Identitäts- und Zugriffsmanagement in Amazon SES - Amazon Simple Email Service
Erstellen von IAM-Richtlinien für den Zugriff auf SESBeispiel-IAM-Richtlinien für SES

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitäts- und Zugriffsmanagement in Amazon SES

Sie können AWS Identity and Access Management (IAM) mit Amazon Simple Email Service (AmazonSES) verwenden, um anzugeben, welche SES API Aktionen ein Benutzer, eine Gruppe oder eine Rolle ausführen kann. (In diesem Thema bezeichnen wir diese Entitäten zusammen als Benutzer.) Sie können auch steuern, welche E-Mail-Adressen der Benutzer für die Adressen "From", Empfänger und "Return-Path" der E-Mails verwenden kann.

Sie können beispielsweise eine IAM-Richtlinie erstellen, die Benutzern in Ihrer Organisation ermöglicht, E-Mails zu senden, aber keine administrativen Aktionen, wie die Überprüfung von Sendestatistiken, durchzuführen. Ein weiteres Beispiel: Sie können eine Richtlinie schreiben, mit der ein Benutzer E-Mails über SES von Ihrem Konto senden kann, aber nur, wenn eine bestimmte "From"-Adresse verwendet wird.

Zur Verwendung IAM definieren Sie eine IAM Richtlinie, bei der es sich um ein Dokument handelt, in dem Berechtigungen explizit definiert werden, und fügen die Richtlinie einem Benutzer hinzu. Informationen zum Erstellen von IAM Richtlinien finden Sie im IAMBenutzerhandbuch. Abgesehen vom Anwenden der Einschränkungen, die Sie in Ihrer Richtlinie festlegen, gibt es keine Änderungen daran, wie Benutzer mit SES interagieren oder darin, wie SES Anfragen ausführt.

Anmerkung

  • Wenn sich Ihr Konto in der SES Sandbox befindet, verhindern die Einschränkungen die Implementierung einiger dieser Richtlinien. Weitere Informationen finden Sie unter. Anfordern von Produktionszugriff.

  • Sie können auch mithilfe von Sendeautorisierungsrichtlinien den Zugriff auf SES steuern. Während IAM Richtlinien einschränken, was einzelne Benutzer tun können, schränken Richtlinien für das Senden von Autorisierungsrichtlinien ein, wie einzelne verifizierte Identitäten verwendet werden können. Darüber hinaus können nur Sendeautorisierungsrichtlinien kontenübergreifenden Zugriff gewähren. Weitere Informationen zur Sendeautorisierung finden Sie unter Verwenden der Sendeautorisierung mit Amazon SES.

Informationen zum Generieren von SES SMTP Anmeldeinformationen für einen vorhandenen Benutzer finden Sie unter. Abrufen von SES SMTP Amazon-Anmeldeinformationen

Erstellen von IAM-Richtlinien für den Zugriff auf SES

In diesem Abschnitt wird erklärt, wie Sie IAM-Richtlinien speziell mit SES verwenden können. Informationen zum Erstellen von IAM Richtlinien im Allgemeinen finden Sie im IAMBenutzerhandbuch.

Es gibt drei Gründe, warum Sie möglicherweise IAM mit SES verwenden möchten:

  • Um den E-Mail-Versand einzuschränken.

  • Um die Adressen "From", Empfänger und "Return-Path" der E-Mails zu beschränken, die der Benutzer sendet.

  • Um allgemeine API Nutzungsaspekte zu kontrollieren, wie z. B. den Zeitraum, in dem ein Benutzer das anrufen darfAPIs, zu dessen Nutzung er berechtigt ist.

Beschränken der Aktion

Um zu steuern, welche SES-Aktionen ein Benutzer durchführen kann, verwenden Sie das Action-Element einer IAM-Richtlinie. Sie können dem Action Element eine beliebige SES API Aktion zuweisen, indem Sie dem API Namen eine Zeichenfolge in Kleinbuchstaben voranstellen. ses: Sie können beispielsweise Action auf ses:SendEmail, ses:GetSendStatistics oder ses:* festlegen (für alle Aktionen).

