기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon SES에서 전송 권한 부여 사용
<a name="sending-authorization"></a>

다른 사용자가 자신의 Amazon SES 계정을 사용하여 당신이 소유한 (도메인 또는 이메일 주소) 자격 증명에서 이메일을 보낼 수 있도록 Amazon SES를 구성할 수 있습니다. *전송 권한 부여* 기능을 사용하여 사용자는 자신의 자격 증명을 계속 관리할 수 있으므로 언제라도 권한을 변경 또는 취소할 수 있습니다. 예를 들어 자영업자가 전송 권한 부여 기능을 사용하여 타사(예: 이메일 마케팅 회사)에게 사용자가 소유하고 있는 도메인에서 마케팅 이메일을 발송하도록 허용할 수 있습니다.

이 장에서는 기존 계정 간 알림 기능을 대체하는 전송 권한 부여에 대한 세부 사항을 다룹니다. 먼저 권한 부여 정책의 구조 및 정책 관리 방법과 같은 중요한 주제를 다루는 [Amazon SES에서 자격 증명 권한 부여 사용](identity-authorization-policies.md)에 설명된 권한 부여 정책을 사용한 자격 증명 기반 권한 부여의 기본 사항을 이해해야 합니다.

## 계정 간 알림 레거시 지원
<a name="sending-authorization-cross-account-sunsetting"></a>

ID 소유자가 확인된 ID 중 하나에서 보낼 수 있도록 승인한 위임 발신자로부터 보낸 이메일과 관련된 반송 메일, 수신 거부 및 배달에 대한 피드백 알림은 기존에 위임 발신자가 주제를 소유하지 않은 ID와 연결하는(즉, 계정 간 연결) 계정 간 알림을 사용하도록 구성되었습니다. 하지만 계정 간 알림은 위임 발신자가 확인된 ID 중 하나를 사용하여 이메일을 보내도록 ID 소유자가 승인하는 위임 발신과 관련하여 구성 세트 및 확인된 ID를 사용하는 것으로 바뀌었습니다. 이 새로운 방법을 사용하면 위임 발신자인지 확인된 ID의 소유자인지 여부에 따라 반송 메일, 수신 거부, 배달 및 기타 이벤트 알림을 다음 두 가지 구조별로 유연하게 구성할 수 있습니다.
+ **구성 세트** - 위임 발신자는 자신이 소유하지 않지만 인증 정책을 통해 자격 증명 소유자가 보낼 수 있는 권한이 있는 확인된 자격 증명에서 이메일을 보낼 때 지정 가능한 자체 구성 세트에서 이벤트 게시를 설정할 수 있습니다. 이벤트 게시를 사용하면 반송 메일, 수신 거부, 전송 및 기타 이벤트 알림을 Amazon CloudWatch, Amazon Data Firehose, Amazon Pinpoint 및 Amazon SNS에 게시할 수 있습니다. [이벤트 대상 만들기](event-destinations-manage.md)을(를) 참조하세요.
+ **확인된 자격 증명** - 자격 증명 소유자는 위임 발신자가 확인된 자격 증명 중 하나를 사용하여 이메일을 보내도록 권한을 부여하는 것 외에도 위임 발신자의 요청에 따라 위임 발신자가 소유한 SNS 주제를 사용하도록 공유 자격 증명에 대한 피드백 알림을 구성할 수도 있습니다. 위임 발신자만 SNS 주제를 소유하고 있기 때문에 이러한 알림을 받습니다. [‘소유하지 않은 SNS 주제’를 구성](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own)하는 방법은 권한 부여 정책 절차에서 14단계를 참조하세요.

**참고**  
호환성을 위해 현재 계정에서 사용 중인 레거시 계정 간 알림에 대해서는 계정 간 알림이 계속 지원됩니다. 이 지원은 Amazon SES 클래식 콘솔에서 생성한 모든 현재 계정 간 알림을 수정하고 사용할 수 있지만 더 이상 *새로운* 계정 간 알림을 생성할 수는 없도록 제한됩니다. 새 Amazon SES 콘솔에서 새 계정 간 알림을 생성하려면 [이벤트 게시](event-destinations-manage.md)를 사용하는 구성 세트 또는 [자체 SNS 주제로 구성](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own)된 확인된 자격 증명을 사용하는 새 위임 발신 방법을 사용합니다.

**Topics**
+ [계정 간 알림 레거시 지원](#sending-authorization-cross-account-sunsetting)
+ [Amazon SES 전송 권한 부여의 개요](sending-authorization-overview.md)
+ [Amazon SES 전송 권한 부여를 위한 자격 증명 소유자 작업](sending-authorization-identity-owner-tasks.md)
+ [Amazon SES 전송 권한 부여를 위한 위임 발신자 작업](sending-authorization-delegate-sender-tasks.md)

# Amazon SES 전송 권한 부여의 개요
<a name="sending-authorization-overview"></a>

이 주제에서는 전송 권한 부여 프로세스의 개요를 살펴보고 어떻게 발신 할당량, 알림과 같은 Amazon SES의 이메일 전송 기능을 전송 권한 부여와 함께 사용하는지 설명합니다.

이 단원에서는 다음 용어를 사용합니다.
+ **자격 증명** – Amazon SES 사용자가 이메일을 보내기 위해 사용하는 이메일 주소 또는 도메인입니다.
+ **자격 증명 소유자** – [확인된 자격 증명](verify-addresses-and-domains.md)에서 설명한 절차를 사용하여 이메일 주소 또는 도메인의 소유권을 확인한 Amazon SES 사용자입니다.
+ **위임 발신자** - AWS 계정, AWS Identity and Access Management (IAM) 사용자 또는 자격 증명 소유자를 대신하여 이메일을 전송할 수 있는 권한 부여 정책을 통해 권한이 부여된 AWS 서비스입니다.
+ **전송 권한 부여 정책** – 자격 증명에 연결되는 문서로, 누가 어떤 조건으로 해당 자격 증명을 사용하여 전송할 수 있는지 지정합니다.
+ **Amazon 리소스 이름(ARN)** - 모든 AWS 서비스에서 AWS 리소스를 고유하게 식별하는 표준화된 방법입니다. 전송 권한 부여의 경우 리소스는 자격 증명 소유자가 위임 발신자에게 사용하도록 권한을 부여한 자격 증명입니다. *arn:aws:ses:us-east-1:123456789012:identity/example.com*은 ARN의 한 예입니다.

## 전송 권한 부여 프로세스
<a name="sending-authorization-process"></a>

전송 권한 부여는 전송 권한 부여 정책을 기반으로 합니다. 위임 발신자에게 자신을 대신하여 이메일을 전송하도록 허용하려면 Amazon SES 콘솔 또는 Amazon SES API를 사용하여 전송 권한 부여 정책을 생성하여 자격 증명에 연결해야 합니다. 위임 발신자는 자격 증명 소유자를 대신하여 Amazon SES를 통해 이메일을 전송할 때 요청 또는 이메일 헤더에서 자격 증명의 ARN을 전달합니다.

이메일 전송 요청을 수신한 Amazon SES는 자격 증명 소유자의 정책(있는 경우)을 확인하여 자격 증명 소유자가 위임 발신자에게 해당 자격 증명을 대신하여 이메일을 전송하도록 허용했는지 판단합니다. 위임 발신자에게 권한이 부여된 경우 Amazon SES가 이메일을 수락하고, 그렇지 않으면 Amazon SES가 오류 메시지를 반환합니다.

다음 다이어그램은 전송 권한 부여 개념 사이의 상위 수준 관계를 보여줍니다.

![\[전송 권한 부여 개요\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/sending_authorization_overview.png)


전송 권한 부여 프로세스는 다음 단계로 구성됩니다.

1. 자격 증명 소유자는 위임 발신자가 사용할 확인된 자격 증명을 선택합니다. 확인된 자격 증명이 없는 경우 [확인된 자격 증명](verify-addresses-and-domains.md) 섹션을 참조하세요.
**참고**  
위임 발신자에 대해 선택한 확인된 자격 증명에는 [기본 구성 세트](managing-configuration-sets.md#default-config-sets)를 할당할 수 없습니다.

