本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon SES 发送授权概览
<a name="sending-authorization-overview"></a>

本主题概述了发送授权流程，然后介绍了 Amazon SES 的电子邮件发送功能（例如发送配额和通知）如何与发送授权结合使用。

本部分使用了以下术语：
+ **身份** – Amazon SES 用户用来发送电子邮件的地址或域。
+ **身份拥有者** – 已按照[已验证的身份](verify-addresses-and-domains.md)中所述过程验证了电子邮件地址或域所有权的 Amazon SES 用户。
+ **委托发件人** — 通过授权策略授权代表身份所有者发送电子邮件的 AWS 账户、 AWS Identity and Access Management (IAM) 用户或 AWS 服务。
+ **发送授权策略** - 一种附加到身份的文档，用于指定哪些人、在何种条件下可以使用该身份发送。
+ **Amazon 资源名称 (ARN)** — 一种在所有 AWS 服务中唯一标识 AWS 资源的标准化方法。对于发送授权而言，资源是身份拥有者希望委托发件人使用的身份。ARN 的某个示例为 *arn:aws:ses:us-east-1:123456789012:identity/example.com*。

## 发送授权的流程
<a name="sending-authorization-process"></a>

发送授权以发送授权策略为基础。如果要允许委托发件人代表您发送邮件，您可使用 Amazon SES 控制台或 Amazon SES API 创建发送授权策略，并将该策略与您的身份相关联。当委托发件人尝试通过 Amazon SES 代表您发送电子邮件时，委托发件人将在请求中或在电子邮件标头中传递您的身份的 ARN。

当 Amazon SES 收到发送电子邮件的请求时，它会检查您的身份策略（如果有）以确定您是否已授权该委托发件人代表该身份发送邮件。如果委托发件人已获得授权，Amazon SES 会接受电子邮件；否则，Amazon SES 将返回错误消息。

下图显示了发送授权概念之间的概述关系：

![\[发送授权概览\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/sending_authorization_overview.png)


发送授权过程包括以下步骤：

1. 身份所有者选择经过验证的身份供委托发件人使用。（如果您没有验证身份，请参阅[已验证的身份](verify-addresses-and-domains.md)）。
**注意**  
您为委托发件人选择的经过验证的身份不能为其分配[原定设置的配置集](managing-configuration-sets.md#default-config-sets)。

1. 委托发送者让身份所有者知道他们要使用哪个 AWS 账户 ID 或 IAM 用户 ARN 进行发送。

1. 如果身份拥有者同意允许委托发送者从身份拥有者的一个账户发送，则身份拥有者创建发送授权策略，并使用 Amazon SES 控制台或 Amazon SES API 将该策略附加到所选身份。

1. 身份拥有者将身份的 ARN 提供给委托发件人，以便委托发件人在发送电子邮件时向 Amazon SES 提供 ARN。

1. 代理发送者可以通过在代理发送期间指定的配置集中启用的[事件发布](monitor-using-event-publishing.md)来设置退回和投诉通知。身份所有者还可以为退回邮件和投诉事件设置电子邮件反馈通知，以便发送到委托发件人的 Amazon SNS 主题。
**注意**  
如果身份拥有者禁用发送事件通知，则委托发件人必须设置事件发布，以将退回邮件和投诉事件发送到 Amazon SNS 主题或 Firehose 流。发件人还必须对他们发送的每封电子邮件应用包含事件发布规则的配置集。如果身份拥有者和委托发件人都未设置针对退回邮件和投诉事件发送通知的方法，则 Amazon SES 将自动通过电子邮件将事件通知发送到电子邮件的 Return-Path (退回路径) 字段中的地址（或者 Source (来源) 字段中的地址，如果未指定退回路径地址），即使身份拥有者禁用了电子邮件反馈转发也是如此。

1. 委托发件人通过在请求中或在电子邮件标头中传递身份拥有者的身份的 ARN，尝试代表身份拥有者经由 Amazon SES 发送电子邮件。委托发件人可以使用 Amazon SES SMTP 接口或 Amazon SES API 发送电子邮件。收到请求后，Amazon SES 会检查附加到身份的所有策略，如果委托发件人有使用指定“发件人”地址和“退回路径”地址的授权，则接受电子邮件；否则，Amazon SES 会返回错误，并且不接受该邮件。
**重要**  
必须先将委托发件人的 AWS 帐户从沙箱中删除，然后才能将其用于向未经验证的地址发送电子邮件。

1. 如果身份所有者需要取消对委托发件人的授权，则身份所有者将编辑发送授权策略或完全删除此策略。身份拥有者可通过使用 Amazon SES 控制台或 Amazon SES API 来执行上述任一操作。

有关身份拥有者或委托发件人如何执行这些任务的信息，请分别参阅[身份拥有者任务](sending-authorization-identity-owner-tasks.md)或[委托发件人任务](sending-authorization-delegate-sender-tasks.md)。

## 电子邮件发送功能的属性
<a name="sending-authorization-attribution"></a>

对于各种 Amazon SES 电子邮件发送功能（例如每日发送配额、退回邮件和投诉、DKIM 签名、反馈转发等），了解委托发件人和身份拥有者的角色很重要。属性如下：
+ **发送配额** – 使用身份拥有者的身份发送的电子邮件会计入委托发件人的配额。
+ **退回邮件和投诉** – 退回邮件和投诉事件记录在委托发件人的 Amazon SES 账户中，因此可能影响委托发件人的声誉。
+ **DKIM 签名** – 如果身份拥有者已为某个身份启用 Easy DKIM 签名，发自该身份的所有电子邮件将进行 DKIM 签名，包括由委托发件人发送的电子邮件。只有身份所有者能够控制电子邮件是否进行 DKIM 签名。
+ **通知** – 身份拥有者和委托发件人都可针对退回邮件和投诉设置通知。电子邮件身份所有者还可以启用电子邮件反馈转发。有关设置通知的信息，请参阅[监控您的 Amazon SES 发送活动](monitor-sending-activity.md)。
+ **验证** – 身份拥有者有责任执行[已验证的身份](verify-addresses-and-domains.md)中的以下过程，以验证其拥有授权委托发件人使用的电子邮件地址和域。委托发件人不需要验证专用于发送授权的任何电子邮件地址或域。
**重要**  
必须先将委托发件人的 AWS 帐户从沙箱中删除，然后才能将其用于向未经验证的地址发送电子邮件。
+ **AWS 区域**-委托发件人必须从验证身份所有者身份的 AWS 地区发送电子邮件。给委托发件人授予权限的发送授权策略必须附加到该区域中的身份。
+ **计费** – 从委托发件人发送的所有邮件，包括委托发件人使用身份所有者的地址发送的电子邮件，将计入委托发件人的账户中。