翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon SES送信承認を行うためのID所有者のタスク
このセクションでは、送信承認の設定時にアイデンティティ所有者が実行する必要がある手順について説明します。
**Topics**
+ [Amazon SESの送信承認を行うためのIDの検証](sending-authorization-identity-owner-tasks-verification.md)
+ [Amazon SESの送信承認に使用するID所有者通知の設定](sending-authorization-identity-owner-tasks-notifications.md)
+ [Amazon SESの送信承認を行うための代理送信者からの情報の入手](sending-authorization-identity-owner-tasks-information.md)
+ [Amazon SESの送信承認ポリシーの作成](sending-authorization-identity-owner-tasks-policy.md)
+ [送信ポリシーの例](sending-authorization-policy-examples.md)
+ [Amazon SESの送信承認に使用するID情報の代理送信者への提供](sending-authorization-identity-owner-tasks-identity.md)
# Amazon SESの送信承認を行うためのIDの検証
送信承認を設定するための最初の手順は、代理送信者が E メールを送信する E メールアドレスまたはドメインを自分が所有していることを証明することです。検証手順については、「[検証済みID](verify-addresses-and-domains.md)」を参照してください。
E メールアドレスまたはドメインが検証されていることを確認するには、[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) の Verified Identities セクションでそのステータスを確認するか、 `GetIdentityVerificationAttributes` API オペレーションを使用します。
ユーザーまたは代理送信者が、検証されていない E メールアドレスに E メールを送信するには、アカウントを Amazon SES サンドボックスから削除するリクエストを送信する必要があります。詳細については、「[本稼働アクセスのリクエスト (Amazon SES サンドボックスからの移行)](request-production-access.md)」を参照してください。
**重要**
代理送信者 AWS アカウント の は、検証されていないアドレスとの間で E メールを送信するために使用する前に、サンドボックスから削除する必要があります。
アカウントがサンドボックス内にある場合、ドメインやメールアドレスが ID アカウントで検証済みであっても、アカウントで検証されていないメールアドレスに送信することはできません。
# Amazon SESの送信承認に使用するID所有者通知の設定
代理送信者がお客様の代わりに E メールを送信することを承認する場合、Amazon SES は、それらの E メールが生成するすべてのバウンスと苦情は、お客様ではなく代理送信者のバウンスと苦情の制限に対してカウントします。ただし、代理送信者から送信されたメッセージの結果、IP アドレスがサードパーティーのスパム対策 DNS ベースのブラックホールリスト (DNSBL) に表示される場合、ID の評価が損なわれる可能性があります。このため、お客様が ID 所有者である場合は、代理送信を許可した ID を含め、すべての ID に対して E メールフィードバック転送を設定する必要があります。詳細については、「[E メールを介したAmazon SES に関する通知の受信](monitor-sending-activity-using-notifications-email.md)」を参照してください。
代理送信者は、お客様が使用を許可した ID に対して、独自のバウンスおよび苦情の通知を設定する必要があります。[イベント発行](monitor-using-event-publishing.md)は、Amazon SNS トピックまたは Firehose ストリームにバウンスイベントや苦情イベントを発行するように設定できます。
ID 所有者および代理送信者のいずれも、バウンスイベントと苦情イベントの通知を送信する方法を設定していない場合、または送信者がイベント公開ルールを使用する設定セットを適用しない場合は、E メールのフィードバック転送を無効にしていても、Amazon SES は、E メールの Return-Path フィールドのアドレス (または Return-Path アドレスを指定しなかった場合はソースフィールド) に自動的にイベント通知を E メールで送信します。次のイメージは、このプロセスを示したものです。
![\[Flowchart showing notification paths for bounce/complaint events based on various settings.\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/images/feedback_forwarding.png)