1. 위임 발신자는 자격 증명 소유자가 전송에 사용할 AWS 계정 ID 또는 IAM 사용자 ARN을 알 수 있도록 합니다.

1. 자격 증명 소유자가 본인의 계정 중 하나에서 위임 발신자가 발신하도록 허용하는 데 동의할 경우, Amazon SES 콘솔 또는 Amazon SES API를 사용하여 전송 권한 부여 정책을 생성하여 선택한 자격 증명에 연결합니다.

1. 위임 발신자가 이메일 전송 시 Amazon SES에게 ARN을 제공할 수 있도록 자격 증명 소유자가 위임 발신자에게 권한이 부여된 자격 증명의 ARN을 제공합니다.

1. 위임 발신자는 [이벤트 게시](monitor-using-event-publishing.md)를 통해 위임 발신 시에 지정된 구성 세트에서 반송 메일 및 수신 거부 알림을 사용하도록 설정할 수 있습니다. 자격 증명 소유자는 반송 메일 및 수신 거부 이벤트에 대해 위임 발신자의 Amazon SNS 주제로 전송되도록 이메일 피드백 알림을 설정할 수도 있습니다.
**참고**  
자격 증명 소유자가 전송 이벤트 알림을 비활성화한 경우 위임 발신자는 Amazon SNS 주제 또는 Firehose 스트림에 반송 메일 및 수신 거부 이벤트를 게시하도록 이벤트 게시를 설정해야 합니다. 또한 발신자는 이벤트 게시 규칙이 포함된 구성 세트를 전송하는 각 이메일에 적용해야 합니다. 자격 증명 소유자도 위임 발신자도 반송 메일 및 수신 거부 이벤트에 대한 알림 전송 방법을 설정하지 않은 경우 자격 증명 소유자가 이메일 피드백 전달을 비활성화했더라도 Amazon SES는 이메일의 Return-Path 필드에 있는 주소(또는 Return-Path 주소를 지정하지 않은 경우 Source 필드의 주소)로 이메일을 통해 이벤트 알림을 자동으로 보냅니다.

1. 위임 발신자가 요청 또는 이메일 헤더에서 자격 증명 소유자의 ARN을 전달하여 자격 증명 소유자를 대신하여 Amazon SES를 통해 이메일 전송을 시도합니다. 위임 발신자는 Amazon SES SMTP 인터페이스 또는 Amazon SES API를 사용하여 이메일을 전송할 수 있습니다. 요청을 수신한 Amazon SES는 자격 증명에 연결된 모든 정책을 검사하여 위임 발신자가 지정된 "From" 주소 및 "Return Path" 주소를 사용할 권한이 부여된 경우 이메일을 수락합니다. 그렇지 않을 경우 Amazon SES가 오류 메시지를 반환하고 메시지를 수락하지 않습니다.
**중요**  
위임 발신자의 AWS 계정을 샌드박스에서 제거해야 확인되지 않은 주소로 이메일을 보내는 데 사용할 수 있습니다.

1. 자격 증명 소유자가 위임 발신자의 권한을 철회해야 하는 경우, 자격 증명 소유자는 전송 권한 부여 정책을 편집하거나 전체 정책을 삭제합니다. 자격 증명 소유자는 Amazon SES 콘솔 또는 Amazon SES API를 사용하여 각 작업을 수행할 수 있습니다.

자격 증명 소유자 또는 위임 발신자가 이러한 작업을 수행할 수 있는 방법에 대한 자세한 내용은 각각 [자격 증명 소유자 작업](sending-authorization-identity-owner-tasks.md) 또는 [위임 발신자 작업](sending-authorization-delegate-sender-tasks.md) 단원을 참조하십시오.

## 이메일 전송 기능의 특성
<a name="sending-authorization-attribution"></a>

일일 발신 할당량, 반송 메일 및 수신 거부, DKIM 서명, 피드백 전달 등의 Amazon SES 이메일 전송 기능과 관련하여 위임 발신자 및 자격 증명 소유자의 역할을 이해하는 것이 중요합니다. 특성은 다음과 같습니다.
+ **발신 할당량** – 자격 증명 소유자의 자격 증명에서 전송된 이메일은 위임 발신자의 할당량에서 감산됩니다.
+ **반송 메일 및 수신 거부** – 반송 메일 및 수신 거부 이벤트는 위임 발신자의 Amazon SES 계정에 기록되므로 위임 발신자의 평판에 영향을 줄 수 있습니다.
+ **DKIM 서명** – 자격 증명 소유자가 자격 증명에 대해 Easy DKIM 서명을 활성화한 경우 위임 발신자가 전송한 이메일을 포함하여 해당 자격 증명에서 전송된 모든 이메일이 DKIM 서명됩니다. 자격 증명 소유자는 이메일이 DKIM 서명될지 여부만 제어할 수 있습니다.
+ **알림** – 자격 증명 소유자와 위임 발신자는 모두 반송 메일 및 수신 거부에 대한 알림을 설정할 수 있습니다. 이메일 자격 증명 소유자도 이메일 피드백 전달을 활성화할 수 있습니다. 알림 설정에 대한 자세한 내용은 [Amazon SES 전송 활동 모니터링](monitor-sending-activity.md) 단원을 참조하세요.
+ **확인** – 자격 증명 소유자는 [확인된 자격 증명](verify-addresses-and-domains.md)의 절차에 따라 위임 발신자에게 사용 권한을 부여한 이메일 주소 및 도메인의 소유권을 확인할 책임이 있습니다. 위임 발신자는 전송 권한 부여만을 위해 이메일 주소 또는 도메인을 확인할 필요가 없습니다.
**중요**  
위임 발신자의 AWS 계정을 샌드박스에서 제거해야 확인되지 않은 주소로 이메일을 보내는 데 사용할 수 있습니다.
+ **AWS 리전 **- 위임 발신자는 자격 증명 소유자의 자격 증명이 확인된 AWS 리전에서 이메일을 보내야 합니다. 위임 발신자에게 권한을 부여하는 전송 권한 부여 정책이 해당 리전의 자격 증명에 연결되어야 합니다.
+ **결제** – 위임 발신자가 자격 증명 소유자의 주소를 사용해 보낸 이메일을 비롯해 위임 발신자의 계정에서 보낸 모든 메시지는 위임 발신자에게 청구됩니다.

# Amazon SES 전송 권한 부여를 위한 자격 증명 소유자 작업
<a name="sending-authorization-identity-owner-tasks"></a>

이 단원에서는 전송 권한 부여를 구성할 때 자격 증명 소유자가 취해야 하는 단계를 설명합니다.

**Topics**
+ [Amazon SES 전송 권한 부여를 위한 자격 증명 확인](sending-authorization-identity-owner-tasks-verification.md)
+ [Amazon SES 전송 권한 부여를 위한 자격 증명 소유자 알림 설정](sending-authorization-identity-owner-tasks-notifications.md)
+ [Amazon SES 전송 권한 부여에서 위임 발신자로부터 정보 얻기](sending-authorization-identity-owner-tasks-information.md)
+ [Amazon SES 전송 권한 부여 정책 생성](sending-authorization-identity-owner-tasks-policy.md)
+ [전송 정책 예시](sending-authorization-policy-examples.md)
+ [Amazon SES 전송 권한 부여에서 위임 발신자에게 자격 증명 정보 제공](sending-authorization-identity-owner-tasks-identity.md)

# Amazon SES 전송 권한 부여를 위한 자격 증명 확인
<a name="sending-authorization-identity-owner-tasks-verification"></a>

전송 권한 부여 구성의 첫 단계는 위임 발신자가 이메일을 보내는 데 사용할 이메일 주소나 도메인을 소유한다고 입증하는 것입니다. 확인 절차는 [확인된 자격 증명](verify-addresses-and-domains.md) 단원에 설명되어 있습니다.

