Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kebijakan izin untuk Mail Manager
Kebijakan dalam Bab ini disediakan sebagai titik acuan tunggal untuk kebijakan yang diperlukan untuk memanfaatkan semua fitur yang berbeda dari Mail Manager.
Di halaman fitur Mail Manager, tautan disediakan yang akan membawa Anda ke bagian masing-masing di halaman ini yang berisi kebijakan yang Anda butuhkan untuk memanfaatkan fitur tersebut. Pilih ikon salin kebijakan yang Anda butuhkan dan tempel sesuai petunjuk dalam narasi fitur masing-masing.
Kebijakan berikut memberi Anda izin untuk menggunakan berbagai fitur yang terdapat di Amazon SES Mail Manager melalui kebijakan dan AWS Secrets Manager kebijakan izin sumber daya. Jika Anda baru mengenal kebijakan izin, lihat [Anatomi kebijakan Amazon SES](policy-anatomy.md) dan [Kebijakan Izin untuk AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html).
## Kebijakan izin untuk titik akhir Ingress
Kedua kebijakan di bagian ini diperlukan untuk membuat titik akhir ingress. Untuk mempelajari cara membuat titik akhir ingress dan tempat menggunakan kebijakan ini, lihat. [Membuat titik akhir ingress di konsol SES](eb-ingress.md#eb-ingress-create-console)
### Secrets Manager rahasia kebijakan izin sumber daya untuk titik akhir ingress
Kebijakan izin sumber daya rahasia Secrets Manager berikut diperlukan untuk mengizinkan SES mengakses rahasia menggunakan sumber daya titik akhir ingress.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Id",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
]
}
```
------
### Kebijakan kunci terkelola pelanggan KMS (CMK) untuk titik akhir ingress
Diperlukan untuk menggunakan kunci yang dikelola pelanggan (CMK) untuk rahasia Anda. Pernyataan berikut diperlukan dalam kebijakan kunci KMS Anda untuk memungkinkan SES menggunakan kunci Anda untuk rahasia Anda.
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
```
### Kebijakan kunci terkelola pelanggan KMS (CMK) untuk toko kepercayaan mTLS
Jika Anda menggunakan kunci terkelola pelanggan (CMK) untuk mengenkripsi toko kepercayaan mTLS Anda, pernyataan berikut diperlukan dalam kebijakan kunci KMS Anda untuk mengizinkan SES menggunakan kunci Anda.
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
```
## Kebijakan izin untuk relay SMTP
Kedua kebijakan di bagian ini diperlukan untuk membuat relai SMTP. Untuk mempelajari cara membuat relay SMTP dan tempat menggunakan kebijakan ini, lihat. [Membuat relai SMTP di konsol SES](eb-relay.md#eb-relay-create-console)
### Secrets Manager rahasia kebijakan izin sumber daya untuk relay SMTP
Kebijakan izin sumber daya rahasia Secrets Manager berikut diperlukan untuk mengizinkan SES mengakses rahasia menggunakan sumber daya relai SMTP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Principal": {
"Service": [
"ses.amazonaws.com"
]
},
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
### Kebijakan kunci terkelola pelanggan KMS (CMK) untuk relai SMTP
Pernyataan berikut diperlukan dalam kebijakan kunci KMS Anda untuk memungkinkan SES menggunakan kunci Anda untuk rahasia Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Principal": {
"Service": "ses.amazonaws.com"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
## Kebijakan izin untuk pengarsipan Email
**Pengarsipan ekspor**
Panggilan identitas IAM `StartArchiveExport` harus memiliki akses ke bucket S3 tujuan yang dikonfigurasi oleh kebijakan IAM berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
```
------
Ini adalah kebijakan bucket S3 untuk bucket tujuan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
```
------
**catatan**
Pengarsipan tidak mendukung [kunci kondisi wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-security-warning-restrict-access-to-service-principal) (aws:SourceArn, aws:SourceAccount, aws: SourceOrg ID, atau aws:SourceOrgPaths). Ini karena pengarsipan email Mail Manager mencegah masalah deputi yang membingungkan dengan menguji apakah identitas panggilan memiliki izin tulis ke bucket tujuan ekspor menggunakan [Sesi Akses Teruskan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) sebelum memulai ekspor yang sebenarnya.
**Mengarsipkan enkripsi saat istirahat dengan KMS CMK**
Panggilan identitas IAM `CreateArchive` dan `UpdateArchive` harus memiliki akses ke ARN kunci KMS melalui kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/MyKmsKeyArnID"
}
}
```
------
Pernyataan berikut diperlukan dalam kebijakan kunci KMS Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"ses.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## Kebijakan izin dan kepercayaan untuk menjalankan tindakan aturan
Peran eksekusi aturan SES adalah peran AWS Identity and Access Management (IAM) yang memberikan izin eksekusi aturan untuk mengakses AWS layanan dan sumber daya. Sebelum membuat aturan dalam kumpulan aturan, Anda harus membuat peran IAM dengan kebijakan yang memungkinkan akses ke AWS sumber daya yang diperlukan. SES mengasumsikan peran ini saat menjalankan tindakan aturan. Misalnya, Anda dapat membuat peran eksekusi aturan yang memiliki izin untuk menulis pesan email ke bucket S3 sebagai tindakan aturan yang harus diambil saat kondisi aturan terpenuhi.