# Amazon SESの送信承認を行うための代理送信者からの情報の入手
送信承認ポリシーでは、少なくとも 1 つの*プリンシパル*を指定する必要があります。プリンシパルとは、検証済み ID のいずれかの代わりに送信できるようにアクセスを許可している代理送信者のエンティティです。Amazon SES 送信承認ポリシーの場合、プリンシパルは代理送信者の AWS アカウントまたは AWS Identity and Access Management (IAM) ユーザー ARN、または AWS サービスのいずれかになります。
簡単に言うと、*プリンシパル* (代理送信者) は被付与者であり、お客様 (ID 所有者) は承認ポリシーの付与者になります。お客様 (ID 所有者) が、E メール、raw E メール、テンプレートに基づく E メール、またはテンプレートに基づくバルク E メールの任意の組み合わせを、所有する*リソース* (検証済み ID) から送信するための *Allow*アクセス許可をプリンシパルに付与します。
できる限り細かくコントロールしたい場合は、代理送信者の AWS アカウントに含まれるすべてのユーザーではなく 1 人の代理送信者だけがお客様の代わりに送信できるように、IAM ユーザーの設定を代理送信者に依頼してください。代理送信者が IAM ユーザーを設定するための情報は、*IAM ユーザーガイド*の「[AWS アカウントでの IAM ユーザーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html)」にあります。
代理送信者に AWS アカウント ID または IAM ユーザーの Amazon リソースネーム (ARN) を問い合わせて、送信承認ポリシーに含めることができるようにします。代理送信者には、「[ID所有者への情報提供](sending-authorization-delegate-sender-tasks-information.md)」にあるこの情報を調べるための手順を参照してもらいます。代理送信者が AWS サービスである場合は、そのサービスのドキュメントを参照してサービス名を確認してください。
次のポリシー例は、ID 所有者のリソースからの送信を代理送信者に許可するために、ID 所有者が作成するポリシーで必要とされる基本的要素を示しています。ID 所有者は検証済み ID ワークフローに移動し、[Authorization] (認可) で Policy Generator を使用して、ID 所有者が所有するリソースの代わりに代理送信者が送信できるようにする次の基本ポリシーを最もシンプルな形式で作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESSendEmail",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": [
"arn:aws:ses:us-east-1:444455556666:identity/bob@example.com"
],
"Condition": {}
}
]
}
```
------
上記のポリシーについては、次の凡例で主な要素とその所有者を説明します。
+ **プリンシパル** – このフィールドには、代理送信者の IAM ユーザーの ARN が入力されます。
+ **アクション** – このフィールドには、2 つの SES アクション (`SendEmail` および `SendRawEmail`) が入力されます。これらは、ID 所有者が代理送信者に ID 所有者のリソースからの実行を許可するものです。
+ **リソース** – このフィールドには、代理送信者に送信を許可している ID 所有者の検証済みリソースが入力されます。
# Amazon SESの送信承認ポリシーの作成
[ID 承認ポリシーの作成](identity-authorization-policies-creating.md) で説明されている Amazon SES での承認ポリシーの作成と同様に、所有するメールアドレスまたはドメイン (*ID*) を使用してメールを送信することを代理送信者に許可するには、SES 送信 API アクションを指定してポリシーを作成し、そのポリシーを ID にアタッチします。
送信承認ポリシーで指定できる API アクションのリストについては、[個別のポリシーに関するステートメント](policy-anatomy.md#identity-authorization-policy-statements) テーブルの「*アクション*」行を参照してください。
送信承認ポリシーは、Policy Generator を使用するか、カスタムポリシーを作成することで作成できます。いずれの方法でも、送信承認ポリシーの作成に固有の手順が提供されています。
**注記**
E メールアドレス ID にアタッチする送信承認ポリシーは、対応するドメイン ID にアタッチするポリシーよりも優先されます。例えば、*example.com* に対して代理送信者を許可しないポリシーを作成し、*sender@example.com* に対して代理送信者を許可するポリシーを作成した場合、代理送信者は *sender@example.com* からメールを送信できますが、*example.com* ドメイン内の他のアドレスからは送信できません。
代理送信者を許可する *example.com* のポリシーを作成し、代理送信者を拒否する *sender@example.com* のポリシーを作成した場合、代理送信者は *example.com* ドメインの任意のアドレスからメールを送信できますが、* sender@example.com* ドメインの他のアドレスから送信することはできません。