[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Verified Identity 섹션에서 상태를 확인하거나 `GetIdentityVerificationAttributes` API 작업을 사용하여 이메일 주소 또는 도메인이 확인되었는지 확인할 수 있습니다.

개발자나 위임 발신자가 확인되지 않은 이메일 주소로 이메일을 보내려면 먼저 Amazon SES 샌드박스에서 계정을 제거해 달라고 요청을 제출해야 합니다. 자세한 내용은 [프로덕션 액세스 요청(Amazon SES 샌드박스에서 이동)](request-production-access.md) 단원을 참조하십시오.

**중요**  
위임 발신자 AWS 계정 의를 샌드박스에서 제거해야 확인되지 않은 주소로 이메일을 보내거나 보내는 데 사용할 수 있습니다.
계정이 샌드박스에 있는 경우 계정에서 확인되지 않은 이메일 주소로 전송할 수 없습니다. 자격 증명 계정에서 도메인 또는 이메일 주소가 확인된 경우에도 마찬가지입니다.

# Amazon SES 전송 권한 부여를 위한 자격 증명 소유자 알림 설정
<a name="sending-authorization-identity-owner-tasks-notifications"></a>

사용자를 대신하여 이메일을 보내도록 위임 발신자에게 권한을 부여하면 Amazon SES는 해당 이메일로 인해 생성되는 모든 반송 메일 또는 수신 거부를 사용자가 아니라 위임 발신자의 반송 메일 및 수신 거부 한도에 반영합니다. 그러나 위임 발신자가 보낸 메시지로 인해 IP 주소가 타사 스팸 방지, DNS 블랙리스트(DNSBL)에 오를 경우, 자격 증명의 평판이 손상될 수 있습니다. 따라서 자격 증명 소유자일 경우 위임 발신을 승인한 자격 증명을 포함하여 모든 자격 증명에 대해 이메일 피드백 전달을 설정해야 합니다. 자세한 내용은 [이메일을 통해 Amazon SES 알림 수신](monitor-sending-activity-using-notifications-email.md) 단원을 참조하십시오.

위임 발신자는 사용자가 사용 권한을 부여한 자격 증명에 대해 자체 반송 메일 및 수신 거부 알림을 설정할 수 있고 그렇게 해야 합니다. 반송 메일 및 수신 거부 이벤트를 Amazon SNS 주제 또는 Firehose 스트림에 게시하도록 [이벤트 게시](monitor-using-event-publishing.md)를 설정할 수 있습니다.

자격 증명 소유자도 위임 발신자도 반송 메일 및 수신 거부 이벤트에 대한 알림 전송 방법을 설정하지 않은 경우 또는 발신자가 이벤트 게시 규칙을 사용하는 구성 세트를 적용하지 않은 경우 이메일 피드백 전달을 비활성화했더라도 Amazon SES는 이메일의 Return-Path 필드에 있는 주소(또는 Return-Path 주소를 지정하지 않은 경우 Source 필드의 주소)로 이메일을 통해 이벤트 알림을 자동으로 보냅니다. 이 프로세스는 다음 이미지에 설명되어 있습니다.

![\[Flowchart showing notification paths for bounce/complaint events based on various settings.\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/feedback_forwarding.png)


# Amazon SES 전송 권한 부여에서 위임 발신자로부터 정보 얻기
<a name="sending-authorization-identity-owner-tasks-information"></a>

발신 권한 부여 정책에 하나 이상의 *보안 주체*를 지정해야 합니다. 보안 주체는 확인된 자격 증명 중 하나를 대신하여 발신할 수 있도록 액세스 권한을 부여하는 위임 발신자의 엔터티입니다. Amazon SES 전송 권한 부여 정책의 경우 보안 주체는 위임 발신자의 AWS 계정, AWS Identity and Access Management (IAM) 사용자 ARN 또는 AWS 서비스일 수 있습니다.

쉽게 설명하자면 *보안 주체*(위임 발신자)는 피부여자이고 귀하(자격 증명 소유자)는 권한 부여 정책의 부여자입니다. 즉, 귀하는 보안 주체에게 여러분이 소유한 *리소스*(확인된 자격 증명)에서 이메일, 원시 이메일, 템플릿 이메일 또는 대량 템플릿 이메일의 어떤 조합이든 보낼 수 있는 *허용* 권한을 부여합니다.

가장 세부적인 제어를 원한다면 위임 발신자의 AWS 계정 내 임의의 사용자가 아니라 하나의 위임 발신자만 사용자를 대신하여 이메일을 전송하도록 위임 발신자에게 IAM 사용자를 설정하도록 요청하십시오. 위임 발신자는 *IAM 사용 설명서*의 [AWS 계정에서 IAM 사용자 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html)에서 IAM 사용자를 설정하는 방법에 대한 자세한 내용을 확인할 수 있습니다.

위임 발신자에게 AWS 계정 ID 또는 IAM 사용자의 Amazon 리소스 이름(ARN)을 요청하여 전송 권한 부여 정책에 포함할 수 있도록 합니다. 위임 발신자에게 [자격 증명 소유자에게 정보 제공](sending-authorization-delegate-sender-tasks-information.md) 내 지침을 사용하여 이 정보를 찾을 수 있음을 알려줄 수 있습니다. 위임 발신자가 AWS 서비스인 경우 해당 서비스에 대한 설명서를 참조하여 서비스 이름을 확인합니다.

