Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Politiche di autorizzazione per Mail Manager
Le politiche di questo capitolo sono fornite come unico punto di riferimento per le politiche necessarie per utilizzare tutte le diverse funzionalità di Mail Manager.
Nelle pagine delle funzionalità di Mail Manager, vengono forniti collegamenti che rimandano alla rispettiva sezione di questa pagina che contiene le politiche necessarie per utilizzare la funzionalità. Seleziona l'icona di copia della politica che ti serve e incollala come indicato nella descrizione della rispettiva funzionalità.
Le seguenti politiche consentono di utilizzare le diverse funzionalità contenute in Amazon SES Mail Manager tramite politiche e Gestione dei segreti AWS politiche di autorizzazione delle risorse. Se non conosci le politiche di autorizzazione, consulta [Anatomia della policy Amazon SES](policy-anatomy.md) e [Politiche di autorizzazione per Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html).
## Politiche di autorizzazione per l'endpoint Ingress
Entrambe le policy di questa sezione sono necessarie per creare un endpoint di ingresso. Per sapere come creare un endpoint di ingresso e dove utilizzare queste politiche, consulta. [Creazione di un endpoint di ingresso nella console SES](eb-ingress.md#eb-ingress-create-console)
### Secrets Manager: politica di autorizzazione delle risorse segrete per l'endpoint di ingresso
La seguente politica di autorizzazione delle risorse segrete di Secrets Manager è necessaria per consentire a SES di accedere al segreto utilizzando la risorsa ingress endpoint.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Id",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
]
}
```
------
### Politica relativa alle chiavi gestite dai clienti (CMK) di KMS per l'endpoint di ingresso
È necessario utilizzare una chiave gestita dal cliente (CMK) per il segreto. La seguente dichiarazione è obbligatoria nell'ambito della politica delle chiavi KMS per consentire a SES di utilizzare la chiave per il segreto.
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
```
### Politica relativa alle chiavi gestite dai clienti (CMK) di KMS per MTL Trust Store
Se utilizzi una chiave gestita dal cliente (CMK) per crittografare il tuo trust store MTLS, nella politica delle chiavi KMS è richiesta la seguente dichiarazione per consentire a SES di utilizzare la tua chiave.
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
```
## Politiche di autorizzazione per l'inoltro SMTP
Entrambe le policy di questa sezione sono necessarie per creare un relè SMTP. Per informazioni su come creare un relè SMTP e dove utilizzare queste politiche, consulta. [Creazione di un relè SMTP nella console SES](eb-relay.md#eb-relay-create-console)
### Secrets Manager: politica di autorizzazione delle risorse segrete per l'inoltro SMTP
La seguente politica di autorizzazione delle risorse segrete di Secrets Manager è necessaria per consentire a SES di accedere al segreto utilizzando la risorsa di inoltro SMTP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Principal": {
"Service": [
"ses.amazonaws.com"
]
},
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
### Politica delle chiavi CMK (Customer Managed Key) di KMS per il relè SMTP
La seguente dichiarazione è richiesta all'interno della politica delle chiavi KMS per consentire a SES di utilizzare la chiave come segreto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Principal": {
"Service": "ses.amazonaws.com"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
## Politiche di autorizzazione per l'archiviazione delle e-mail
**Archiviazione ed esportazione**
La chiamata di identità IAM `StartArchiveExport` deve avere accesso al bucket S3 di destinazione configurato dalla seguente policy IAM:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
```
------
Questa è la policy del bucket S3 per il bucket di destinazione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
```
------
**Nota**
L'archiviazione non supporta [chiavi sostitutive confuse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-security-warning-restrict-access-to-service-principal) (aws:SourceArn, aws:, aws: SourceAccount SourceOrg ID o aws:). SourceOrgPaths Questo perché l'archiviazione delle e-mail di Mail Manager previene il problema del confuso vice verificando se l'identità chiamante dispone delle autorizzazioni di scrittura per il bucket di destinazione dell'esportazione utilizzando [Forward Access Sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) prima di iniziare l'esportazione effettiva.
**Archiviazione della crittografia inattiva con KMS CMK**
L'identità IAM chiama `CreateArchive` e `UpdateArchive` deve avere accesso alla chiave KMS ARN tramite la seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/MyKmsKeyArnID"
}
}
```
------
Le seguenti dichiarazioni sono obbligatorie all'interno della tua policy chiave KMS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"ses.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## Politiche di autorizzazione e fiducia per eseguire le azioni relative alle regole
Il ruolo di esecuzione delle regole SES è un ruolo AWS Identity and Access Management (IAM) che concede l'autorizzazione all'esecuzione delle regole per accedere a AWS servizi e risorse. Prima di creare una regola in un set di regole, è necessario creare un ruolo IAM con una policy che consenta l'accesso alle AWS risorse richieste. SES assume questo ruolo quando esegue un'azione di regola. Ad esempio, potresti creare un ruolo di esecuzione delle regole con l'autorizzazione a scrivere un messaggio di posta elettronica in un bucket S3 come azione di regola da intraprendere quando le condizioni della regola sono soddisfatte.
Pertanto, è necessaria la seguente politica di fiducia *in aggiunta alle* politiche di autorizzazione individuali di questa sezione necessarie per eseguire ogni azione specifica della regola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*"
}
}
}
]
}
```
------
**Topics**
+ [Politica di scrittura su S3](#eb-policies-s3)
+ [Politica di consegna alla casella di posta](#eb-policies-workmail)
+ [Politica di invio a Internet](#eb-policies-internet)
+ [Politica Deliver to Q Business](#eb-policies-q)
+ [Politica di pubblicazione su SNS](#eb-policies-sns)
+ [Politica di rimbalzo](#eb-policies-bounce)
+ [Politica della funzione Invoke Lambda](#eb-policies-lambda)
### Politica di autorizzazione per l'azione delle regole *Write to S3*
La seguente policy è necessaria per consentire al ruolo IAM di utilizzare l'azione della regola **Write to S3** che recapita l'e-mail ricevuta a un bucket S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName/*"
]
},
{
"Sid": "AllowListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName"
]
}
]
}
```
------
Se utilizzi una chiave gestita AWS KMS dal cliente per un bucket S3 con crittografia lato server abilitata, dovrai aggiungere l'azione politica del ruolo IAM,. `"kms:GenerateDataKey*"` Utilizzando l'esempio precedente, l'aggiunta di questa azione alla politica dei ruoli apparirebbe come segue:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowKMSKeyAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:us-east-1:888888888888:key/*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
Per ulteriori informazioni sull'associazione delle politiche alle AWS KMS chiavi, vedere [Using Key Policies AWS KMS nella AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Developer* Guide.
### Politica di autorizzazione per l'azione relativa *alla regola Delivery to mailbox*
La seguente policy è necessaria per il tuo ruolo IAM per utilizzare l'azione della regola **Deliver to mailbox** che recapita l'e-mail ricevuta a un WorkMail account Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["workmail:DeliverToMailbox"],
"Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>"
}
]
}
```
------
### Politica di autorizzazione per l'azione relativa *alla regola Send to internet*
La seguente policy è necessaria per consentire al ruolo IAM di utilizzare l'azione della regola **Invia a internet** che invia l'e-mail ricevuta a un dominio esterno.
**Nota**
Se la tua identità SES utilizza un set di configurazione predefinito, dovrai aggiungere anche la risorsa del set di configurazione, come mostrato nell'esempio seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["ses:SendEmail", "ses:SendRawEmail"],
"Resource":[
"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set"
]
}
]
}
```
------
### Politica di autorizzazione per l'azione delle regole *Deliver to Q Business*
Le seguenti politiche sono necessarie per utilizzare l'azione della regola **Deliver to Q Business**, che invia l'e-mail ricevuta a un indice Amazon Q Business.
Policy IAM richiesta per il tuo ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToQBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:BatchPutDocument"
],
"Resource": [
"arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID"
]
}
]
}
```
------
Dichiarazione richiesta nell'ambito della politica chiave KMS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForQbusiness",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
Per ulteriori informazioni su come allegare le politiche alle AWS KMS chiavi, consulta [Using Key Policies AWS KMS nella AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Developer* Guide.
### Politica di autorizzazione per l'azione delle regole *di pubblicazione su SNS*
Le seguenti politiche sono necessarie per utilizzare l'azione della regola **Publish to SNS**, che recapita l'e-mail ricevuta a un argomento di Amazon SNS.
Policy IAM richiesta per il tuo ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSNSTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:888888888888:MySnsTopic"
]
}
]
}
```
------
Dichiarazione richiesta nell'ambito della politica chiave KMS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForSNS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
Per ulteriori informazioni su come allegare le politiche alle AWS KMS chiavi, consulta [Using Key Policies AWS KMS nella AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Developer* Guide.
### Politica di autorizzazione per l'azione della *regola Bounce*
La seguente policy è necessaria per consentire al ruolo IAM di utilizzare l'azione della regola **Bounce**, che respinge l'e-mail restituendo una risposta di mancato invio al mittente.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSendBounce",
"Effect": "Allow",
"Action": [
"ses:SendBounce"
],
"Resource": [
"arn:aws:ses:us-east-1:123456789012:identity/*"
],
"Condition": {
"StringEquals": {
"ses:FromAddress": "sender@example.com"
}
}
}
]
}
```
### Politica di autorizzazione per l'azione della regola della *funzione Invoke Lambda*
La seguente policy è necessaria per il ruolo IAM per utilizzare l'azione della regola della funzione **Invoke Lambda** che richiama AWS Lambda una funzione per elaborare l'e-mail.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowInvokeLambdaFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:MyFunction"
]
}
]
}
```