Dengan demikian, kebijakan kepercayaan berikut diperlukan *selain* kebijakan izin individu di bagian ini yang diperlukan untuk melaksanakan setiap tindakan aturan tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*"
}
}
}
]
}
```
------
**Topics**
+ [Menulis ke kebijakan S3](#eb-policies-s3)
+ [Mengirimkan ke kebijakan kotak pesan](#eb-policies-workmail)
+ [Kirim ke kebijakan internet](#eb-policies-internet)
+ [Kirimkan ke Q Kebijakan Bisnis](#eb-policies-q)
+ [Publikasikan ke kebijakan SNS](#eb-policies-sns)
+ [Kebijakan bouncing](#eb-policies-bounce)
+ [Memanggil kebijakan fungsi Lambda](#eb-policies-lambda)
### Kebijakan izin untuk tindakan aturan *Menulis ke S3*
Kebijakan berikut diperlukan agar peran IAM Anda menggunakan tindakan aturan **Tulis ke S3** yang mengirimkan email yang diterima ke bucket S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName/*"
]
},
{
"Sid": "AllowListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName"
]
}
]
}
```
------
Jika Anda menggunakan kunci terkelola AWS KMS pelanggan untuk bucket S3 dengan enkripsi sisi server diaktifkan, Anda harus menambahkan tindakan kebijakan peran IAM,. `"kms:GenerateDataKey*"` Menggunakan contoh sebelumnya, menambahkan tindakan ini ke kebijakan peran Anda akan muncul sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowKMSKeyAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:us-east-1:888888888888:key/*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang melampirkan kebijakan ke AWS KMS kunci, lihat [Menggunakan Kebijakan Utama AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Panduan AWS Key Management Service Pengembang*.
### Kebijakan izin untuk tindakan aturan *Kirim ke kotak pesan*
Kebijakan berikut diperlukan agar peran IAM Anda menggunakan tindakan aturan **Kirim ke kotak pesan yang mengirimkan** email yang diterima ke akun Amazon. WorkMail
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["workmail:DeliverToMailbox"],
"Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>"
}
]
}
```
------
### Kebijakan izin untuk tindakan aturan *Kirim ke internet*
Kebijakan berikut diperlukan agar peran IAM Anda menggunakan tindakan aturan **Kirim ke internet** yang mengirimkan email yang diterima ke domain eksternal.
**catatan**
Jika identitas SES Anda menggunakan set konfigurasi default, Anda juga harus menambahkan sumber daya set konfigurasi seperti yang ditunjukkan pada contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["ses:SendEmail", "ses:SendRawEmail"],
"Resource":[
"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set"
]
}
]
}
```
------
### Kebijakan izin untuk tindakan aturan *Deliver to Q Business*
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan Deliver **to Q Business**, yang mengirimkan email yang diterima ke indeks Amazon Q Business.
Kebijakan IAM diperlukan untuk peran Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToQBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:BatchPutDocument"
],
"Resource": [
"arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID"
]
}
]
}
```
------
Pernyataan yang diperlukan dalam kebijakan kunci KMS Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForQbusiness",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang melampirkan kebijakan ke AWS KMS kunci, lihat [Menggunakan Kebijakan Utama AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Panduan AWS Key Management Service Pengembang*.
### Kebijakan izin untuk tindakan aturan *Publikasikan ke SNS*
Kebijakan berikut diperlukan untuk menggunakan tindakan aturan **Publikasikan ke SNS**, yang mengirimkan email yang diterima ke topik Amazon SNS.
Kebijakan IAM diperlukan untuk peran Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSNSTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:888888888888:MySnsTopic"
]
}
]
}
```
------
Pernyataan yang diperlukan dalam kebijakan kunci KMS Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForSNS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang melampirkan kebijakan ke AWS KMS kunci, lihat [Menggunakan Kebijakan Utama AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Panduan AWS Key Management Service Pengembang*.
### Kebijakan izin untuk tindakan aturan *Bounce*
Kebijakan berikut diperlukan agar peran IAM Anda menggunakan tindakan aturan **Bounce** yang memantulkan email dengan mengembalikan respons bouncing ke pengirim.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSendBounce",
"Effect": "Allow",
"Action": [
"ses:SendBounce"
],
"Resource": [
"arn:aws:ses:us-east-1:123456789012:identity/*"
],
"Condition": {
"StringEquals": {
"ses:FromAddress": "sender@example.com"
}
}
}
]
}
```
### Kebijakan izin untuk tindakan aturan *fungsi Invoke Lambda*
Kebijakan berikut diperlukan agar peran IAM Anda menggunakan tindakan aturan **fungsi Invoke Lambda yang memanggil fungsi** untuk memproses email AWS Lambda .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowInvokeLambdaFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:MyFunction"
]
}
]
}
```