Guide de configuration

Connectez votre SES en environ cinq minutes

Deux modes : laissez TrackSES tout configurer automatiquement avec une clé IAM scopée, ou provisionnez les ressources AWS vous-même sans rien partager.

Moindre privilège , pas de ses:Send*, aucune config existante touchée

Événements SES

Topic SNS

TrackSES

Collez une clé d'accès IAM AWS scopée et TrackSES s'occupe du reste : il crée un topic SNS dédié, un configuration set SES, et l'attache à vos domaines d'envoi , en quelques secondes.

Créez un utilisateur IAM scopé

Dans la console AWS IAM, créez un nouvel utilisateur (pas un rôle) et attachez la politique de moindre privilège ci-dessous. Elle est scopée exclusivement aux ressources préfixées trackses-* , elle ne touche jamais votre configuration existante ni vos identités.

trackses-iam-policy.jsonmoindre privilège

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sns:CreateTopic", "sns:Subscribe",
        "sns:SetTopicAttributes", "sns:GetTopicAttributes",
        "sns:ListSubscriptionsByTopic", "sns:DeleteTopic"
      ],
      "Resource": "arn:aws:sns:*:*:trackses-*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ses:ListEmailIdentities", "ses:GetEmailIdentity",
        "ses:CreateConfigurationSet",
        "ses:CreateConfigurationSetEventDestination",
        "ses:PutEmailIdentityConfigurationSetAttributes",
        "ses:DeleteConfigurationSet"
      ],
      "Resource": "*" /* scoped by action — no Send* */
    }
  ]
}

Collez la clé d'accès dans TrackSES

Copiez l'ID de clé d'accès et le secret. Dans les paramètres du projet TrackSES, collez-les sous Informations d'identification AWS. Les clés sont stockées chiffrées AES-256-GCM et ne sont jamais journalisées.

Chiffré AES-256-GCM au repos

TrackSES configure tout

TrackSES crée automatiquement le topic SNS, le configuration set SES, abonne le webhook, et attache le configuration set à chacun de vos domaines d'envoi , un clic par domaine.

SNS topic created Config set created Webhook subscribed Domains attached

Les événements live commencent à arriver

Une fois configuré, les livraisons, rebonds, plaintes, ouvertures et clics affluent dans votre tableau de bord en temps réel. Terminé.

TrackSES ne stocke aucune information d'identification. Provisionnez les ressources AWS vous-même via CloudFormation (un clic) ou manuellement, puis partagez uniquement une URL de webhook.

CloudFormation

Option A , CloudFormation (un clic)

Lancez le stack CloudFormation pré-rempli. Il provisionne le topic SNS et le configuration set SES dans votre compte avec l'URL de webhook TrackSES déjà intégrée.

Lancer le stack CloudFormation

Le template est en lecture seule dans CloudFormation ; examinez-le avant de lancer.

Option B , Étapes manuelles

Créez un topic SNS

Dans la console AWS (ou CLI), créez un topic SNS standard nommé trackses-ses-events ou tout autre nom de votre choix.

terminal , aws-cli

$ aws sns create-topic --name trackses-ses-events

Abonnez TrackSES comme endpoint HTTPS

Ajoutez un abonnement HTTPS pointant vers l'URL du webhook de votre projet TrackSES. AWS enverra une demande de confirmation , TrackSES la confirme automatiquement.

terminal , aws-cli

$ aws sns subscribe \
    --topic-arn arn:aws:sns:us-east-1:123456789012:trackses-ses-events \
    --protocol https \
    --notification-endpoint https://app.trackses.com/webhooks/sns/YOUR_PROJECT_ID

Créez un configuration set et attachez-le

Créez un configuration set SES avec une destination d'événements SNS pointant vers votre topic, puis définissez-le comme défaut pour chacun de vos domaines d'envoi.

terminal , aws-cli

$ aws sesv2 create-configuration-set-event-destination \
    --configuration-set-name trackses-acme-io \
    --event-destination-name trackses-events \
    --event-destination SnsDestination={TopicArn=arn:aws:sns:…},Enabled=true

Les événements commencent à arriver

TrackSES détecte le premier événement, épingle l'ARN du topic automatiquement, et votre flux live est prêt. Aucune information d'identification n'est jamais partagée.

Portée des permissions IAM

Exactement ce à quoi la clé peut accéder

En mode Automatique, l'utilisateur IAM reçoit une seule politique inline de moindre privilège. Chaque action est scopée aux ressources trackses-* uniquement. Votre configuration SES existante, vos identités et vos autres ressources AWS ne sont pas touchées.

SNS , scopé à

arn:aws:sns:*:*:trackses-*

autorisé · scopé

sns:CreateTopic

sns:Subscribe

sns:SetTopicAttributes

sns:GetTopicAttributes

sns:ListSubscriptionsByTopic

sns:DeleteTopic

SES , scopé à

trackses-* config sets

autorisé · scopé

ses:ListEmailIdentities

ses:GetEmailIdentity

ses:CreateConfigurationSet

ses:CreateConfigurationSetEventDestination

ses:PutEmailIdentityConfigurationSetAttributes

ses:DeleteConfigurationSet

Jamais accordé

in either mode

jamais

ses:Send*

ses:SendEmail

ses:SendRawEmail

ses:SendBulkEmail

ses:UpdateAccountSendingEnabled

ses:DeleteIdentity

Modèle de sécurité

Ce que TrackSES peut , et ne peut pas , faire

Peut faire

Lire la liste de vos identités d'envoi pour vous permettre d'attacher le configuration set en un clic

Créer et gérer des topics SNS et des configuration sets SES dédiés trackses-* dans votre compte

Capturer les notifications d'événements SES (livraison, rebond, plainte, ouverture, clic) via le topic SNS

Ne peut pas faire

Envoyer des emails en votre nom , ses:Send* n'est jamais demandé ni accordé, dans aucun des deux modes

Lire les corps de message, listes de contacts ou tout contenu des emails que vous envoyez

Toucher toute ressource en dehors du préfixe trackses-* , vos identités existantes, configuration sets ou paramètres de compte AWS ne sont jamais modifiés

Prêt à voir vos événements SES en direct ?

Démarrer l'essai gratuit 14 jours Voir les tarifs