다음 예제 정책은 위임 발신자가 자격 증명 소유자의 리소스에서 발신할 수 있도록 권한을 부여하기 위해 자격 증명 소유자가 만드는 정책에 필요한 기본 요소를 보여 줍니다. 자격 증명 소유자는 확인된 자격 증명 워크플로를 거치고 권한 부여에서 정책 생성기를 사용하여 가장 간단한 형식으로, 자격 증명 소유자가 소유한 리소스를 대신하여 위임 발신자가 발신할 수 있도록 하는 다음과 같은 기본 정책을 만듭니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSESSendEmail",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource": [
          "arn:aws:ses:us-east-1:444455556666:identity/bob@example.com"
      ],
      "Condition": {}
    }
  ]
}
```

------

위 정책에 대해 다음 범례는 핵심 요소와 해당 요소를 소유한 사용자를 설명합니다.
+ **보안 주체(Principal)** - 이 필드는 위임 발신자의 IAM 사용자 ARN으로 채워집니다.
+ **작업(Action)** - 이 필드는 위임 발신자가 자격 증명 소유자의 리소스에서 수행하도록 자격 증명 소유자가 허용하는 2개의 SES 작업(`SendEmail` 및 `SendRawEmail`)으로 채워집니다.
+ **리소스(Resource)** - 이 필드는 위임 발신자에게 발신 권한을 부여하는 자격 증명 소유자의 확인된 리소스로 채워집니다.

# Amazon SES 전송 권한 부여 정책 생성
<a name="sending-authorization-identity-owner-tasks-policy"></a>

[자격 증명 권한 부여 정책 생성](identity-authorization-policies-creating.md)에 설명된 대로 Amazon SES에서 권한 부여 정책을 생성하는 것과 유사하게 위임 발신자에게 이메일 주소 또는 도메인(*자격 증명*)을 사용하여 이메일을 전송하도록 권한을 부여하려면 SES 전송 API 작업이 지정된 정책을 생성한 후 해당 자격 증명에 연결합니다.

전송 권한 부여 정책에 지정할 수 있는 API 작업 목록은 [정책 전용 설명문](policy-anatomy.md#identity-authorization-policy-statements) 테이블의 *Action* 행을 참조하세요.

정책 생성기를 사용하거나 사용자 지정 정책을 생성하여 전송 권한 부여 정책을 만들 수 있습니다. 두 방법의 경우 모두 전송 권한 부여 정책을 만드는 절차가 제공됩니다.

**참고**  
이메일 주소 자격 증명에 연결한 전송 권한 부여 정책은 해당 도메인 자격 증명에 연결한 정책보다 우선합니다. 예를 들어 사용자가 *example.com*에 대해서는 특정 위임 발신자를 허용하지 않는 정책을 생성하고 *sender@example.com*에 대해서는 이 위임 발신자를 허용하는 정책을 생성할 경우, 위임 발신자는 *sender@example.com*에서는 이메일을 전송할 수 있지만 *example.com* 도메인의 기타 모든 주소에서는 전송할 수 없습니다.
사용자가 *example.com*에 대해서는 특정 위임 발신자를 허용하는 정책을 생성하고 *sender@example.com*에 대해서는 이 위임 발신자를 허용하지 않는 정책을 생성할 경우, 위임 발신자는 *example.com* 도메인에서는 이메일을 전송할 수 있지만 *sender@example.com*에서는 전송할 수 없습니다.
SES 권한 부여 정책의 구조에 익숙하지 않은 경우 [정책 구조](policy-anatomy.md) 섹션을 참조하세요.
권한을 부여하려는 ID가 [글로벌 엔드포인트](global-endpoints.md) 기능의 일부로 보조 리전에서 복제되는 경우, 위임 발신자가 두 리전 모두에서 이 ID를 사용하여 전송할 수 있는 권한을 갖도록 기본 및 보조 리전 모두에서 ID에 대한 전송 권한 부여 정책을 생성해야 합니다.

## 정책 생성기를 사용하여 전송 권한 부여 정책 생성
<a name="sending-authorization-identity-owner-tasks-identity-policy-generator"></a>

다음 절차에 따라 정책 생성기를 사용하여 전송 권한 부여 정책을 생성할 수 있습니다.

**정책 생성기를 사용하여 전송 권한 부여 정책을 생성하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 탐색 창의 **구성** 아래에서 **ID**를 선택합니다.

1. **자격 증명(Identities)** 컨테이너의 **확인된 자격 증명(Verified identities)** 화면에서 위임 발신자가 귀하를 대신하여 발신할 수 있도록 승인할 확인된 자격 증명을 선택합니다.

1. 확인된 자격 증명의 **권한 부여** 탭을 선택합니다.

1. **Authorization policies**(권한 부여 정책) 창에서 **Create policy**(정책 생성)를 선택하고 드롭다운에서 **Use policy generator**(정책 생성기 사용)를 선택합니다.

1. **설명문 생성(Create statement)** 창의 **효과(Effect)** 필드에서 **허용(Allow)**을 선택합니다. (위임 발신자를 제한하는 정책을 만들려면 **거부(Deny)**를 선택합니다.)

1. **보안 주체(Principal)** 필드에 위임 발신자가 귀하와 공유한 *AWS 계정 ID* 또는 *IAM 사용자 ARN*을 입력하여 이 자격 증명에 해당하는 귀하의 계정을 대신하여 이메일을 보낼 수 있도록 권한을 부여한 다음 **추가(Add)**를 선택합니다. (두 명 이상의 위임 발신자에게 권한을 부여하려면 각 위임 발신자에 대해 이 단계를 반복합니다.)

1. **작업(Actions)** 필드에서 위임 발신자에게 권한을 부여하려는 각 전송 유형에 대해 확인란을 선택합니다.

1. (선택 사항) 위임 발신자 권한에 보조 설명문을 추가하려는 경우 **조건 지정(Specify conditions)**을 확장합니다.

   1. **연산자(Operator)** 드롭다운에서 연산자를 선택합니다.

   1. **키(Key)** 드롭다운에서 유형을 선택합니다.

   1. 선택한 키 유형에 따라 해당 값을 **값(Value)** 필드에 입력합니다. (조건을 더 추가하려면 **새 조건 추가(Add new condition)**를 선택하고 각 추가 조건에 대해 이 단계를 반복합니다.)

1. **설명문 저장(Save statement)**을 선택합니다.

1. (선택 사항) 정책에 설명문을 더 추가하려면 **다른 설명문 생성(Create another statement)**을 확장하고 6\$110단계를 반복합니다.

1. **다음**을 선택하면 **정책 사용자 지정** 화면의 **정책 세부 정보 편집** 컨테이너에 정책의 **이름** 및 **정책 문서** 자체를 변경하거나 사용자 지정할 수 있는 필드가 있습니다.

1. **다음(Next)**을 선택하면 **검토 및 적용(Review and apply)** 화면의 **개요(Overview)** 컨테이너에 위임 발신자에 대해 권한을 부여하고 있는 확인된 자격 증명과 이 정책의 이름이 표시됩니다. **정책 문서(Policy document)** 창에 추가한 조건으로 방금 작성한 실제 정책이 표시됩니다. 정책을 검토하고 문제가 없으면 **정책 적용(Apply policy)**을 선택합니다. (무언가를 변경하거나 수정해야 할 경우 **이전(Previous)**을 선택하고 **정책 세부 정보 편집(Edit policy details)** 컨테이너에서 변경합니다.) 방금 만든 정책을 통해 위임 발신자가 귀하를 대신하여 발신할 수 있습니다.

1. <a name="configure-sns-topic-you-dont-own"></a>(선택 사항) 위임 발신자가 소유한 SNS 주제를 사용하거나 반송 메일 또는 수신 거부를 수신할 때 피드백 알림을 받거나 이메일이 배달될 때, 이 확인된 자격 증명에서 SNS 주제를 구성해야 합니다. (위임 발신자는 구하와 SNS 주제 ARN을 공유해야 합니다.) **알림(Notifications)** 탭을 선택하고 **피드백 알림(Feedback notifications)** 컨테이너에서 **편짐(Edit)**을 선택합니다.

   1. **SNS 주제 구성(Configure SNS topics)** 창의 피드백 필드(반송 메일, 수신 거부 또는 배달)에서 **소유하지 않은 SNS 주제(SNS topic you don’t own)**를 선택한 다음, 위임 발신자가 소유하고 공유한 **SNS 주제 ARN**을 입력합니다. (위임 발신자만 SNS 주제를 소유하고 있기 때문에 이러한 알림을 수신합니다. 자격 증명 소유자는 이 알림을 수신하지 않습니다.)

   1. (선택 사항) 주제 알림에 원본 이메일의 헤더를 포함하려면 각 피드백 유형의 SNS 주제 이름 바로 아래에 있는 **원본 이메일 헤더 포함(Include original email headers)** 상자를 선택합니다. 이 옵션은 연결된 알림 유형에 Amazon SNS 주제를 지정한 경우에만 사용할 수 있습니다. 원래 이메일 헤더의 내용에 대한 자세한 내용은 `mail`에서 [알림 내용](notification-contents.md) 객체를 참조하세요.

   1. **변경 사항 저장**을 선택합니다. 알림 설정의 변경 사항이 적용되려면 몇 분 정도 걸릴 수 있습니다.

