Chính sách AWS giới hạn người dùng IAM gửi email SES từ một người gửi cụ thể

Question

Có thể sử dụng thông tin đăng nhập IAM để cho phép gửi thư từ người gửi cụ thể?

Ví dụ: tôi có hai tên miền và người gửi khác nhau được cấu hình thành SES: info@example1.com và info@example2.com. Có cách nào để hạn chế người dùng IAM và thông tin đăng nhập của nó để chỉ gửi thư từ info@example1.com không?

Tôi đã cố gắng chỉ định điều kiện trong chính sách IAM được xác định thành quyền của người dùng. Tuy nhiên tôi không thể tìm thấy một điều kiện có thể giải quyết vấn đề của tôi.

Ngoài ra tôi đã cố gắng giải quyết vấn đề bằng cách sử dụng thông tin đăng nhập STMP, nhưng tôi có cùng một vấn đề. Bất kỳ ý tưởng?

Answer 1

Có thể sử dụng thông tin đăng nhập IAM để cho phép gửi thư từ người gửi cụ thể?

NO

Xem: http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html

Bạn không thể chỉ định một tài nguyên Amazon SES đặc biệt trong chính sách IAM. Bạn chỉ kiểm soát quyền truy cập vào các tác vụ Amazon SES. