翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Mail Manager のアクセス許可ポリシー
この章のポリシーは、Mail Manager のさまざまな機能をすべて活用するうえで必要となるポリシーの単一のリファレンスポイントとなるように提供されています。
Mail Manager の機能ページには、機能を利用するために必要なポリシーを記載した、このページの各セクションへのリンクが提供されています。必要なポリシーのコピーアイコンをクリックして、各機能の説明の指示に従って貼り付けます。
次のポリシーでは、リソースアクセス許可ポリシーと AWS Secrets Manager ポリシーを通じてAmazon SES Mail Manager に含まれるさまざまな機能を使用するアクセス許可を付与します。アクセス許可ポリシーを初めて使用する場合は、「[Amazon SES ポリシーの構造分析](policy-anatomy.md)」と「[AWS Secrets Managerのアクセス許可ポリシー](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html)」を参照してください。
## イングレスエンドポイントのアクセス許可ポリシー
このセクションのポリシーはどちらも、イングレスエンドポイントの作成に必要となります。イングレスエンドポイントを作成する方法と、これらのポリシーを使用する個所については、「[SES コンソールでのイングレスエンドポイントの作成](eb-ingress.md#eb-ingress-create-console)」を参照してください。
### イングレスエンドポイントのための Secrets Manager シークレットのリソースアクセス許可ポリシー
SES がイングレスエンドポイントのリソースを使用してシークレットにアクセスできるようにするには、以下の Secrets Manager シークレットリソースアクセス許可ポリシーが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Id",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
]
}
```
------
### イングレスエンドポイントのための KMS カスタマーマネージドキー (CMK) のキーポリシー
シークレットにはカスタマーマネージドキー (CMK) を使用する必要があります。SES がシークレットにキーを使用できるようにするには、KMS キーポリシー内で次のステートメントが必要です。
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
```
### mTLS トラストストアの KMS カスタマーマネージドキー (CMK) キーポリシー
カスタマーマネージドキー (CMK) を使用して mTLS トラストストアを暗号化する場合、SES がキーを使用できるようにするには、KMS キーポリシー内で次のステートメントが必要です。
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*"
}
}
}
```
## SMTP リレーのアクセス許可ポリシー
このセクションのポリシーはどちらも、SMTP リレーの作成に必要となります。SMTP リレーを作成する方法と、これらのポリシーを使用する個所については、「[SES コンソールでの SMTP リレーの作成](eb-relay.md#eb-relay-create-console)」を参照してください。
### SMTP リレーための Secrets Manager シークレットのリソースアクセス許可ポリシー
SES が SMTP リレーのリソースを使用してシークレットにアクセスできるようにするには、以下の Secrets Manager シークレットリソースアクセス許可ポリシーが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Principal": {
"Service": [
"ses.amazonaws.com"
]
},
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
### SMTP リレーのための KMS カスタマーマネージドキー (CMK) のキーポリシー
SES がシークレットにキーを使用できるようにするには、KMS キーポリシー内で次のステートメントが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Principal": {
"Service": "ses.amazonaws.com"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
## E メールアーカイブのアクセス許可ポリシー
**エクスポートのアーカイブ**
IAM ID 呼び出しは、次の IAM ポリシーで設定された送信先 S3 バケットにアクセスできる`StartArchiveExport`必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
```
------
これは、レプリケート先バケットの S3 バケットポリシーです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName"
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::MyDestinationBucketName/*"
}
]
}
```
------
**注記**
アーカイブでは、[混乱した代理条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-security-warning-restrict-access-to-service-principal) (aws:SourceArn、aws:SourceAccount、aws:SourceOrgID、または aws:SourceOrgPaths) をサポートしていません。これは、Mail Manager の E メールアーカイブでは、実際にエクスポートを開始する前に、[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)を使用して、呼び出し元の ID にエクスポート先のバケットへの書き込みアクセス許可があるかをテストすることで、混乱した代理の問題を回避しているためです。
**KMS CMK を利用した保管時の暗号化のアーカイブ**
`CreateArchive` と を呼び出す IAM ID は、次のポリシーを通じて KMS キー ARN にアクセスできる`UpdateArchive`必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/MyKmsKeyArnID"
}
}
```
------
KMS キーポリシーでは、次のステートメントが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"ses.us-east-1.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## ルールアクションを実行するためのアクセス許可と信頼ポリシー
SES ルール実行ロールは、 AWS サービスおよびリソースにアクセスするためのルール実行アクセス許可を付与する AWS Identity and Access Management (IAM) ロールです。ルールセットでルールを作成する前に、必要な AWS リソースへのアクセスを許可するポリシーを持つ IAM ロールを作成する必要があります。SES は、ルールアクションを実行する際に、このロールを引き受けます。例えば、ルールの条件が満たされた場合に実行するルールアクションとして、S3 バケットに E メールメッセージを書き込むアクセス許可が付与されたルール実行ロールを作成できます。
したがって、それぞれの具体的なルールアクションを実行するために必要となる、このセクションに記載の個別のアクセス許可ポリシーに*加えて*、以下の信頼ポリシーが必要となります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*"
}
}
}
]
}
```
------