   1. (선택 사항) 위임 발신자가 반송 메일 및 수신 거부에 대한 Amazon SNS 주제 알림을 받게 되므로 이 자격 증명 전송에 대한 피드백을 받지 않으려면 이메일 알림을 완전히 사용 중지할 수 있습니다. 반송 메일과 수신 거부에 대해 이메일 피드백을 사용 중지하려면, **알림(Notifications)** 탭의 **이메일 피드백 전달(Email Feedback Forwarding)** 컨테이너에서 **편집(Edit)**을 선택하고 **사용(Enabled)** 상자를 선택 취소한 다음 **변경 사항 저장(Save changes)**을 선택합니다. 이제 전송 상태 알림이 위임 발신자가 소유한 SNS 주제로만 전송됩니다.

## 사용자 지정 전송 권한 부여 정책 생성
<a name="sending-authorization-identity-owner-tasks-identity-policy-custom"></a>

사용자 지정 전송 권한 부여 정책을 생성하여 자격 증명에 연결할 수 있는 옵션은 다음과 같습니다.
+ **Amazon SES API 사용** – 텍스트 편집기에서 정책을 생성한 후 [Amazon Simple Email Service API 참조](https://docs.aws.amazon.com/ses/latest/APIReference/)에 설명된 `PutIdentityPolicy` API를 사용하여 정책을 자격 증명에 연결합니다.
+ **Amazon SES 콘솔 사용** – 텍스트 편집기에서 정책을 생성하고 Amazon SES 콘솔의 사용자 지정 정책 편집기에 붙여 넣어서 자격 증명에 연결합니다. 다음 절차에서는 이 방법을 설명합니다.



**사용자 지정 정책 편집기를 사용하여 사용자 지정 전송 권한 부여 정책을 생성하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 탐색 창의 **구성** 아래에서 **ID**를 선택합니다.

1. **자격 증명(Identities)** 컨테이너의 **확인된 자격 증명(Verified identities)** 화면에서 위임 발신자가 귀하를 대신하여 발신할 수 있도록 승인할 확인된 자격 증명을 선택합니다.

1. 이전 단계에서 선택한 확인된 자격 증명의 세부 정보 화면에서 **권한 부여(Authorization)** 탭을 선택합니다.

1. **Authorization policies**(권한 부여 정책) 창에서 **Create policy**(정책 생성)를 선택하고 드롭다운에서 **Create custom policy**(사용자 지정 정책 생성)를 선택합니다.

1. **Policy document**(정책 문서) 창에서 JSON 형식의 정책의 텍스트를 입력하거나 붙여 넣습니다. 또한 정책 생성기를 사용하여 정책의 기본 구조를 신속히 생성한 다음 여기에서 사용자 지정할 수 있습니다.

1. **정책 적용**을 선택합니다. (사용자 지정 정책을 수정해야 하는 경우 **권한 부여(Authorization)** 탭에서 해당 확인란을 선택하고 **편집(Edit)**을 선택하여 **정책 문서(Policy document)** 창에서 변경한 후 **변경 사항 저장(Save changes)**을 선택합니다).

1. (선택 사항) 위임 발신자가 소유한 SNS 주제를 사용하거나 반송 메일 또는 수신 거부를 수신할 때 피드백 알림을 받거나 이메일이 배달될 때, 이 확인된 자격 증명에서 SNS 주제를 구성해야 합니다. (위임 발신자는 구하와 SNS 주제 ARN을 공유해야 합니다.) **알림(Notifications)** 탭을 선택하고 **피드백 알림(Feedback notifications)** 컨테이너에서 **편짐(Edit)**을 선택합니다.

   1. **SNS 주제 구성(Configure SNS topics)** 창의 피드백 필드(반송 메일, 수신 거부 또는 배달)에서 **소유하지 않은 SNS 주제(SNS topic you don’t own)**를 선택한 다음, 위임 발신자가 소유하고 공유한 **SNS 주제 ARN**을 입력합니다. (위임 발신자만 SNS 주제를 소유하고 있기 때문에 이러한 알림을 수신합니다. 자격 증명 소유자는 이 알림을 수신하지 않습니다.)

   1. (선택 사항) 주제 알림에 원본 이메일의 헤더를 포함하려면 각 피드백 유형의 SNS 주제 이름 바로 아래에 있는 **원본 이메일 헤더 포함(Include original email headers)** 상자를 선택합니다. 이 옵션은 연결된 알림 유형에 Amazon SNS 주제를 지정한 경우에만 사용할 수 있습니다. 원래 이메일 헤더의 내용에 대한 자세한 내용은 `mail`에서 [알림 내용](notification-contents.md) 객체를 참조하세요.

   1. **변경 사항 저장**을 선택합니다. 알림 설정의 변경 사항이 적용되려면 몇 분 정도 걸릴 수 있습니다.

   1. (선택 사항) 위임 발신자가 반송 메일 및 수신 거부에 대한 Amazon SNS 주제 알림을 받게 되므로 이 자격 증명 전송에 대한 피드백을 받지 않으려면 이메일 알림을 완전히 사용 중지할 수 있습니다. 반송 메일과 수신 거부에 대해 이메일 피드백을 사용 중지하려면, **알림(Notifications)** 탭의 **이메일 피드백 전달(Email Feedback Forwarding)** 컨테이너에서 **편집(Edit)**을 선택하고 **사용(Enabled)** 상자를 선택 취소한 다음 **변경 사항 저장(Save changes)**을 선택합니다. 이제 전송 상태 알림이 위임 발신자가 소유한 SNS 주제로만 전송됩니다.

# 전송 정책 예시
<a name="sending-authorization-policy-examples"></a>

전송 권한 부여에서는 사용자가 위임 발신자에게 사용자를 대신하여 이메일을 전송하도록 허용하는 세부 조건을 지정할 수 있습니다.

**Topics**
+ [전송 권한 부여와 관련된 조건](#sending-authorization-policy-conditions)
+ [위임 발신자 지정](#sending-authorization-policy-example-sender)
+ ["From" 주소 제한](#sending-authorization-policy-example-from)
+ [위임자가 이메일을 전송할 수 있는 시간 제한](#sending-authorization-policy-example-time)
+ [이메일 전송 작업 제한](#sending-authorization-policy-example-action)
+ [이메일 발신자의 표시 이름 제한](#sending-authorization-policy-example-display-name)
+ [복수의 설명문 사용](#sending-authorization-policy-example-multiple-statements)

## 전송 권한 부여와 관련된 조건
<a name="sending-authorization-policy-conditions"></a>

*조건(condition)*은 문에 지정된 권한에 대한 제한입니다. 문에서 조건을 지정하는 부분이 가장 세부적일 수 있습니다. *키(key)*는 요청의 날짜 및 시간과 같이 액세스 제한의 기준이 되는 구체적인 특성입니다.

조건과 키를 함께 사용하여 제한을 표현합니다. 예를 들어, 위임 발신자가 2019년 7월 30일 이후로는 사용자를 대신하여 Amazon SES에 요청을 하지 못하게 제한하려면 `DateLessThan` 조건을 사용합니다. `aws:CurrentTime`이라는 키를 사용하여 그 값을 `2019-07-30T00:00:00Z`로 설정합니다.

*IAM 사용 설명서*의 [사용 가능한 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys)에 나열된 AWS전체 키를 사용하거나 권한 부여 정책을 전송하는 데 유용한 SES와 관련된 다음 키 중 하나를 사용할 수 있습니다.


****  

|  조건 키  |  설명  | 
| --- | --- | 
|   `ses:Recipients`   |  To:, "CC" 및 "BCC" 주소가 포함된 수신자 주소를 제한합니다.  | 
|   `ses:FromAddress`   |  "From" 주소를 제한합니다.  | 
|   `ses:FromDisplayName`   |  "From" 표시 이름(때때로 "대화명"으로 부름)으로 사용되는 문자열의 내용을 제한합니다. 예를 들어 "John Doe <johndoe@example.com>"의 표시 이름은 John Doe입니다.  | 
|   `ses:FeedbackAddress`   |  이메일 피드백 전달로 반송 메일과 수신 거부를 전송할 수 있는 주소인 "Return Path" 주소를 제한합니다. 이메일 피드백 전달에 대한 자세한 내용은 [이메일을 통해 Amazon SES 알림 수신](monitor-sending-activity-using-notifications-email.md) 단원을 참조하세요.  | 

Amazon SES 키와 함께 `StringEquals` 및 `StringLike` 조건을 사용할 수 있습니다. 이러한 조건은 대/소문자 구분 문자열 매칭을 위한 것입니다. `StringLike`의 경우 문자열 어디에서나 다중 문자 매칭 와일드카드(\$1) 또는 단일 문자 매칭 와일드카드(?)를 값에 포함할 수 있습니다. 예를 들어 다음 조건은 위임 발신자가 *invoicing*으로 시작하고 *@example.com*으로 끝나는 "From" 주소에서만 이메일을 전송할 수 있게 지정합니다.

