocar la política de funciones Lambda](#eb-policies-lambda)
### Política de permisos para la acción de regla *Escribir en S3*
La siguiente política es necesaria para que su función de IAM utilice la acción de regla **Escribir en S3**, que envía el correo electrónico recibido a un bucket de S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName/*"
]
},
{
"Sid": "AllowListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName"
]
}
]
}
```
------
Si utilizas una clave gestionada por el AWS KMS cliente para un bucket de S3 con el cifrado del lado del servidor activado, tendrás que añadir la acción política de rol de IAM,. `"kms:GenerateDataKey*"` Con el ejemplo anterior, la adición de esta acción a la política del roles se haría así:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowKMSKeyAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:us-east-1:888888888888:key/*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
*Para obtener más información sobre cómo adjuntar políticas a las AWS KMS claves, consulte [Uso de políticas clave AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) la Guía para desarrolladores.AWS Key Management Service *
### Política de permisos para la acción de regla *Entregar al buzón*
La siguiente política es necesaria para que su función de IAM utilice la acción de regla **Entregar en el buzón**, que entrega el correo electrónico recibido a una WorkMail cuenta de Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["workmail:DeliverToMailbox"],
"Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>"
}
]
}
```
------
### Política de permisos para la acción de regla *Enviar a Internet*
La siguiente política es necesaria para que tu función de IAM utilice la acción de regla **Enviar a Internet**, que envía el correo electrónico recibido a un dominio externo.
**nota**
Si su identidad de SES usa un conjunto de configuraciones predeterminado, también tendrá que agregar el recurso del conjunto de configuraciones, como se muestra en el siguiente ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["ses:SendEmail", "ses:SendRawEmail"],
"Resource":[
"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set"
]
}
]
}
```
------
### Política de permisos para la acción de regla *Entregar a Q Business*
Las siguientes políticas son necesarias para utilizar la acción de regla **Entregar a Q Business**, que entrega el correo electrónico recibido a un índice de Amazon Q Business.
La política de IAM es necesaria para su función:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToQBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:BatchPutDocument"
],
"Resource": [
"arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID"
]
}
]
}
```
------
Declaración obligatoria en su política clave de KMS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForQbusiness",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
Para obtener más información sobre cómo adjuntar políticas a AWS KMS las claves, consulte [Uso de políticas clave AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) la *Guía para AWS Key Management Service desarrolladores*.
### Política de permisos para la acción de regla *Publicar en SNS*
Las siguientes políticas son necesarias para utilizar la acción de regla **Publicar en SNS**, que entrega el correo electrónico recibido a un tema de Amazon SNS.
Política de IAM necesaria para su puesto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSNSTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:888888888888:MySnsTopic"
]
}
]
}
```
------
Declaración obligatoria en su política clave de KMS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForSNS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
Para obtener más información sobre cómo adjuntar políticas a AWS KMS las claves, consulte [Uso de políticas clave AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) la *Guía para AWS Key Management Service desarrolladores*.
### Política de permisos para la acción de la *regla de rebote*
La siguiente política es necesaria para que su función de IAM utilice la acción de la regla de **rebote**, que hace rebotar el correo electrónico devolviendo una respuesta de rebote al remitente.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSendBounce",
"Effect": "Allow",
"Action": [
"ses:SendBounce"
],
"Resource": [
"arn:aws:ses:us-east-1:123456789012:identity/*"
],
"Condition": {
"StringEquals": {
"ses:FromAddress": "sender@example.com"
}
}
}
]
}
```
### Política de permisos para la *acción de regla Invoke Lambda*
La siguiente política es necesaria para que su función de IAM utilice la acción de regla **Invocar función Lambda, que invoca una función** para procesar el correo electrónico AWS Lambda .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowInvokeLambdaFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:MyFunction"
]
}
]
}
```