SES 承認ポリシーの構造に慣れていない場合は、[ポリシー分析](policy-anatomy.md) を参照してください。
承認する ID が[グローバルエンドポイント](global-endpoints.md)機能の一部としてセカンダリリージョンで複製されている場合は、プライマリリージョンとセカンダリリージョンの両方で ID の送信認可ポリシーを作成して、代理送信者が両方のリージョンでの送信のために、この ID を使用するためのアクセス許可を持つようにする必要があります。
## Policy Generator を使用して送信承認ポリシーを作成する
Policy Generator を使用し、次の手順に従って送信承認ポリシーを作成できます。
**Policy Generator を使用して送信承認ポリシーを作成するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの **[設定]** で、**[ID]** を選択します。
1. **[Verified identities]** (検証済み ID) 画面の **[Identities]** (ID) コンテナで、代理送信者がお客様の代わりに送信することを許可する検証済み ID を選択します。
1. 検証済み ID の **[承認]** タブをクリックします。
1. **[Authorization policies]** (承認ポリシー) ペインで、**[Create policy]** (ポリシーの作成) を選択し、ドロップダウンから **[Use policy generator]** (Policy Generator の使用) を選択します。
1. **[Create statement]** (ステートメントの作成) ペインで、**効果**フィールドの **[Allow]** (許可) を選択します。(代理送信者を制限するポリシーを作成する場合は、代わりに **[Deny]** (拒否) を選択します)
1. **プリンシパル**フィールドに、代理送信者が共有した *AWS アカウント ID* または *IAM ユーザー ARN* を入力して、代理送信者がこの ID のアカウントの代わりに E メールを送信することを許可してから、**[Add]** (追加) を選択します。(複数の代理送信者を承認する場合は、各代理送信者に対してこの手順を繰り返します)
1. **アクション**フィールドで、代理送信者に許可する各送信タイプのチェックボックスをオンにします。
1. (オプション) 代理送信者アクセス許可に限定的なステートメントを追加する場合は、**[Specify conditions]** (条件を指定) を展開します。
1. **[Operator]** (演算子) ドロップダウンから演算子を選択します。
1. **[Key]** (キー) ドロップダウンからタイプを選択します。
1. 選択したキータイプに応じて、その値を**値**フィールドに入力します。(条件をさらに追加する場合は、**[Add new condition]** (新しい条件を追加) を選択します。条件を追加するたびに、この手順を繰り返します)
1. **[Save statement]** (ステートメントを保存) を選択します。
1. (オプション) ポリシーにステートメントを追加する場合は、**[Create another statement]** (別のステートメントを作成) を展開して、ステップ 6~10 を繰り返します。
1. **[次へ]** を選択すると、**[ポリシーのカスタマイズ]** 画面で、**[ポリシーの詳細の編集]** コンテナには、ポリシーの **[名前]** と **[ポリシードキュメント]** 自体を変更またはカスタマイズできるフィールドが表示されます。
1. **[Next]** (次へ) をクリックすると、**[Review and apply]** (確認して適用) 画面の **[Overview]** (概要) コンテナには、代理送信者に対して許可している検証済み ID と、このポリシーの名前が表示されます。**[Policy document]** (ポリシードキュメント) ペインには、追加した条件とともに、作成した実際のポリシーが表示されます。ポリシーを確認し、内容が正しい場合は、**[Apply policy]** (ポリシーの適用) をクリックします。(変更や修正の必要がある場合は、**[Previous]** (戻る) をクリックして、**[Edit policy details]** (ポリシーの詳細の編集) コンテナで作業を行います) 作成したポリシーにより、代理送信者がお客様の代わりに送信できるようになります。
1. (オプション) 代理送信者が自分が所有する SNS トピックを使用する場合、バウンスや苦情の受信時、または E メールが配信されたときにフィードバック通知を受信する場合は、この検証済み ID にその SNS トピックを設定する必要があります。(代理送信者は、自分の SNS トピック ARN を共有する必要があります) **[Notifications]** (通知) タブを選択し、**[Feedback notifications]** (フィードバック通知) コンテナの **[Edit]** (編集) を選択します。