```
1. "Condition": {
2.     "StringLike": {
3.       "ses:FromAddress": "invoicing*@example.com"
4.     }
5. }
```

또한 위임 발신자가 특정 이메일 주소에서 이메일을 전송하지 못하도록 `StringNotLike` 조건을 사용할 수 있습니다. 예를 들어, 정책 문에 다음 조건을 포함하여 *admin@example.com*과 *"admin"@example.com*, *admin\$11@example.com*, *sender@admin.example.com* 등의 유사 주소에서 전송을 허용하지 않을 수 있습니다.

```
1. "Condition": {
2.     "StringNotLike": {
3.       "ses:FromAddress": "*admin*example.com"
4.     }
5.  }
```

조건 지정 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하십시오.

## 위임 발신자 지정
<a name="sending-authorization-policy-example-sender"></a>

권한을 부여하려는 엔터티인 *보안 주체*는 AWS 계정, AWS Identity and Access Management (IAM) 사용자 또는 AWS 서비스일 수 있습니다.

다음 예제는 AWS ID *123456789012*이 확인된 자격 증명 *example.com*(*888888888888*에서 소유 AWS 계정 )에서 이메일을 보내도록 허용하는 간단한 정책을 보여줍니다. 이 정책의 `Condition` 문은 위임자(ID AWS *123456789012*)가 주소 *marketing\$1.\$1@example.com*에서 이메일을 보내도록 허용합니다. 여기서 *\$1*는 marketing*\$1 이후에 추가하려는 문자열입니다*.

------
#### [ JSON ]

****  

```
{
  "Id":"SampleAuthorizationPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeMarketer",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Condition":{
        "StringLike":{
          "ses:FromAddress":"marketing+.*@example.com"
        }
      }
    }
  ]
}
```

------

다음 정책 예제는 두 IAM 사용자에게 자격 증명 *example.com*에서 이메일을 전송할 수 있는 권한을 부여합니다. IAM 사용자는 Amazon Resource Name(ARN)으로 지정됩니다.

------
#### [ JSON ]

****  

```
{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeIAMUser",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
      "Principal":{
        "AWS":[
          "arn:aws:iam::111122223333:user/John",
          "arn:aws:iam::444455556666:user/Jane"
        ]
      },
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ]
    }
  ]
}
```

------

다음 정책 예제는 Amazon Cognito에게 자격 증명 *example.com*에서 이메일을 전송할 수 있는 권한을 부여합니다.

------
#### [ JSON ]

****  

```
{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeService",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
      "Principal":{
        "Service":[
          "cognito-idp.amazonaws.com"
        ]
      },
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "888888888888",
          "aws:SourceArn": "arn:aws:cognito-idp:us-east-1:888888888888:userpool/your-user-pool-id-goes-here"
        }
      }
    }
  ]
}
```

------

다음 정책 예제는 AWS Organizations에게 자격 증명 example.com에서 이메일을 전송할 수 있는 권한을 부여합니다. AWS 조직은 [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 전역 조건 키를 사용하여 지정됩니다.

------
#### [ JSON ]

****  

```
{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeOrg",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
      "Principal":"*",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":"o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

## "From" 주소 제한
<a name="sending-authorization-policy-example-from"></a>

확인된 도메인을 사용하면 위임 발신자만 지정된 이메일 주소에서 전송하도록 허용하는 정책을 생성할 수 있습니다. "From" 주소를 제한하려면 *ses:FromAddress* 키에서 조건을 설정합니다. 다음 정책은 AWS 계정 ID *123456789012*가 자격 증명 *example.com*, 그러나 이메일 주소 *sender@example.com*에서만 전송하도록 허용합니다.

------
#### [ JSON ]

****  

```
{
  "Id":"ExamplePolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeFromAddress",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"sender@example.com"
        }
      }
    }
  ]
}
```

------

## 위임자가 이메일을 전송할 수 있는 시간 제한
<a name="sending-authorization-policy-example-time"></a>

위임 발신자가 특정 시간대 또는 특정 날짜 범위 내에서만 이메일을 전송할 수 있도록 발신자 권한 부여 정책을 구성할 수도 있습니다. 예를 들어 이메일 캠페인 전송이 2021년 9월 한 달 동안 예정되어 있는 경우 다음 정책을 사용하여 위임자가 해당 월에만 이메일을 전송할 수 있도록 제한할 수 있습니다.

------
#### [ JSON ]

****  

```
{
  "Id":"ExamplePolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"ControlTimePeriod",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Condition":{
        "DateGreaterThan":{
          "aws:CurrentTime":"2021-08-31T12:00Z"
        },
        "DateLessThan":{
          "aws:CurrentTime":"2021-10-01T12:00Z"
        }
      }
    }
  ]
}
```

------

## 이메일 전송 작업 제한
<a name="sending-authorization-policy-example-action"></a>

발신자가 Amazon SES에서 이메일을 전송할 수 있는 작업은 발신자가 이메일의 형식을 어느 정도 제어하기를 원하는가에 따라 `SendEmail` 및 `SendRawEmail` 두 가지가 있습니다. 전송 권한 부여 정책을 통해 위임 발신자가 두 작업 중 하나만 사용하도록 제한할 수 있습니다. 하지만 많은 자격 증명 소유자는 이메일 전송 호출의 세부 정보를 위임 발신자가 선택할 수 있도록 정책에서 두 작업을 모두 활성화합니다.

**참고**  
위임 발신자가 SMTP 인터페이스를 통해 Amazon SES에 액세스하도록 허용하려면 최소한 `SendRawEmail`을(를) 선택해야 합니다.

작업을 제한하려는 사용 사례라면 전송 권한 부여 정책에 작업 중 하나만 포함시킵니다. 다음 예제는 작업을 `SendRawEmail`로 제한하는 방법을 보여줍니다.

------
#### [ JSON ]

****  

```
{
  "Id":"ExamplePolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"ControlAction",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:SendRawEmail"
      ]
    }
  ]
}
```

------

## 이메일 발신자의 표시 이름 제한
<a name="sending-authorization-policy-example-display-name"></a>

일부 이메일 클라이언트는 실제 "From" 주소가 아니라 이메일 발신자의 "대화명" 이름을 표시합니다(이메일 헤더가 제공하는 경우). 예를 들어 "John Doe <johndoe@example.com>"의 표시 이름은 John Doe입니다. 예를 들어, *user@example.com*에서 이메일을 보낼 수 있지만 수신자에게 *user@example.com*이 아니라 *Marketing*에서 발송된 것으로 보여지기를 원합니다. 다음 정책은 AWS 계정 ID 123456789012가 ID *example.com* 전송하도록 허용하지만 "From" 주소의 표시 이름에 *Marketing*이 포함된 경우에만 가능합니다.

------
#### [ JSON ]

****  

```
{
  "Id":"ExamplePolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeFromAddress",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Condition":{
        "StringLike":{
          "ses:FromDisplayName":"Marketing"
        }
      }
    }
  ]
}
```

------

## 복수의 설명문 사용
<a name="sending-authorization-policy-example-multiple-statements"></a>

전송 권한 부여 정책에는 여러 문이 포함될 수 있습니다. 다음의 정책 예제에는 문이 2개입니다. 첫 번째 문은 "From" 주소와 피드백 주소가 모두 도메인 *example.com* 사용하는 한 두 AWS 계정 명이 *sender@example.com*에서 전송할 수 있는 권한을 부여합니다. 두 번째 설명문은 수신자의 이메일 주소가 *example.com* 도메인에 속하는한 IAM 사용자가 *sender@example.com*에서 이메일을 전송하도록 권한을 부여합니다.

# Amazon SES 전송 권한 부여에서 위임 발신자에게 자격 증명 정보 제공
<a name="sending-authorization-identity-owner-tasks-identity"></a>

전송 권한 부여 정책을 생성하여 자격 증명에 연결한 후, 위임 발신자에게 자격 증명의 Amazon 리소스 이름(ARN)을 제공해야 합니다. 위임 발신자는 이메일 전송 작업 또는 이메일 헤더에서 이 ARN을 Amazon SES로 전달합니다. 자격 증명의 ARN 찾으려면 다음 단계를 따릅니다.

