기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Mail Manager에 대한 권한 정책
이 장에 나와 있는 정책은 Mail Manager의 모든 다양한 기능을 활용하는 데 필요한 정책에 대한 단일 참조 자료로 제공됩니다.
Mail Manager 기능 페이지에서는 기능을 활용하는 데 필요한 정책이 포함된 이 페이지의 각 섹션으로 연결되는 링크가 제공됩니다. 필요한 정책의 복사 아이콘을 선택하고 해당 기능 설명에 지시된 대로 붙여넣습니다.
다음 정책은 리소스 권한 정책 및 AWS Secrets Manager 정책을 통해 Amazon SES Mail Manager에 포함된 다양한 기능을 사용할 수 있는 권한을 부여합니다. 권한 정책을 처음 사용하는 경우 [Amazon SES 정책 구조](policy-anatomy.md) 및 [AWS Secrets Manager에 대한 권한 정책](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html)을 참조하세요.
## 수신 엔드포인트에 대한 권한 정책
이 섹션의 두 정책 모두 수신 엔드포인트를 만드는 데 필요합니다. 수신 엔드포인트를 만드는 방법과 이러한 정책을 사용하는 경우를 알아보려면 [SES 콘솔에서 수신 엔드포인트 만들기](eb-ingress.md#eb-ingress-create-console) 섹션을 참조하세요.
### 수신 엔드포인트에 대한 Secrets Manager 보안 암호 리소스 권한 정책
SES가 수신 엔드포인트 리소스를 사용하여 보안 암호에 액세스하도록 허용하려면 다음 Secrets Manager 보안 암호 리소스 권한 정책이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Id",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{000000000000}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:{{us-east-1}}:{{000000000000}}:mailmanager-ingress-point/*"
}
}
}
]
}
```
------
### 수신 엔드포인트에 대한 KMS 고객 관리형 키(CMK) 관련 키 정책
보안 암호에 고객 관리형 키(CMK)를 사용해야 합니다. SES가 보안 암호에 키를 사용하도록 허용하려면 KMS 키 정책 내에서 다음 명령문이 필요합니다.
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.{{us-east-1}}.amazonaws.com",
"aws:SourceAccount": "{{000000000000}}"
},
"ArnLike": {
"aws:SourceArn": "arn:{{aws}}:ses:{{us-east-1}}:{{000000000000}}:mailmanager-ingress-point/*"
}
}
}
```
### mTLS 트러스트 스토어에 대한 KMS 고객 관리형 키(CMK) 키 정책
고객 관리형 키(CMK)를 사용하여 mTLS 트러스트 스토어를 암호화하는 경우 SES가 키를 사용할 수 있도록 KMS 키 정책 내에 다음 명령문이 필요합니다.
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{000000000000}}"
},
"ArnLike": {
"aws:SourceArn": "arn:{{aws}}:ses:{{us-east-1}}:{{000000000000}}:mailmanager-ingress-point/*"
}
}
}
```
## SMTP 릴레이에 대한 권한 정책
SMTP 릴레이를 만들려면 이 섹션의 두 정책이 모두 필요합니다. SMTP 릴레이를 만드는 방법과 이러한 정책을 사용하는 경우를 알아보려면 [SES 콘솔에서 SMTP 릴레이 만들기](eb-relay.md#eb-relay-create-console) 섹션을 참조하세요.