1. **[Configure SNS topics]** (SNS トピックを設定) ペインのいずれかのフィードバックフィールド (バウンス、苦情、または配信) で、**[SNS topic you don't own]** (所有していない SNS トピック) を選択して、代理送信者が所有し、共有する **[SNS topic ARN]** (SNS トピックの ARN) を入力します。(代理送信者が SNS トピックを所有するため、代理送信者だけがこれらの通知を受け取ります。ID 所有者が受け取ることはありません)
1. (オプション) 元の E メールのヘッダーをトピック通知に含める場合は、各フィードバックタイプの SNS トピック名のすぐ下にある **[Include original email headers]** (元の E メールヘッダーを含める) ボックスにチェックを入れます。このオプションは、その通知タイプに Amazon SNS トピックを割り当てている場合にのみ使用できます。元の E メールヘッダーの内容については、[通知の内容](notification-contents.md)の `mail` オブジェクトを参照してください。
1. **[Save changes]** (変更の保存) をクリックします。通知設定に対する変更は、反映されるまでに数分かかる場合があります。
1. (オプション) 代理送信者が、バウンスや苦情に関する Amazon SNS トピック通知を受け取るため、この ID の送信に関するフィードバックを受信しない場合は、E メール通知を完全に無効にすることができます。バウンスや苦情に関する E メールフィードバックを無効にするには、**[Notifications]** (通知) タブの **[Email Feedback Forwarding]** (E メールのフィードバック転送) コンテナで、**[Edit]** (編集) を選択し、**[Enabled]** (有効) ボックスのチェックを外して、**[Save changes]** (変更の保存) を選択します。配信ステータス通知が、代理送信者が所有する SNS トピックにのみ送信されるようになりました。
## カスタム送信承認ポリシーの作成
カスタム送信承認ポリシーを作成して、アイデンティティにアタッチする場合、次のオプションがあります。
+ **Amazon SES API の使用** – [Amazon Simple Email Service API リファレンス](https://docs.aws.amazon.com/ses/latest/APIReference/) で説明されている `PutIdentityPolicy` API を使用し、テキストエディタでポリシーを作成してアイデンティティにアタッチします。
+ **Amazon SES コンソールの使用** – テキストエディタを使用してポリシーを作成し、それを Amazon SES コンソールのカスタムポリシーエディタに貼り付けることでアイデンティティにアタッチします。以下の手順では、この方法について説明します。
**カスタムポリシーエディタを使用してカスタム送信承認ポリシーを作成するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの **[設定]** で、**[ID]** を選択します。
1. **[Verified identities]** (検証済み ID) 画面の **[Identities]** (ID) コンテナで、代理送信者がお客様の代わりに送信することを許可する検証済み ID を選択します。
1. 前のステップで選択した検証済み ID の詳細画面で、**[Authorization]** (承認) タブを選択します。
1. **[Authorization policies]** (承認ポリシー) ペインで、**[Create policy]** (ポリシーの作成) を選択して、ドロップダウンから **[Create custom policy]** (カスタムポリシーの作成) を選択します。
1. **[Policy document]** (ポリシードキュメント) ペインで、JSON 形式のポリシーのテキストを入力または貼り付けます。Policy Generator を使用すると、基本的な構造のポリシーをすばやく作成でき、ここでカスタマイズすることもできます。
1. **[ポリシーを適用]** を選びます。(カスタムポリシーを変更する必要がある場合は、**[Authorization]** (承認) タブのチェックボックスをオンにし、**[Edit]** (編集) を選択して、**[Policy document]** (ポリシードキュメント) ペインで変更を行ってから、**[Save changes]** (変更の保存) を選択します)
1. (オプション) 代理送信者が自分が所有する SNS トピックを使用する場合、バウンスや苦情の受信時、または E メールが配信されたときにフィードバック通知を受信する場合は、この検証済み ID にその SNS トピックを設定する必要があります。(代理送信者は、自分の SNS トピック ARN を共有する必要があります) **[Notifications]** (通知) タブを選択し、**[Feedback notifications]** (フィードバック通知) コンテナの **[Edit]** (編集) を選択します。
1. **[Configure SNS topics]** (SNS トピックを設定) ペインのいずれかのフィードバックフィールド (バウンス、苦情、または配信) で、**[SNS topic you don't own]** (所有していない SNS トピック) を選択して、代理送信者が所有し、共有する **[SNS topic ARN]** (SNS トピックの ARN) を入力します。(代理送信者が SNS トピックを所有するため、代理送信者だけがこれらの通知を受け取ります。ID 所有者が受け取ることはありません)
