Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identity and access management di Amazon SES
Anda dapat menggunakan AWS Identity and Access Management (IAM) dengan Amazon Simple Email Service (Amazon SES) untuk menentukan tindakan SES API yang dapat dilakukan pengguna, grup, atau peran. (Dalam topik ini kita mengacu pada entitas ini secara kolektif sebagai *pengguna*.) Anda juga dapat mengontrol alamat email pengguna agar dapat digunakan untuk alamat email "Dari", penerima, dan "Jalur-Kembali".
Misalnya, Anda dapat membuat kebijakan IAM yang memungkinkan pengguna di organisasi Anda untuk mengirim email, namun tidak melakukan tindakan administratif seperti memeriksa statistik pengiriman. Sebagai contoh lain, Anda dapat menulis kebijakan yang memungkinkan pengguna mengirim email melalui SES dari akun Anda, tetapi hanya jika mereka menggunakan alamat “Dari” tertentu.
Untuk menggunakan IAM, Anda menentukan kebijakan IAM, yang merupakan dokumen yang secara eksplisit menentukan izin, dan melampirkan kebijakan untuk pengguna. Untuk mempelajari cara membuat kebijakan IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html). Selain menerapkan batasan yang Anda tetapkan dalam kebijakan Anda, tidak ada perubahan pada cara pengguna berinteraksi dengan SES atau cara SES melakukan permintaan.
**catatan**
Jika akun Anda berada di kotak pasir SES, batasannya mencegah penerapan beberapa kebijakan ini - lihat. [Minta akses produksi](request-production-access.md)
Anda juga dapat mengontrol akses ke SES dengan menggunakan kebijakan otorisasi pengiriman. Sementara kebijakan IAM membatasi apa yang dapat dilakukan pengguna individu, mengirimkan kebijakan otorisasi membatasi bagaimana identitas terverifikasi individu dapat digunakan. Selanjutnya, hanya kebijakan otorisasi pengiriman yang dapat memberikan akses lintas akun. Untuk informasi selengkapnya tentang otorisasi pengiriman, lihat [Menggunakan otorisasi pengiriman dengan Amazon SES](sending-authorization.md).
Jika Anda mencari informasi tentang cara menghasilkan kredenal SES SMTP untuk pengguna yang sudah ada, lihat. [Mendapatkan kredensial SMTP Amazon SES](smtp-credentials.md)
## Membuat Kebijakan IAM untuk Akses ke SES
Bagian ini menjelaskan bagaimana Anda dapat menggunakan kebijakan IAM secara khusus dengan SES. Untuk mempelajari cara membuat kebijakan IAM secara umum, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html).
Ada tiga alasan Anda mungkin menggunakan IAM dengan SES:
+ Untuk membatasi tindakan pengiriman-email.
+ Untuk membatasi alamat email "Dari", penerima, dan "Jalur-Kembali" yang dikirim oleh pengguna.
+ Untuk mengontrol aspek umum penggunaan API seperti periode waktu di mana pengguna diizinkan untuk memanggil APIs yang mereka berwenang untuk menggunakan.
### Membatasi Tindakan
Untuk mengontrol tindakan SES mana yang dapat dilakukan pengguna, Anda menggunakan `Action` elemen kebijakan IAM. Anda dapat mengatur `Action` elemen ke tindakan SES API apa pun dengan mengawali nama API dengan string huruf kecil. `ses:` Misalnya, Anda dapat mengatur `Action` ke `ses:SendEmail`, `ses:GetSendStatistics`, atau `ses:*` (untuk semua tindakan).
Kemudian, tergantung pada `Action`, tentukan elemen `Resource` sebagai berikut:
**Jika `Action` elemen hanya mengizinkan akses ke pengiriman email APIs (yaitu, dan/atau): `ses:SendEmail` `ses:SendRawEmail`**
+ Untuk memungkinkan pengguna mengirim dari identitas apa pun di Anda Akun AWS, atur `Resource` ke\*
+ Untuk membatasi identitas yang diizinkan untuk dikirim oleh pengguna, setel `Resource` ke identitas ARNs yang Anda izinkan untuk digunakan oleh pengguna.
**Jika `Action` elemen mengizinkan akses ke semua APIs:**
+ Jika Anda tidak ingin membatasi identitas yang dapat dikirim oleh pengguna, atur `Resource` menjadi \*
+ Jika Anda ingin membatasi identitas yang diizinkan untuk dikirim oleh pengguna, Anda perlu membuat dua kebijakan (atau dua pernyataan dalam satu kebijakan):
+ Satu dengan `Action` set ke daftar eksplisit yang diizinkan non-email-sending APIs dan `Resource` disetel ke\*
+ Satu dengan `Action` disetel ke salah satu pengiriman email APIs (`ses:SendEmail`dan/atau`ses:SendRawEmail`), dan `Resource` atur ke ARN identitas yang Anda izinkan untuk digunakan pengguna.
Untuk daftar tindakan SES yang tersedia, lihat [Referensi API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/). Jika pengguna akan menggunakan antarmuka SMTP, Anda harus mengizinkan akses ke `ses:SendRawEmail` minimum.
### Membatasi Alamat Email
Jika Anda ingin membatasi pengguna ke alamat email tertentu, maka Anda dapat menggunakan blok `Condition`. Di blok `Condition`, Anda menentukan syarat dengan menggunakan kunci syarat seperti yang dijelaskan dalam [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition). Dengan menggunakan kunci syarat, Anda dapat mengontrol alamat email berikut:
**catatan**
Kunci kondisi alamat email ini hanya berlaku untuk yang APIs tercantum dalam tabel berikut.