Geben Sie dann je nach Action das Resource-Element wie folgt an:

Wenn das Action Element nur Zugriff auf das Senden von E-Mails gewährt APIs (d. h. und/oder): ses:SendEmail ses:SendRawEmail

  • Um dem Benutzer das Senden von einer beliebigen Identität in Ihrer zu ermöglichen AWS-Konto, setzen Resource Sie ihn auf *

  • Um die Identitäten einzuschränken, von denen aus ein Benutzer senden darf, legen Sie den Resource Wert auf die ARNs Identitäten fest, deren Verwendung Sie dem Benutzer gestatten.

Wenn das Action Element den Zugriff auf alle erlaubt: APIs

  • Wenn Sie die Identitäten, von denen der Benutzer senden kann, nicht beschränken möchten, setzen Sie Resource auf *.

  • Wenn Sie die Identitäten, von denen ein Benutzer senden darf, beschränken möchten, müssen Sie zwei Richtlinien (oder zwei Anweisungen innerhalb einer Richtlinie) erstellen:

    • Eins, das auf eine explizite Liste der erlaubten Elemente Resource gesetzt non-email-sending APIs und auf * gesetzt ist Action

    • Eine, die auf eine der E-Mails sendenden APIs (ses:SendEmailund/oderses:SendRawEmail) und auf die ARN (n) der Identitäten Resource gesetzt ist, deren Verwendung Sie dem Benutzer gestatten. Action

Eine Liste der verfügbaren SES Aktionen finden Sie in der Amazon Simple Email Service API Reference. Wenn der Benutzer die SMTP Benutzeroberfläche verwenden wird, müssen Sie mindestens den Zugriff ses:SendRawEmail auf zulassen.

Beschränken von E-Mail-Adressen

Wenn Sie den Benutzer auf bestimmte E-Mail-Adressen beschränken möchten, können Sie einen Condition-Block verwenden. In dem Condition Block geben Sie Bedingungen mithilfe von Bedingungsschlüsseln an, wie im IAMBenutzerhandbuch beschrieben. Durch die Nutzung von Bedingungsschlüsseln können Sie die folgenden E-Mail-Adressen steuern:

Anmerkung

Diese Bedingungsschlüssel für E-Mail-Adressen gelten nur für APIs die in der folgenden Tabelle aufgeführten.

Bedingungsschlüssel

Beschreibung

API

ses:Recipients

Schränkt die Empfängeradressen ein, zu denen die Adressen An:, CC“ und "BCC" gehören.

SendEmail, SendRawEmail

ses:FromAddress

Beschränkt die "From"-Adresse.

SendEmail, SendRawEmail, SendBounce

ses:FromDisplayName

Beschränkt die "From"-Adresse, die als Anzeigename verwendet wird.

SendEmail, SendRawEmail

ses:FeedbackAddress

Beschränkt die "Return-Path"-Adresse. Dies ist die Adresse, an die Unzustellbarkeitsnachrichten und Beschwerden an Sie anhand von Feedback-E-Mails weitergeleitet werden können. Weitere Informationen zum Weiterleiten von Feedback per E-Mail finden Sie unter Verwenden von Benachrichtigungen für den Amazon-SES-E-Mail-Empfang.

SendEmail, SendRawEmail

ses:MultiRegionEndpointId

Ermöglicht es Ihnen zu kontrollieren, welche Endpunkt-ID beim Senden von E-Mails verwendet wird

SendEmail, SendBulkEmail

Einschränkung nach Version SES API

Mithilfe des ses:ApiVersion Schlüssels unter Bedingungen können Sie den Zugriff auf SES basierend auf der Version von einschränken. SES API

Anmerkung

Die SES SMTP Schnittstelle verwendet SES API Version 2 vonses:SendRawEmail.