1. (オプション) 元の E メールのヘッダーをトピック通知に含める場合は、各フィードバックタイプの SNS トピック名のすぐ下にある **[Include original email headers]** (元の E メールヘッダーを含める) ボックスにチェックを入れます。このオプションは、その通知タイプに Amazon SNS トピックを割り当てている場合にのみ使用できます。元の E メールヘッダーの内容については、[通知の内容](notification-contents.md)の `mail` オブジェクトを参照してください。
1. **[Save changes]** (変更の保存) をクリックします。通知設定に対する変更は、反映されるまでに数分かかる場合があります。
1. (オプション) 代理送信者が、バウンスや苦情に関する Amazon SNS トピック通知を受け取るため、この ID の送信に関するフィードバックを受信しない場合は、E メール通知を完全に無効にすることができます。バウンスや苦情に関する E メールフィードバックを無効にするには、**[Notifications]** (通知) タブの **[Email Feedback Forwarding]** (E メールのフィードバック転送) コンテナで、**[Edit]** (編集) を選択し、**[Enabled]** (有効) ボックスのチェックを外して、**[Save changes]** (変更の保存) を選択します。配信ステータス通知が、代理送信者が所有する SNS トピックにのみ送信されるようになりました。
# 送信ポリシーの例
送信承認では、代理送信者に代理送信を許可する際の細かい条件を指定することができます。
**Topics**
+ [送信承認に固有の条件](#sending-authorization-policy-conditions)
+ [代理送信者の指定](#sending-authorization-policy-example-sender)
+ [「From」アドレスの制限](#sending-authorization-policy-example-from)
+ [代理送信者による E メール送信時間に対する制限](#sending-authorization-policy-example-time)
+ [E メール送信アクションの制限](#sending-authorization-policy-example-action)
+ [E メール送信者の表示名の制限](#sending-authorization-policy-example-display-name)
+ [複数のステートメントの使用](#sending-authorization-policy-example-multiple-statements)
## 送信承認に固有の条件
*条件*は、ステートメントのアクセス権限に関する制限のことです。ステートメントの中でも、記述が最も詳細になるのが、この条件部分です。*キー*は、リクエストの日時など、アクセス制限に使用される基本項目です。
制限は、条件とキーの両方を使用して定義します。たとえば、代理送信者が 2019 年 7 月 30 日以降はお客様の代わりに Amazon SES にリクエストを行うことができないように制限する場合、`DateLessThan` という条件を使用します。キーは `aws:CurrentTime` を使用し、値を `2019-07-30T00:00:00Z` に設定します。
*IAM ユーザーガイド*の[「使用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys)」に記載されているすべての AWSキーを使用できます。または、承認ポリシーの送信に役立つ SES に固有の次のいずれかのキーを使用できます。
****
| 条件キー | 説明 |
| --- | --- |
| `ses:Recipients` | 受取人アドレスを制限します。To:、"CC"、"BCC" アドレスが含まれます。 |
| `ses:FromAddress` | 「From」アドレスを制限します。 |
| `ses:FromDisplayName` | 「From」表示名として使用される文字列の内容を制限します ("フレンドリ名" と呼ばれることもあります)。たとえば、"John Doe " の表示名は John Doe です。 |
| `ses:FeedbackAddress` | 「Return Path」アドレス (E メールのフィードバック転送によりバウンスや苦情を送信できるアドレス) を制限します。E メールのフィードバック転送の詳細については、「[E メールを介したAmazon SES に関する通知の受信](monitor-sending-activity-using-notifications-email.md)」を参照してください。 |
Amazon SES キーで `StringEquals` 条件および `StringLike` 条件を使用することができます。これらの条件は、大文字小文字を区別する文字列の一致を指定するために使用します。`StringLike` の場合、値には、複数文字一致のワイルドカード (\$1) または 1 文字一致のワイルドカード (?) を指定できます。文字列のどこにでも含めることができます。たとえば、次の条件は、先頭に「*invoicing*」、末尾に「*@example.com*」が付いた「From」アドレスからのみ代理送信者が送信できることを指定します。