**Topics**
+ [S3 への書き込みのポリシー](#eb-policies-s3)
+ [メールボックスに配信のポリシー](#eb-policies-workmail)
+ [インターネットに送信のポリシー](#eb-policies-internet)
+ [Q Business への配信ポリシー](#eb-policies-q)
+ [SNS への発行ポリシー](#eb-policies-sns)
+ [バウンスポリシー](#eb-policies-bounce)
+ [Lambda 関数ポリシーを呼び出す](#eb-policies-lambda)
### *S3 への書き込み*ルールアクションのアクセス許可ポリシー
受信した E メールを **S3 バケットに配信する S3 への書き込み**ルールアクションを使用するには、IAM ロールに次のポリシーが必要です。 S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName/*"
]
},
{
"Sid": "AllowListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::MyDestinationBucketName"
]
}
]
}
```
------
サーバー側の暗号化が有効になっている S3 バケットに AWS KMS カスタマーマネージドキーを使用している場合は、IAM ロールポリシーアクション を追加する必要があります`"kms:GenerateDataKey*"`。前の例を使用して、このアクションをポリシーに追加すると、以下のとおりになります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowKMSKeyAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:us-east-1:888888888888:key/*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
AWS KMS キーへのポリシーのアタッチの詳細については、 *AWS Key Management Service デベロッパーガイド*の「 [でのキーポリシーの使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。
### *メールボックスに配信*ルールアクションの許可ポリシー
受信した E メールを Amazon WorkMail アカウントに配信する**メールボックスへの配信**ルールアクションを使用するには、IAM ロールに次のポリシーが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["workmail:DeliverToMailbox"],
"Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>"
}
]
}
```
------
### *インターネットに送信*ルールアクションの許可ポリシー
受信した E メールを外部ドメインに送信する**インターネットへの送信**ルールアクションを使用するには、IAM ロールに次のポリシーが必要です。
**注記**
SES ID がデフォルト設定セットを使用している場合は、次の例に示すように、設定セットリソースも追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["ses:SendEmail", "ses:SendRawEmail"],
"Resource":[
"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set"
]
}
]
}
```
------
### *Q Business に配信*ルールアクションの許可ポリシー
受信した E メールを Amazon Q Business インデックスに配信する **Q Business への配信**ルールアクションを使用するためには、次のポリシーが必要です。
ロールに必要な IAM ポリシー:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToQBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:BatchPutDocument"
],
"Resource": [
"arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID"
]
}
]
}
```
------
KMS キーポリシー内で必要なステートメント:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForQbusiness",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
AWS KMS キーへのポリシーのアタッチの詳細については、 *AWS Key Management Service デベロッパーガイド*の[「 でのキーポリシーの使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。
### *SNS への発行*ルールアクションのアクセス許可ポリシー
受信した E メールを Amazon SNS トピックに配信する **SNS への発行**ルールアクションを使用するためには、次のポリシーが必要です。
ロールに必要な IAM ポリシー:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSNSTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:888888888888:MySnsTopic"
]
}
]
}
```
------
KMS キーポリシー内で必要なステートメント:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForSNS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:888888888888:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.us-east-1.amazonaws.com",
"kms:CallerAccount": "888888888888"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/MyKeyAlias"
]
}
}
}
]
}
```
------
AWS KMS キーへのポリシーのアタッチの詳細については、 *AWS Key Management Service デベロッパーガイド*の[「 でのキーポリシーの使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。
### *バウンス*ルールアクションのアクセス許可ポリシー
IAM ロールが、送信者に**バウンス**レスポンスを返すことで E メールをバウンスするバウンスルールアクションを使用するには、次のポリシーが必要です。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSendBounce",
"Effect": "Allow",
"Action": [
"ses:SendBounce"
],
"Resource": [
"arn:aws:ses:us-east-1:123456789012:identity/*"
],
"Condition": {
"StringEquals": {
"ses:FromAddress": "sender@example.com"
}
}
}
]
}
```
### *Lambda 関数ルールアクションを呼び出す*ためのアクセス許可ポリシー
IAM ロールが E メールを処理する関数を**呼び出す Lambda 関数**の呼び出しルールアクションを使用するには AWS Lambda 、次のポリシーが必要です。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowInvokeLambdaFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:MyFunction"
]
}
]
}
```