**자격 증명의 ARN을 찾으려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.

1. 자격 증명 목록에서 전송 권한 부여 정책에 연결한 자격 증명을 선택합니다.

1. **요약(Summary)** 창에서, 두 번째 열, **Amazon 리소스 이름(ARN)(Amazon Resource Name(ARN))**에는 자격 증명의 ARN이 포함됩니다. 예를 들면 ARN은 *arn:aws:ses:us-east-1:123456789012:identity/user@example.com*과 같습니다. 전체 ARN을 복사하여 위임 발신자에게 제공합니다.
**중요**  
권한을 부여하려는 ID가 [글로벌 엔드포인트](global-endpoints.md) 기능의 일부로 보조 리전에서 복제되는 경우, 다음 예에서처럼 `us-east-1`과 같은 리전 파라미터를 별표(`*`)로 바꿉니다. `arn:aws:ses:*:123456789012:identity/user@example.com`.

# Amazon SES 전송 권한 부여를 위한 위임 발신자 작업
<a name="sending-authorization-delegate-sender-tasks"></a>

위임 발신자로서 귀하는 소유하지는 않지만 사용 권한을 부여받은 자격 증명을 대신하여 이메일을 전송합니다. 자격 증명 소유자를 대신하여 전송하는 경우에도 반송 메일 및 수신 거부는 AWS 계정의 반송 메일 및 수신 거부 지표에 포함되고 전송하는 메시지 수는 전송 할당량에 포함됩니다. 또한 자격 증명 소유자의 이메일을 전송하는 데 필요하다면 발신 할당량 증가를 요청할 책임이 있습니다.

위임 발신자는 다음 작업을 완료해야 합니다.
+ [자격 증명 소유자에게 정보 제공](sending-authorization-delegate-sender-tasks-information.md)
+ [위임 발신자 알람 사용](sending-authorization-delegate-sender-tasks-notifications.md)
+ [자격 증명 소유자를 대신하여 이메일 전송](sending-authorization-delegate-sender-tasks-email.md)

# Amazon SES 전송 권한 부여에서 자격 증명 소유자에게 정보 제공
<a name="sending-authorization-delegate-sender-tasks-information"></a>

위임 발신자는 자격 증명 소유자를 대신하여 이메일을 보내게 되므로 자격 증명 소유자에게 AWS 계정 ID 또는 IAM 사용자 Amazon 리소스 이름(ARN)을 제공해야 합니다. 자격 증명 소유자는 확인된 자격 증명 중 하나에서 발신할 권한을 부여하는 정책을 만들기 위해 계정 정보가 필요합니다.

자체 SNS 주제를 사용하려는 경우 자격 증명 소유자가 반송 메일, 수신 거부 또는 배달에 대한 피드백 알림을 구성하여 하나 이상의 SNS 주제로 전송하도록 요청할 수 있습니다. 이렇게 하려면, 자격 증명 소유자가 발신 권한을 부여한 확인된 자격 증명에서 SNS 주제를 구성할 수 있도록 SNS 주제 ARN을 자격 증명 소유자와 공유해야 합니다.

다음 절차에서는 자격 증명 소유자와 공유할 계정 정보 및 SNS 주제 ARN을 찾는 방법에 대해 설명합니다.

**AWS 계정 ID를 찾으려면**

1. [https://console.aws.amazon.com](https://console.aws.amazon.com/) AWS Management Console 에 로그인합니다.

1. 콘솔의 오른쪽 상단에서 계정 이름/계정 번호를 확장한 후 드롭다운에서 **내 계정(My Account)**을 선택합니다.

1. 계정 설정 페이지가 열리고 계정 ID를 포함한 모든 AWS 계정 정보가 표시됩니다.

**IAM 사용자 ARN을 찾으려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.

1. 탐색 창에서 **사용자**를 선택합니다.

1. 사용자 목록에서 사용자 이름을 선택합니다. **요약(Summary)** 섹션에 IAM 사용자 ARN이 표시됩니다. ARN은 *arn:aws:iam::123456789012:user/John*과 같습니다.

**SNS 주제 ARN을 찾으려면**

1. [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)에서 Amazon SNS 콘솔을 엽니다.

1. 탐색 창에서 **주제**를 선택합니다.

1. 주제 목록의 **ARN**열에 SNS 주제 ARN이 표시됩니다. ARN은 *arn:aws:sns:us-east-1:444455556666:my-sns-topic*과 유사합니다.

# Amazon SES 전송 권한 부여에서 위임 발신자 알림 사용
<a name="sending-authorization-delegate-sender-tasks-notifications"></a>

위임 발신자는 소유하지는 않지만 사용 권한을 부여받은 자격 증명을 대신하여 이메일을 전송하지만 반송 메일 및 수신 거부는 여전히 자격 증명 소유자가 아니라 *귀하의* 반송 메일 및 수신 거부 지표에 가산됩니다.

계정에 대한 반송 메일 또는 수신 거부 발생률이 너무 높으면 계정이 검토 대상이 되거나 계정의 이메일 전송 기능이 일시 중지될 위험이 있습니다. 따라서 알림을 설정하고 이를 모니터링하는 프로세스를 수립해야 합니다. 또한 반송했거나 수신 거부한 주소를 메일 그룹에서 제거하는 프로세스를 갖춰야 합니다.

따라서 위임 발신자는 소유하지는 않지만 자격 증명 소유자로부터 사용할 수 있도록 권한을 부여받은 자격 증명을 대신하여 보내는 이메일에 대해 반송 메일 및 수신 거부 이벤트가 발생할 때 알림을 보내도록 Amazon SES를 구성할 수 있습니다. 또한, 반송 메일 및 수신 거부 알림을 Amazon SNS 또는 Firehose에 게시하기 위해 [이벤트 게시](monitor-using-event-publishing.md)를 설정할 수 있습니다.

**참고**  
Amazon SNS를 사용하여 알림을 보내도록 Amazon SES를 설정한 경우 수신하는 알림에 대해 표준 Amazon SNS 요금이 청구됩니다. 자세한 내용은 [Amazon SNS 요금 페이지](https://aws.amazon.com/sns/pricing)를 참조하십시오.

## 새 위임 발신자 알림 생성
<a name="sending-authorization-delegate-sender-tasks-management-add"></a>

[이벤트 게시](event-destinations-manage.md)를 사용하는 구성 세트 또는 [자체 SNS 주제로 구성](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own)된 확인된 자격 증명으로 위임 전송 알림을 설정할 수 있습니다.

두 방법 중 하나를 사용하여 새 위임 전송 알림을 설정하는 절차는 아래에 나와 있습니다.
+ 구성 세트를 통한 이벤트 게시
+ 소유한 SNS 주제에 대한 피드백 알림

**위임 전송을 위해 구성 세트를 통한 이벤트 게시를 설정하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.

1. [이벤트 대상 만들기](event-destinations-manage.md)의 절차를 따르십시오.

1. 구성 세트에서 이벤트 게시를 설정한 후, 자격 증명 소유자가 귀하에게 전송하도록 권한을 부여한 확인된 자격 증명을 사용하여 위임 발신자로서 이메일을 보낼 때 구성 세트의 이름을 지정합니다. [자격 증명 소유자를 대신하여 이메일 전송](sending-authorization-delegate-sender-tasks-email.md)을(를) 참조하세요.

**위임 전송을 위해 소유한 SNS 주제에 대한 피드백 알림을 설정하려면**

1. 피드백 알림에 사용할 SNS 주제를 결정한 후 해당 절차에 따라 [SNS 주제 ARN을 찾고](sending-authorization-delegate-sender-tasks-information.md#find-sns-topic-arn) 전체 ARN을 복사하여 자격 증명 소유자와 공유합니다.