```
1. "Condition": {
2. "StringLike": {
3. "ses:FromAddress": "invoicing*@example.com"
4. }
5. }
```
また、`StringNotLike` 条件を使用して、代理送信者が特定の E メールアドレスから E メールを送信できないようにすることもできます。例えば、*admin@example.com* や同様の E メールアドレス (*"admin"@example.com*、*admin\$11@example.com*、*sender@admin.example.com* など) からの送信を禁止するには、ポリシーステートメントに次の条件を含めます。
```
1. "Condition": {
2. "StringNotLike": {
3. "ses:FromAddress": "*admin*example.com"
4. }
5. }
```
条件の指定方法の詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) の「*IAM JSON ポリシーエレメント: 条件*」を参照してください。
## 代理送信者の指定
アクセス許可を付与するエンティティである*プリンシパル*は、、 AWS アカウント AWS Identity and Access Management (IAM) ユーザー、または AWS サービスです。
次の例は、 AWS ID *123456789012* が検証済み ID *example.com* (*888888888888* が所有する AWS アカウント ) から E メールを送信することを許可するシンプルなポリシーを示しています。このポリシーの `Condition`ステートメントは、代理 (つまり、 AWS ID *123456789012*) がアドレス *marketing\$1.\$1@example.com* から E メールを送信することのみを許可します。*\$1* は、送信者が *marketing\$1* の後に追加する文字列です。
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromAddress":"marketing+.*@example.com"
}
}
}
]
}
```
------
次のポリシー例では、IAM ユーザー 2人に、アイデンティティ *example.com* から送信するアクセス許可を付与します。IAM ユーザーは、自分の Amazon リソースネーム (ARN) によって指定されます。
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::111122223333:user/John",
"arn:aws:iam::444455556666:user/Jane"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
]
}
]
}
```
------
次のポリシー例では、 Amazon Cognito に、アイデンティティ *example.com* から送信するアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeService",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"Service":[
"cognito-idp.amazonaws.com"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888",
"aws:SourceArn": "arn:aws:cognito-idp:us-east-1:888888888888:userpool/your-user-pool-id-goes-here"
}
}
}
]
}
```
------
次の例のポリシーでは、 AWS Organization 内のすべてのアカウントに、identity example.com から送信するアクセス許可が付与されます。 AWS Organization は、[PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) グローバル条件キーを使用して指定されます。
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeOrg",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":"*",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID":"o-xxxxxxxxxxx"
}
}
}
]
}
```
------
## 「From」アドレスの制限
検証済みドメインを使用する場合、代理送信者だけが特定の E メールアドレスから送信できるようにするポリシーを作成することをお勧めします。"From" アドレスを制限するには、キーで *ses:FromAddress* と呼ばれる条件を設定します。次のポリシーにより、 AWS アカウント ID *123456789012* は ID *example.com* から送信できますが、E メールアドレス *sender@example.com* からのみ送信できます。