### SMTP 릴레이에 대한 Secrets Manager 보안 암호 리소스 권한 정책
SES가 SMTP 릴레이 리소스를 사용하여 보안 암호에 액세스하도록 허용하려면 다음 Secrets Manager 보안 암호 리소스 권한 정책이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Principal": {
"Service": [
"ses.amazonaws.com"
]
},
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{888888888888}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:{{us-east-1}}:{{888888888888}}:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
### SMTP 릴레이에 대한 KMS 고객 관리형 키(CMK) 관련 키 정책
SES가 보안 암호에 키를 사용하도록 허용하려면 KMS 키 정책 내에서 다음 명령문이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Principal": {
"Service": "ses.amazonaws.com"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.{{us-east-1}}.amazonaws.com",
"aws:SourceAccount": "{{000000000000}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:{{us-east-1}}:{{000000000000}}:mailmanager-smtp-relay/*"
}
}
}
]
}
```
------
## 이메일 아카이빙에 대한 권한 정책
**내보내기 아카이빙**
IAM 자격 증명 호출에는 다음 IAM 정책에 의해 구성된 대상 S3 버킷에 대한 액세스 권한이 `StartArchiveExport` 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::{{MyDestinationBucketName}}"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::{{MyDestinationBucketName}}/*"
}
]
}
```
------
대상 버킷에 대한 S3 버킷 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::{{MyDestinationBucketName}}"
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::{{MyDestinationBucketName}}/*"
}
]
}
```
------
**참고**
아카이빙은 [혼동된 대리 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-security-warning-restrict-access-to-service-principal)(aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, aws:SourceOrgPaths)를 지원하지 않습니다. 이는 Mail Manager의 이메일 아카이빙이 실제 내보내기를 시작하기 전에 먼저 직접 호출 ID가 [전달 액세스 세션](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 사용하여 내보내기 대상 버킷에 대한 쓰기 권한이 있는지 테스트하여 혼동된 대리자 문제를 방지하기 때문입니다.
**KMS CMK로 저장 시 암호화 아카이빙**
IAM 자격 증명 호출 `CreateArchive` 및는 다음 정책을 통해 KMS 키 ARN에 액세스할 수 있어야 `UpdateArchive` 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{MyKmsKeyArnID}}"
}
}
```
------
KMS 키 정책에는 다음 명령문이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:user/{{MyUserRoleOrGroupName}}"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"ses.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## 규칙 작업을 실행할 수 있는 권한 및 신뢰 정책
SES 규칙 실행 역할은 규칙 실행에 AWS 서비스 및 리소스에 액세스할 수 있는 권한을 부여하는 AWS Identity and Access Management (IAM) 역할입니다. 규칙 세트에서 규칙을 생성하기 전에 필요한 AWS 리소스에 대한 액세스를 허용하는 정책을 사용하여 IAM 역할을 생성해야 합니다. 규칙 작업을 실행할 때 SES가 이 역할을 맡습니다. 예를 들어 규칙 조건이 충족될 때 수행할 규칙 작업으로 S3 버킷에 이메일 메시지를 쓸 수 있는 권한이 있는 규칙 실행 역할을 만들 수 있습니다.
따라서 이 섹션의 개별 권한 정책 *외에도* 각 특정 규칙 작업을 실행하는 데 필요한 다음과 신뢰 정책이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{888888888888}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ses:{{us-east-1}}:{{888888888888}}:mailmanager-rule-set/*"
}
}
}
]
}
```
------
**Topics**
+ [S3에 쓰기 정책](#eb-policies-s3)
+ [메일박스로 전송 정책](#eb-policies-workmail)
+ [인터넷으로 전송 정책](#eb-policies-internet)
+ [Q Business로 전송 정책](#eb-policies-q)
+ [SNS에 게시 정책](#eb-policies-sns)
+ [반송 정책](#eb-policies-bounce)
+ [Lambda 함수 정책 호출](#eb-policies-lambda)
### *S3에 쓰기* 규칙 작업에 대한 권한 정책
IAM 역할이 수신된 이메일을 ** S3 버킷에 전달하는 S3에 쓰기** 규칙 작업을 사용하려면 다음 정책이 필요합니다. S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutObject",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{MyDestinationBucketName}}/*"
]
},
{
"Sid": "AllowListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{MyDestinationBucketName}}"
]
}
]
}
```
------
서버 측 암호화가 활성화된 S3 버킷에 AWS KMS 고객 관리형 키를 사용하는 경우 IAM 역할 정책 작업을 추가해야 합니다`"kms:GenerateDataKey*"`. 앞의 예제를 다시 사용하여 이 작업을 역할 정책에 추가하면 다음과 같이 표시됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowKMSKeyAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:{{us-east-1}}:{{888888888888}}:key/*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/{{MyKeyAlias}}"
]
}
}
}
]
}
```
------
AWS KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [에서 키 정책 사용을 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 참조하세요.
