Gestión de identidades y accesos en Amazon SES - Amazon Simple Email Service
Creación de políticas de IAM para el acceso a SESEjemplos de políticas de IAM para SES

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de identidades y accesos en Amazon SES

Puede usar AWS Identity and Access Management (IAM) con Amazon Simple Email Service (AmazonSES) para especificar qué SES API acciones puede realizar un usuario, grupo o rol. (En este tema hacemos referencia a estas entidades colectivamente como usuario). También puede controlar qué direcciones de correo electrónico puede utilizar el usuario para las direcciones de remitente ("From"), destinatario y "Return-Path" de los correos electrónicos.

Por ejemplo, puede crear una política de IAM que permita a los usuarios de su organización enviar correos electrónicos, pero no llevar a cabo acciones administrativas tales como estadísticas de envío de comprobación. Otro ejemplo, puede escribir una política que permita a un usuario enviar correos electrónicos a través de SES desde su cuenta, pero solo si utilizan una dirección de remitente ("From") específica.

Para utilizarlaIAM, debe definir una IAM política, que es un documento que define los permisos de forma explícita, y adjuntar la política a un usuario. Para obtener información sobre cómo crear IAM políticas, consulte la Guía del IAM usuario. Aparte de aplicar las restricciones que establezca en la política, no hay cambios en el modo en que los usuarios interactúan con SES o en cómo SES lleva a cabo las solicitudes.

nota

  • Si su cuenta se encuentra en un SES entorno limitado, es muy probable que sus restricciones impidan la implementación de algunas de estas políticas (consulte). Solicitar acceso de producción

  • También puede controlar el acceso a SES utilizando políticas de autorización de envío. Mientras que IAM las políticas limitan lo que pueden hacer los usuarios individuales, el envío de políticas de autorización restringe la forma en que se pueden usar las identidades individuales verificadas. Además, solo las políticas de autorización de envío pueden otorgar acceso entre cuentas. Para obtener más información acerca de la autorización de envío, consulte Uso de la autorización de envío con Amazon SES.

Si busca información sobre cómo generar SES SMTP credenciales para un usuario existente, consulte. Obtención de SES SMTP credenciales de Amazon

Creación de políticas de IAM para el acceso a SES

En esta sección, se explica cómo puede utilizar las políticas de IAM específicamente con SES. Para obtener información general sobre cómo crear IAM políticas, consulte la Guía del IAM usuario.

Existen tres razones por las que podría utilizar IAM con SES:

  • Para restringir la acción de envío de correo electrónico.

  • Para restringir las direcciones "From", de destinatario y de "Return-Path" de los correos electrónicos que el usuario envía.

  • Para controlar los aspectos generales del API uso, como el período de tiempo durante el cual un usuario puede llamar al APIs que está autorizado a usar.

Restringir la acción

Para controlar qué acciones de SES puede realizar un usuario, utilice el elemento Action de una política de IAM. Puede configurar el Action elemento para cualquier SES API acción anteponiendo al API nombre la cadena en minúscula. ses: Por ejemplo, puede establecer Action en ses:SendEmail, ses:GetSendStatisticso ses:* (para todas las acciones).

A continuación, en función de Action, especifique el elemento Resource de la siguiente manera:

Si el Action elemento solo permite el acceso al envío de correos electrónicos APIs (es decir, y/o): ses:SendEmail ses:SendRawEmail

  • Para permitir que el usuario envíe desde cualquier identidad suya Cuenta de AWS, Resource establézcalo en *

  • Para restringir las identidades desde las que un usuario puede enviar, Resource establézcalas en ARNs las identidades que permites que utilice el usuario.

Si el Action elemento permite el acceso a todasAPIs:

  • Si no desea restringir las identidades desde las que puede enviar el usuario, establezca Resource en *

  • Si desea restringir las identidades desde las que un usuario puede enviar, debe crear dos políticas (o dos instrucciones dentro de una política):

    • Uno Action establecido en una lista explícita de lo permitido non-email-sending APIs y Resource establecido en *

    • Uno con Action una de las identidades de envío APIs (ses:SendEmaily/oses:SendRawEmail) de correo Resource electrónico y otra con las identidades que se le permite al usuario utilizar. ARN

Para ver una lista de SES las acciones disponibles, consulta la APIreferencia de Amazon Simple Email Service. Si el usuario va a utilizar la SMTP interfaz, debes permitir el acceso a ses:SendRawEmail ella como mínimo.

Restricción de direcciones de correo electrónico

Si desea restringir al usuario a direcciones de correo electrónico específicas, puede utilizar un bloque Condition. En el Condition bloque, las condiciones se especifican mediante claves de condición tal y como se describe en la Guía del IAM usuario. Mediante el uso de claves de condición, podrá controlar las siguientes direcciones de correo electrónico:

nota

Estas claves de condición de direcciones de correo electrónico se aplican únicamente a lo APIs que se indica en la siguiente tabla.