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"ses:FromAddress":"sender@example.com"
}
}
}
]
}
```
------
## 代理送信者による E メール送信時間に対する制限
送信者の承認ポリシーを設定することで、代理送信者が E メールを送信できる日付と時間や、日付の範囲を限定することもできます。例えば、2021 年 9 月内で E メールキャンペーンの送信を予定している場合、次のポリシーを使用することで、代理送信者による E メール送信を、その月に限定することができます。
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlTimePeriod",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2021-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2021-10-01T12:00Z"
}
}
}
]
}
```
------
## E メール送信アクションの制限
送信者が Amazon SES で E メールを送信するために使用できるアクションは、`SendEmail` と `SendRawEmail` の 2 つです。送信者が E メールの形式をどの程度コントロールするかに応じて決定します。送信承認ポリシーでは、代理送信者をこれらの 2 つのアクションのいずれかに制限できます。ただし、多くのアイデンティティ所有者は、ポリシーで両方のアクションを有効にすることで、E メール送信呼び出しの詳細を代理送信者に任せています。
**注記**
代理送信者が SMTP インターフェイスを介して Amazon SES にアクセスできるようにする場合、少なくとも `SendRawEmail` を選択する必要があります。
アクションを制限する必要がある場合、送信承認ポリシーにどちらかのアクションのみ含めることで制限することができます。次の例は、アクションを `SendRawEmail` に制限する方法を示しています。
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlAction",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendRawEmail"
]
}
]
}
```
------
## E メール送信者の表示名の制限
E メールクライアントによっては、実際の「From」アドレスではなく、E メール送信者の「フレンドリ」名 (E メールヘッダーで指定されている場合) が表示されます。たとえば、"John Doe " の表示名は John Doe です。例として、*user@example.com* から E メールを送信しますが、E メールが *user@example.com* ではなく「*Marketing*」から送信されたものとして受信者に表示したいとします。次のポリシーでは、 AWS アカウント ID 123456789012 が ID *example.com* から送信できるようにしますが、「From」アドレスの表示名に *Marketing* が含まれている場合に限ります。
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
## 複数のステートメントの使用
送信承認ポリシーには複数のステートメントを含めることができます。以下のサンプルポリシーには、2 つのステートメントが含まれています。最初のステートメントでは、「From」アドレスとフィードバックアドレスの両方がドメイン *example.com* を使用している限り、2 つの が *sender@example.com* から送信 AWS アカウント することを許可します。2 番目のステートメントは、受信者の E メールアドレスが *example.com* ドメインに属している場合に限り、IAM ユーザーが *sender@example.com* から E メールを送信することを承認します。
# Amazon SESの送信承認に使用するID情報の代理送信者への提供
送信承認ポリシーを作成してアイデンティティにアタッチしたら、代理送信者にアイデンティティの Amazon リソースネーム (ARN) を提供します。代理送信者は、E メール送信操作または E メールのヘッダーで ARN を Amazon SES に渡します。IDのARNを確認するには、次のステップを実行します。
**アイデンティティの ARN を調べるには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、送信承認ポリシーをアタッチしたアイデンティティを選択します。
1. **[Summary]** (概要) ペインの 2 番目の列、**Amazon リソース名 (ARN)** に ID の ARN が含まれます。*arn:aws:ses:us-east-1:123456789012:identity/user@example.com* のような内容です。ARN 全体をコピーし、代理送信者に提供します。
**重要**
認可する ID が[グローバルエンドポイント](global-endpoints.md)機能の一部としてセカンダリリージョンで複製されている場合は、`us-east-1` などのリージョンパラメータを、`arn:aws:ses:*:123456789012:identity/user@example.com` のようにアスタリスク `*` に置き換えます。