Einschränkung der allgemeinen Nutzung API

Durch die AWS Verwendung von Schlüsseln für allgemeine Bedingungen können Sie den Zugriff SES auf bestimmte Aspekte wie Datum und Uhrzeit einschränken, auf die der Benutzer Zugriff hat. APIs SESimplementiert nur die folgenden AWS-weiten Richtlinienschlüssel:

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Weitere Informationen zu diesen Schlüsseln finden Sie im IAMBenutzerhandbuch.

Beispiel-IAM-Richtlinien für SES

In diesem Thema finden Sie Beispiele für Richtlinien, die einen Benutzerzugriff auf SES ermöglichen, jedoch nur unter bestimmten Bedingungen.

Berechtigen von Vollzugriff auf alle SES-Aktionen

Mit der folgenden Richtlinie können Benutzer jede beliebige SES-Aktion aufrufen.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:*"
      ],
      "Resource":"*"
    }
  ]
}

Zugriff nur auf SES API Version 2 zulassen

Die folgende Richtlinie ermöglicht es einem Benutzer, nur die SES Aktionen von API Version 2 aufzurufen.

{
  		                 "Version":"2012-10-17",
  		                 "Statement":[
  		                     {
  		                         "Effect":"Allow",
  		                         "Action":[
  		                         "ses:*"
  		                         ],
  		                         "Resource":"*",
  		                         "Condition": {
  		                             "StringEquals" : {
  		                             "ses:ApiVersion" : "2"
  		                             }
  		                         }
  		                     }
  		                 ]
  		             }

Erlauben von Zugriff nur auf Aktionen für den E-Mail-Versand

Mit der folgenden Richtlinie kann ein Benutzer E-Mails mithilfe von SES senden, aber keine administrativen Aktionen durchführen, wie z. B. den Zugriff auf SES-Sendestatistiken.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*"
    }
  ]
}

Beschränken des Sendezeitraums

Die folgende Richtlinie erlaubt es einem Benutzer, SES E-Mails APIs nur im September 2018 anzurufen.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "DateGreaterThan":{
          "aws:CurrentTime":"2018-08-31T12:00Z"
        },
        "DateLessThan":{
          "aws:CurrentTime":"2018-10-01T12:00Z"
        }
      }
    }
  ]
}

Beschränken der Empfängeradressen

Die folgende Richtlinie erlaubt es einem Benutzer, den SES E-Mail-Absender anzurufenAPIs, jedoch nur an Empfängeradressen in der Domäne example.com (StringLikeGroß- und Kleinschreibung wird beachtet).

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringLike":{
          "ses:Recipients":[
            "*@example.com"
          ]
        }
      }
    }
  ]
}

Beschränken der "From"-Adresse

Die folgende Richtlinie erlaubt es einem Benutzer, den SES E-Mail-Absender anzurufenAPIs, jedoch nur, wenn die Absenderadresse marketing@example.com lautet. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"marketing@example.com"
        }
      }
    }
  ]
}

Die folgende Richtlinie erlaubt es einem Benutzer SendBounceAPI, die anzurufen, aber nur, wenn die Absenderadresse bounce@example.com lautet. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendBounce"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"bounce@example.com"
        }
      }
    }
  ]
}

Beschränken des Anzeigenamens des E-Mail-Absenders

Die folgende Richtlinie erlaubt es einem Benutzer, den SES E-Mail-Absender anzurufenAPIs, allerdings nur, wenn der Anzeigename der Absenderadresse Marketing enthält (Groß- und Kleinschreibung StringLike wird beachtet). 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "ses:FromDisplayName":"Marketing"
        }
      }
    }
  ]
}

Beschränken der Zieladresse des Unzustellbarkeits- und Beschwerde-Feedbacks

Die folgende Richtlinie erlaubt es einem Benutzer, den SES E-Mail-Absender anzurufenAPIs, allerdings nur, wenn der „Return-Pfad“ der E-Mail auf feedback@example.com gesetzt ist.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FeedbackAddress":"feedback@example.com"
        }
      }
    }
  ]
}