Zasady AWS, które ograniczają użytkownika IAM do wysyłania e-maili SES od określonego nadawcy

Question

Czy można używać poświadczeń IAM, aby zezwolić na wysyłanie wiadomości e-mail od określonego nadawcy?

Mam na przykład na przykład dwie różne domeny i nadawców skonfigurowane w SES: info@example1.com i info@example2.com. Czy istnieje sposób ograniczenia użytkownika IAM i jego poświadczeń do wysyłania wiadomości e-mail z adresu info@example1.com?

Próbowałem określić warunek w strategii IAM zdefiniowanej w uprawnieniach użytkownika. Jednak nie mogłem znaleźć warunku, który mógłby rozwiązać mój problem.

Próbowałem również rozwiązać problem przy użyciu poświadczeń STMP, ale mam ten sam problem. Jakieś pomysły?

Answer 1

Możliwe jest użycie poświadczeń IAM, aby zezwolić na wysyłanie wiadomości od określonego nadawcy ?

NO

Patrz: http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html

nie można określić konkretny zasób Amazon SES w polityce IAM. Kontrolujesz dostęp tylko do działań Amazon SES. Z tego powodu usługa Amazon SES nie korzysta z nazw zasobów Amazon (ARN), które identyfikują zasoby w ramach zasady . Podczas pisania zasad kontrolowania dostępu do akcji Amazon SES używasz * jako zasobu.

(Kopalnia nacisk)

można kontrolować, co wywołuje API rachunki IAM może (jak SES: SendEmail), ale nie można ograniczać jakie parametry mogą korzystać z tych wywołań API (takich jak e-mail źródłowym adres)

Answer 2

To mogło ulec zmianie od czasu oryginalnej odpowiedzi. Teraz można zrobić coś takiego:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": ["ses:SendEmail"], 
     "Resource":"*", 
      "Condition": { 
      "StringEquals": { 
       "ses:FromAddress": "here@somewhere.com" 
      } 
     } 
     } 
    ] 
} 

Docs AWS zastanowienia teraz to: http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html