Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès dans Amazon SES
Vous pouvez utiliser Gestion des identités et des accès AWS (IAM) avec Amazon Simple Email Service (Amazon SES) pour spécifier les actions d'API SES qu'un utilisateur, un groupe ou un rôle peut effectuer. (Dans cette rubrique, nous nous référons à ces entités collectivement comme *utilisateur*.) Vous pouvez également contrôler les adresses électroniques que l'utilisateur peut utiliser pour le destinataire « From » et les adresses « Return-Path (Chemin de retour) » des e-mails.
Par exemple, vous pouvez créer une stratégie IAM permettant aux utilisateurs de votre organisation d'envoyer des e-mails, mais pas d'exécuter des actions administratives comme la vérification des statistiques d'envoi. Autre exemple, vous pouvez écrire une stratégie qui permet à un utilisateur d'envoyer des emails via SES à partir de votre compte, mais uniquement s'ils utilisent une adresse d'expédition spécifique.
Pour utiliser IAM, vous définissez une stratégie IAM, qui est un document définissant explicitement les autorisations et attachez la stratégie à un utilisateur. Pour savoir comment créer des stratégies IAM, consultez le [guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html). En dehors de l'application des restrictions que vous définissez dans votre stratégie, il n'y a pas de modifications sur la façon dont les utilisateurs interagissent avec SES ou dans la façon dont SES exécute les demandes.
**Note**
Si votre compte se trouve dans l'application de données (sandbox) SES, ses restrictions empêchent la mise en œuvre de certaines de ces politiques. Voir [Demander un accès de production](request-production-access.md).
Vous pouvez également contrôler l'accès à SES en utilisant les stratégies d'autorisation d'envoi. Si les stratégies IAM limitent les actions que les utilisateurs peuvent effectuer, les stratégies d'autorisation d'envoi limitent la façon dont les identités vérifiées peuvent être utilisées. De plus, seules les stratégies d'autorisation d'envoi peuvent accorder l'accès entre comptes. Pour en savoir plus sur l'autorisation d'envoi, consultez [Utilisation de l'autorisation d'envoi avec Amazon SES](sending-authorization.md).
Si vous recherchez des informations sur la manière de générer des informations d'identification SMTP SES pour un utilisateur, consultez [Obtention des informations d'identification SMTP Amazon SES](smtp-credentials.md).
## Création de stratégies IAM pour l'accès à SES
Cette section explique comment vous pouvez utiliser les stratégies IAM plus particulièrement avec SES. Pour apprendre à créer des stratégies IAM en général, consultez le [guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html).
Il existe trois raisons pour utiliser IAM avec SES :
+ Limiter l'action d'envoi d'e-mails.
+ Limiter les adresses « From », destinataire et « Return-Path (Chemin de retour) » des e-mails que l'utilisateur envoie.
+ Pour contrôler les aspects généraux de l'utilisation des API, tels que la période pendant laquelle un utilisateur est autorisé à appeler l'API APIs qu'il est autorisé à utiliser.
### Restriction de l'action
Pour contrôler quelles actions SES un utilisateur peut effectuer, vous utilisez l'élément `Action` d'une stratégie IAM. Vous pouvez définir l'élément `Action` sur n'importe quelle action d'API SES en préfixant le nom d'API avec la chaîne en minuscules `ses:`. Par exemple, vous pouvez définir `Action` sur `ses:SendEmail`, `ses:GetSendStatistics` ou `ses:*` (pour toutes les actions).
Ensuite, selon `Action`, spécifiez l'élément `Resource` comme suit :
**Si l'`Action`élément permet uniquement l'accès à l'envoi d'e-mails APIs (c'est-à-dire `ses:SendEmail` et/ou`ses:SendRawEmail`) :**
+ Pour autoriser l'utilisateur à envoyer à partir de n'importe quelle identité figurant dans le vôtre Compte AWS, réglez `Resource` sur \*
+ Pour restreindre les identités à partir desquelles un utilisateur est autorisé `Resource` à envoyer, définissez ARNs les identités que vous autorisez l'utilisateur à utiliser.
**Si l'`Action`élément permet d'accéder à tous APIs :**
+ Si vous ne souhaitez pas restreindre les identités à partir desquelles l'utilisateur peut effectuer des envois, définissez `Resource` sur \*
+ Si vous souhaitez restreindre les identités à partir desquelles un utilisateur est autorisé à effectuer des envois, vous devez créer deux stratégies (ou deux instructions dans une stratégie) :
+ Un avec `Action` défini sur une liste explicite des autorisations non-email-sending APIs et `Resource` défini sur \*
+ L'un étant `Action` défini sur l'un des envois d'e-mails APIs (`ses:SendEmail`et/ou`ses:SendRawEmail`) et `Resource` défini sur le ou les ARN des identités que vous autorisez l'utilisateur à utiliser.
Pour obtenir la liste des actions SES disponibles, consultez le document [Référence d'API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/). Si l'utilisateur se sert de l'interface SMTP, vous devez autoriser l'accès à `ses:SendRawEmail` au minimum.
### Restriction des adresses e-mail
Si vous voulez restreindre l'utilisateur à certaines adresses e-mail, vous pouvez utiliser un bloc `Condition`. Dans le bloc `Condition`, vous spécifiez les conditions à l'aide de clés de condition comme décrit dans le [guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition). En utilisant les clés de condition, vous pouvez contrôler les adresses électroniques suivantes :
**Note**
Ces clés de condition d'adresse e-mail s'appliquent uniquement aux APIs informations indiquées dans le tableau suivant.