### *메일박스로 전송* 규칙 작업에 대한 권한 정책
IAM 역할이 수신된 이메일을 Amazon WorkMail 계정으로 전송하는 **메일박스로 전송** 규칙 작업을 사용하려면 다음 정책이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["workmail:DeliverToMailbox"],
"Resource": "arn:aws:workmail:{{us-east-1}}:{{888888888888}}:organization/{{MyWorkMailOrganizationID}}>"
}
]
}
```
------
### *인터넷으로 전송* 규칙 작업에 대한 권한 정책
IAM 역할이 수신된 이메일을 외부 도메인으로 보내는 **인터넷으로 전송** 규칙 작업을 사용하려면 다음 정책이 필요합니다.
**참고**
SES ID가 기본 구성 세트를 사용하는 경우 다음 예제와 같이 구성 세트 리소스도 추가해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["ses:SendEmail", "ses:SendRawEmail"],
"Resource":[
"arn:aws:ses:{{us-east-1}}:{{888888888888}}:identity/{{example.com}}",
"arn:aws:ses:{{us-east-1}}:{{888888888888}}:configuration-set/{{my-configuration-set}}"
]
}
]
}
```
------
### *Q Business로 전송* 규칙 작업에 대한 권한 정책
수신된 이메일을 Amazon Q Business 인덱스로 전송하는 **Q Business로 전송** 규칙 작업을 사용하려면 다음 정책이 필요합니다.
역할에 필요한 IAM 정책:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToQBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:BatchPutDocument"
],
"Resource": [
"arn:aws:qbusiness:{{us-east-1}}:{{888888888888}}:application/{{ApplicationID}}/index/{{IndexID}}"
]
}
]
}
```
------
KMS 키 정책에 필요한 문:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForQbusiness",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{888888888888}}:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.{{us-east-1}}.amazonaws.com",
"kms:CallerAccount": "{{888888888888}}"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/{{MyKeyAlias}}"
]
}
}
}
]
}
```
------
AWS KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [에서 키 정책 사용을 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 참조하세요.
### *SNS에 게시* 규칙 작업에 대한 권한 정책
수신된 이메일을 Amazon SNS 주제에 전달하는 **SNS에 게시** 규칙 작업을 사용하려면 다음 정책이 필요합니다.
역할에 필요한 IAM 정책:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSNSTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:{{us-east-1}}:{{888888888888}}:{{MySnsTopic}}"
]
}
]
}
```
------
KMS 키 정책에 필요한 문:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToKMSKeyForSNS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{888888888888}}:key/*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "qbusiness.{{us-east-1}}.amazonaws.com",
"kms:CallerAccount": "{{888888888888}}"
},
"ForAnyValue:StringEquals": {
"kms:ResourceAliases": [
"alias/{{MyKeyAlias}}"
]
}
}
}
]
}
```
------
AWS KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [에서 키 정책 사용을 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 참조하세요.
### *반송 메일* 규칙 작업에 대한 권한 정책
IAM 역할이 발신자에게 **반송 메일** 응답을 반환하여 이메일을 반송하는 반송 메일 규칙 작업을 사용하려면 다음 정책이 필요합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSendBounce",
"Effect": "Allow",
"Action": [
"ses:SendBounce"
],
"Resource": [
"arn:aws:ses:{{us-east-1}}:{{123456789012}}:identity/*"
],
"Condition": {
"StringEquals": {
"ses:FromAddress": "{{sender@example.com}}"
}
}
}
]
}
```
### *Lambda 함수 호출* 규칙 작업에 대한 권한 정책
IAM 역할이 AWS Lambda 함수를 **호출하여 이메일을 처리하는 Lambda 함수 호출** 규칙 작업을 사용하려면 다음 정책이 필요합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowInvokeLambdaFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:{{us-east-1}}:{{123456789012}}:function:{{MyFunction}}"
]
}
]
}
```