Clave de condición

Descripción

API

ses:Recipients

Restringe las direcciones de los destinatarios, que incluyen las direcciones para:, «CC» y «BCC».

SendEmail, SendRawEmail

ses:FromAddress

Restringe la dirección de remitente ("From").

SendEmail, SendRawEmail, SendBounce

ses:FromDisplayName

Restringe la dirección de remitente ("From") que se utiliza como nombre de visualización.

SendEmail, SendRawEmail

ses:FeedbackAddress

Restringe la dirección "Return-Path", que es la dirección donde se pueden enviar los rebotes y las reclamaciones mediante reenvío de retroalimentación de correo electrónico. Para obtener información acerca del reenvío de retroalimentación de correo electrónico, consulte Recepción de notificaciones de Amazon SES por correo electrónico.

SendEmail, SendRawEmail

ses:MultiRegionEndpointId

Le permite controlar qué ID de punto final se utiliza al enviar correos electrónicos

SendEmail, SendBulkEmail

Restringir por SES API versión

Si utiliza la ses:ApiVersion clave en determinadas condiciones, puede restringir el acceso en SES función de la versión de SESAPI.

nota

La SES SMTP interfaz utiliza SES API la versión 2 deses:SendRawEmail.

Restringir el API uso general

Al utilizar teclas AWS amplias en determinadas condiciones, puede restringir el acceso en SES función de aspectos como la fecha y la hora a APIs las que el usuario puede acceder. SESimplementa únicamente las siguientes claves AWS de política generales:

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Para obtener más información sobre estas claves, consulte la Guía del IAM usuario.

Ejemplos de políticas de IAM para SES

En este tema se ofrecen ejemplos de políticas que permiten a un usuario acceder a SES, pero solo en determinadas condiciones.

Permitir el acceso completo a todas las acciones de SES

La siguiente política le permite a un usuario llamar a cualquier acción de SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:*"
      ],
      "Resource":"*"
    }
  ]
}

Permitiendo el acceso solo a SES API la versión 2

La siguiente política permite a un usuario llamar solo a las SES acciones de la API versión 2.

{
  		                 "Version":"2012-10-17",
  		                 "Statement":[
  		                     {
  		                         "Effect":"Allow",
  		                         "Action":[
  		                         "ses:*"
  		                         ],
  		                         "Resource":"*",
  		                         "Condition": {
  		                             "StringEquals" : {
  		                             "ses:ApiVersion" : "2"
  		                             }
  		                         }
  		                     }
  		                 ]
  		             }

Permitir el acceso solo a acciones de envío de correo electrónico

La siguiente política permite a un usuario enviar correo electrónico por medio de SES, pero no permite al usuario llevar a cabo acciones administrativas como, por ejemplo, obtener acceso a las estadísticas de envío de SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*"
    }
  ]
}

Restricción del periodo de tiempo de envío

La siguiente política permite a un usuario llamar al servicio de SES envío de correos electrónicos APIs solo durante el mes de septiembre de 2018.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "DateGreaterThan":{
          "aws:CurrentTime":"2018-08-31T12:00Z"
        },
        "DateLessThan":{
          "aws:CurrentTime":"2018-10-01T12:00Z"
        }
      }
    }
  ]
}

Restricción de las direcciones de destinatario

La siguiente política permite al usuario llamar al servicio de SES envío de correos electrónicosAPIs, pero solo a las direcciones de los destinatarios del dominio example.com (StringLikedistingue entre mayúsculas y minúsculas).

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringLike":{
          "ses:Recipients":[
            "*@example.com"
          ]
        }
      }
    }
  ]
}

Restricción de la dirección de remitente ("From")

La siguiente política permite al usuario llamar a la dirección de SES envío del correo electrónicoAPIs, pero solo si la dirección «De» es marketing@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"marketing@example.com"
        }
      }
    }
  ]
}

La siguiente política permite al usuario llamar a la dirección bounce@example.com SendBounceAPI, pero solo si la dirección «De» es. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendBounce"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"bounce@example.com"
        }
      }
    }
  ]
}

Restricción del nombre de visualización del remitente de correo electrónico

La siguiente política permite al usuario llamar a la dirección de SES envío del correo electrónicoAPIs, pero solo si el nombre visible de la dirección «De» incluye marketing (StringLikedistingue entre mayúsculas y minúsculas). 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "ses:FromDisplayName":"Marketing"
        }
      }
    }
  ]
}

Restringir el destino de retroalimentación de rebotes y reclamaciones

La siguiente política permite al usuario llamar al SES remitente del correo electrónicoAPIs, pero solo si la «ruta de devolución» del correo electrónico está configurada como feedback@example.com.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FeedbackAddress":"feedback@example.com"
        }
      }
    }
  ]
}