****
| Kunci Syarat | Deskripsi | API |
| --- | --- | --- |
| `ses:Recipients` | Membatasi alamat penerima, yang meliputi alamat Kepada:, "CC", dan "BCC". | `SendEmail`, `SendRawEmail` |
| `ses:FromAddress` | Membatasi alamat "Dari". | `SendEmail`, `SendRawEmail`, `SendBounce` |
| `ses:FromDisplayName` | Membatasi alamat "Dari" yang digunakan sebagai nama tampilan. | `SendEmail`, `SendRawEmail` |
| `ses:FeedbackAddress` | Membatasi alamat "Jalur-Kembali", yang merupakan alamat tempat pentalan dan aduan dapat dikirim kepada Anda melalui penerusan umpan balik email. Untuk informasi tentang penerusan umpan balik email, lihat [Menerima notifikasi Amazon SES melalui email](monitor-sending-activity-using-notifications-email.md). | `SendEmail`, `SendRawEmail` |
| `ses:MultiRegionEndpointId` | Memungkinkan Anda mengontrol ID endpoint apa yang digunakan saat mengirim email | `SendEmail`, `SendBulkEmail` |
### Membatasi berdasarkan versi SES API
Dengan menggunakan `ses:ApiVersion` kunci dalam kondisi, Anda dapat membatasi akses ke SES berdasarkan versi API SES.
**catatan**
Antarmuka SES SMTP menggunakan SES API versi 2 dari. `ses:SendRawEmail`
### Membatasi Penggunaan API Umum
Dengan menggunakan tombol AWS-wide dalam kondisi, Anda dapat membatasi akses ke SES berdasarkan aspek-aspek seperti tanggal dan waktu yang diizinkan akses pengguna. APIs SES hanya mengimplementasikan kunci kebijakan AWS-wide berikut:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Untuk informasi selengkapnya tentang kunci ini, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Contoh Kebijakan IAM untuk SES
Topik ini memberikan contoh kebijakan yang mengizinkan pengguna mengakses SES, tetapi hanya dalam kondisi tertentu.
**Topics**
+ [Mengizinkan Akses Penuh ke Semua Tindakan SES](#iam-and-ses-examples-full-access)
+ [Mengizinkan Akses ke hanya SES API versi 2](#iam-and-ses-examples-access-specific-ses-api-version)
+ [Mengizinkan Akses Hanya ke Tindakan Pengiriman-Email](#iam-and-ses-examples-email-sending-actions)
+ [Membatasi Periode Waktu Pengiriman](#iam-and-ses-examples-time-period)
+ [Membatasi Alamat Penerima](#iam-and-ses-examples-recipients)
+ [Membatasi Alamat "Dari"](#iam-and-ses-examples-from-address)
+ [Membatasi Nama Tampilan Pengirim Email](#iam-and-ses-examples-display-name)
+ [Membatasi Tujuan dari Umpan Balik Pentalan dan Aduan](#iam-and-ses-examples-feedback)
### Mengizinkan Akses Penuh ke Semua Tindakan SES
Kebijakan berikut memungkinkan pengguna untuk memanggil tindakan SES apa pun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:*"
],
"Resource":"*"
}
]
}
```
------
### Mengizinkan Akses ke hanya SES API versi 2
Kebijakan berikut memungkinkan pengguna untuk memanggil hanya tindakan SES dari API versi 2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:*"
],
"Resource":"*",
"Condition": {
"StringEquals" : {
"ses:ApiVersion" : "2"
}
}
}
]
}
```
------
### Mengizinkan Akses Hanya ke Tindakan Pengiriman-Email
Kebijakan berikut mengizinkan pengguna untuk mengirim email menggunakan SES, tetapi tidak mengizinkan pengguna untuk melakukan tindakan administratif seperti mengakses statistik pengiriman SES.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*"
}
]
}
```
------
### Membatasi Periode Waktu Pengiriman
Kebijakan berikut mengizinkan pengguna untuk menghubungi pengiriman email SES APIs hanya selama bulan September 2018.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2018-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2018-10-01T12:00Z"
}
}
}
]
}
```
------
### Membatasi Alamat Penerima
*Kebijakan berikut mengizinkan pengguna untuk memanggil pengiriman email SES APIs, tetapi hanya ke alamat penerima di domain *example.com* (peka huruf besar/kecil). `StringLike`*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"ForAllValues:StringLike":{
"ses:Recipients":[
"*@example.com"
]
}
}
}
]
}
```
------
### Membatasi Alamat "Dari"
*Kebijakan berikut mengizinkan pengguna untuk memanggil pengiriman email SES APIs, tetapi hanya jika alamat “Dari” adalah marketing@example.com.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FromAddress":"marketing@example.com"
}
}
}
]
}
```
------
Kebijakan berikut mengizinkan pengguna untuk memanggil [SendBounce](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendBounce.html)API, tetapi hanya jika alamat “Dari” adalah *bounce@example.com*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendBounce"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FromAddress":"bounce@example.com"
}
}
}
]
}
```
------
### Membatasi Nama Tampilan Pengirim Email
*Kebijakan berikut mengizinkan pengguna untuk memanggil pengiriman email SES APIs, tetapi hanya jika nama tampilan alamat “Dari” termasuk *Pemasaran* (`StringLike`peka huruf besar/kecil).*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
### Membatasi Tujuan dari Umpan Balik Pentalan dan Aduan
*Kebijakan berikut mengizinkan pengguna untuk memanggil pengiriman email SES APIs, tetapi hanya jika “Jalur Kembali” email disetel ke feedback@example.com.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FeedbackAddress":"feedback@example.com"
}
}
}
]
}
```
------