1. 자격 증명 소유자에게 귀하가 전송에 사용하도록 권한을 부여한 공유 자격 증명에 대한 피드백 알림을 위한 SNS 주제를 구성해 달라고 요청합니다. (자격 증명 소유자는 권한 부여 정책 절차에 명시된 [SNS 주제 구성](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) 절차를 따라야 합니다.)

# Amazon SES 전송 권한 부여에서 자격 증명 소유자를 대신하여 이메일 전송
<a name="sending-authorization-delegate-sender-tasks-email"></a>

위임 발신자가 이메일을 전송하는 방식은 자격 증명 소유자로부터 사용 권한을 부여받은 자격 증명의 Amazon Resource Name(ARN)을 제공한다는 점을 제외하면 다른 Amazon SES 발신자와 동일합니다. 위임 발신자가 이메일 전송을 위해 Amazon SES를 호출할 때 Amazon SES는 위임 발신자가 지정한 자격 증명이 해당 위임 발신자에게 자신을 대신하여 이메일을 전송하도록 권한을 부여하는 정책을 포함하는지 확인합니다.

이메일을 전송할 때 자격 증명의 ARN을 지정하는 방법은 여러 가지가 있습니다. 사용하는 방법은 이메일을 Amazon SES API 작업 또는 Amazon SES SMTP 인터페이스를 사용하여 전송하는지 여부에 따라 결정됩니다.

**중요**  
이메일을 성공적으로 보내려면 자격 증명 소유자가 자격 증명을 확인한 AWS 리전의 Amazon SES 엔드포인트에 연결해야 합니다.
또한 자격 증명 소유자와 위임 발신자 **모두**의 AWS 계정을 샌드박스에서 제거해야 두 계정 중 하나가 확인되지 않은 주소로 이메일을 보낼 수 있습니다. 자세한 내용은 [프로덕션 액세스 요청(Amazon SES 샌드박스에서 이동)](request-production-access.md) 단원을 참조하십시오.
사용 권한이 부여된 ID가 [글로벌 엔드포인트](global-endpoints.md) 기능의 일부로 보조 리전에서 복제되는 경우:  
ID 소유자는 다음 예에서처럼 `us-east-1`과 같은 리전 파라미터가 별표(`*`)로 대체된 ID ARN을 제공했어야 합니다. `arn:aws:ses:*:123456789012:identity/user@example.com`.
ID 소유자는 기본 리전과 보조 리전 모두에서 전송 권한 부여 정책을 생성했어야 합니다.

## Amazon SES API 사용
<a name="sending-authorization-delegate-sender-tasks-api"></a>

모든 Amazon SES 이메일 발신자와 마찬가지로 Amazon SES API를 통해(HTTPS를 통해 직접 또는 AWS SDK를 통해 간접적으로) Amazon SES에 액세스하는 경우 `SendEmail`, 및 `SendTemplatedEmail`의 세 가지 이메일 전송 작업 중 하나를 선택할 수 있습니다`SendRawEmail`. [Amazon Simple Email Service API 참조](https://docs.aws.amazon.com/ses/latest/APIReference/)에서는 이러한 API를 상세히 설명하고 있지만, 여기서는 전송 권한 부여 파라미터의 개요만 설명합니다.

### SendRawEmail
<a name="sending-authorization-delegate-sender-tasks-api-sendrawemail"></a>

이메일의 형식을 제어할 수 있도록 `SendRawEmail`을(를) 사용하려는 경우 다음 두 방법 중 하나로 권한이 부여된 위임 자격 증명을 지정할 수 있습니다.
+ **옵션 파라미터를 `SendRawEmail` API**로 전달합니다. 필수 파라미터는 다음 표에 설명되어 있습니다.  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
+ **이메일에 X-헤더를 포함합니다**. X-헤더는 표준 이메일 헤더(예: From, Reply-To 또는 Subject 헤더) 외에 사용할 수 있는 사용자 지정 헤더입니다. Amazon SES는 전송 권한 부여 파라미터를 지정하는 데 사용할 수 있는 세 개의 X-헤더를 인식합니다.
**중요**  
DKIM 서명에는 이러한 X-헤더를 포함하지 마십시오. Amazon SES가 이메일을 전송하기 전에 이들 헤더를 제거합니다.  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)

  Amazon SES는 이메일을 전송하기 전에 해당 이메일에서 모든 X-헤더를 제거합니다. X-헤더의 여러 인스턴스를 포함하는 경우 Amazon SES는 첫 번째 인스턴스만 사용합니다.

  다음 예제는 전송 권한 부여 X-헤더를 포함하는 이메일입니다.

  ```
   1. X-SES-SOURCE-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
   2. X-SES-FROM-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
   3. X-SES-RETURN-PATH-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
   4. 
   5. From: sender@example.com
   6. To: recipient@example.com
   7. Return-Path: feedback@example.com
   8. Subject: subject
   9. Content-Type: multipart/alternative;
  10. 	boundary="----=_boundary"
  11. 
  12. ------=_boundary
  13. Content-Type: text/plain; charset=UTF-8
  14. Content-Transfer-Encoding: 7bit
  15. 
  16. body
  17. ------=_boundary
  18. Content-Type: text/html; charset=UTF-8
  19. Content-Transfer-Encoding: 7bit
  20. 
  21. body
  22. ------=_boundary--
  ```

### SendEmail 및 SendTemplatedEmail
<a name="sending-authorization-delegate-sender-tasks-api-sendemail"></a>

`SendEmail` 또는 `SendTemplatedEmail` 작업을 사용하는 경우 아래의 선택적 파라미터를 전달하여 권한이 부여된 위임 자격 증명을 지정할 수 있습니다. `SendEmail` 또는 `SendTemplatedEmail` 작업을 사용하면 X-헤더 방법을 사용할 수 없습니다.


****  

| 파라미터 | 설명 | 
| --- | --- | 
| `SourceArn` | `SendEmail` 또는 `SendTemplatedEmail`의 `Source` 파라미터에 지정된 이메일 주소에 대해 이메일을 전송하도록 허용하는 전송 권한 부여 정책과 연결된 자격 증명의 ARN. | 
| `ReturnPathArn` | `SendEmail` 또는 `SendTemplatedEmail`의 `ReturnPath` 파라미터에 지정된 이메일 주소를 사용하도록 허용하는 전송 권한 부여 정책과 연결된 자격 증명의 ARN. | 

다음 예제에서는 `SendEmail` 또는 `SendTemplatedEmail` 작업과 [SDK for Python](https://aws.amazon.com/sdk-for-python)을 사용하여 `SourceArn` 및 `ReturnPathArn` 속성이 포함된 이메일을 보내는 방법을 보여줍니다.

```
import boto3
from botocore.exceptions import ClientError

# Create a new SES resource and specify a region.
client = boto3.client('ses',region_name="us-east-1")

# Try to send the email.
try:
    #Provide the contents of the email.
    response = client.send_email(
        Destination={
            'ToAddresses': [
                'recipient@example.com',
            ],
        },
        Message={
            'Body': {
                'Html': {
                    'Charset': 'UTF-8',
                    'Data': 'This email was sent with Amazon SES.',
                },
            },
            'Subject': {
                'Charset': 'UTF-8',
                'Data': 'Amazon SES Test',
            },
        },
        SourceArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
        ReturnPathArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
        Source='sender@example.com',
        ReturnPath='feedback@example.com'
    )
# Display an error if something goes wrong.	
except ClientError as e:
    print(e.response['Error']['Message'])
else:
    print("Email sent! Message ID:"),
    print(response['ResponseMetadata']['RequestId'])
```

## Amazon SES SMTP 인터페이스 사용
<a name="sending-authorization-delegate-sender-tasks-smtp"></a>

위임 전송을 위해 Amazon SES SMTP 인터페이스를 사용하는 경우 메시지에 `X-SES-SOURCE-ARN`, `X-SES-FROM-ARN` 및 `X-SES-RETURN-PATH-ARN` 헤더를 포함해야 합니다. SMTP 대화에서 `DATA` 명령을 발급한 후에 이 헤더를 전달하세요.