****
| Clé de condition | Description | API |
| --- | --- | --- |
| `ses:Recipients` | Restreint les adresses des destinataires, qui incluent les adresses « To: », « CC » et « BCC ». | `SendEmail`, `SendRawEmail` |
| `ses:FromAddress` | Limite l'adresse d'expédition. | `SendEmail`, `SendRawEmail`, `SendBounce` |
| `ses:FromDisplayName` | Limite l'adresse d'expédition utilisée comme nom d'affichage. | `SendEmail`, `SendRawEmail` |
| `ses:FeedbackAddress` | Limite l'adresse « Return-Path (Chemin de retour) », qui est l'adresse à laquelle les retours à l'expéditeur et les réclamations peuvent vous être envoyés via le transfert de commentaires par e-mail. Pour en savoir plus sur le transfert de commentaires par e-mail, consultez [Réception des notifications Amazon SES par e-mail](monitor-sending-activity-using-notifications-email.md). | `SendEmail`, `SendRawEmail` |
| `ses:MultiRegionEndpointId` | Vous permet de contrôler quel identifiant de point de terminaison est utilisé lors de l'envoi d'e-mails | `SendEmail`, `SendBulkEmail` |
### Restriction par la version de l'API SES
En utilisant la clé `ses:ApiVersion` dans les conditions, vous pouvez restreindre l'accès à SES en fonction de la version de l'API SES.
**Note**
L'interface SMTP SES utilise l'API SES version 2 de `ses:SendRawEmail`.
### Restriction de l'utilisation de l'API générale
En utilisant des AWS touches « wide » dans certaines conditions, vous pouvez restreindre l'accès à SES en fonction d'aspects tels que la date et l'heure auxquelles l'utilisateur est autorisé à accéder APIs. SES implémente uniquement les clés AWS de politique générales suivantes :
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Pour en savoir plus sur ces clés, consultez le [guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Exemples de stratégies IAM pour SES
Cette rubrique fournit des exemples de stratégies qui permettent un accès utilisateur à SES, mais uniquement sous certaines conditions.
**Topics**
+ [Autorisation de l'accès complet à toutes les actions SES](#iam-and-ses-examples-full-access)
+ [Autorisation de l'accès à l'API SES version 2 uniquement](#iam-and-ses-examples-access-specific-ses-api-version)
+ [Autorisation de l'accès aux actions d'envoi d'e-mail uniquement](#iam-and-ses-examples-email-sending-actions)
+ [Restriction de la période d'envoi](#iam-and-ses-examples-time-period)
+ [Restriction des adresses des destinataires](#iam-and-ses-examples-recipients)
+ [Restriction de l'adresse d'expédition](#iam-and-ses-examples-from-address)
+ [Restriction du nom d'affichage de l'expéditeur de l'e-mail](#iam-and-ses-examples-display-name)
+ [Restriction de la destination des commentaires de retour à l'expéditeur et de réclamation](#iam-and-ses-examples-feedback)
### Autorisation de l'accès complet à toutes les actions SES
La stratégie suivante permet à un utilisateur d'appeler n'importe quelle action SES.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:*"
],
"Resource":"*"
}
]
}
```
------
### Autorisation de l'accès à l'API SES version 2 uniquement
La stratégie suivante permet à un utilisateur d'appeler uniquement les actions SES de l'API version 2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:*"
],
"Resource":"*",
"Condition": {
"StringEquals" : {
"ses:ApiVersion" : "2"
}
}
}
]
}
```
------
### Autorisation de l'accès aux actions d'envoi d'e-mail uniquement
La stratégie suivante permet à un utilisateur d'envoyer des e-mails avec SES, mais ne permet pas à l'utilisateur d'exécuter des actions administratives, telles que l'accès aux statistiques d'envoi SES.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*"
}
]
}
```
------
### Restriction de la période d'envoi
La politique suivante permet à un utilisateur d'appeler SES pour envoyer des e-mails APIs uniquement pendant le mois de septembre 2018.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2018-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2018-10-01T12:00Z"
}
}
}
]
}
```
------
### Restriction des adresses des destinataires
La politique suivante permet à un utilisateur d'appeler le SES pour envoyer des e-mails APIs, mais uniquement aux adresses des destinataires du domaine *example.com* (en distinguant majuscules et `StringLike` *minuscules*).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"ForAllValues:StringLike":{
"ses:Recipients":[
"*@example.com"
]
}
}
}
]
}
```
------
### Restriction de l'adresse d'expédition
*La politique suivante permet à un utilisateur d'appeler le service d'envoi d'e-mails de SES APIs, mais uniquement si l'adresse « De » est marketing@example.com.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FromAddress":"marketing@example.com"
}
}
}
]
}
```
------
La politique suivante permet à un utilisateur d'appeler l'[SendBounce](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendBounce.html)API, mais uniquement si l'adresse « De » est *bounce@example.com*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendBounce"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FromAddress":"bounce@example.com"
}
}
}
]
}
```
------
### Restriction du nom d'affichage de l'expéditeur de l'e-mail
La politique suivante permet à un utilisateur d'appeler le service d'envoi d'e-mails de SES APIs, mais uniquement si le nom d'affichage de l'adresse « De » inclut le service *Marketing* (`StringLike`en distinguant majuscules et *minuscules*).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
### Restriction de la destination des commentaires de retour à l'expéditeur et de réclamation
*La politique suivante permet à un utilisateur d'appeler le service d'envoi d'e-mails SES APIs, mais uniquement si le « chemin de retour » de l'e-mail est défini sur feedback@example.com.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FeedbackAddress":"feedback@example.com"
}
}
}
]
}
```
------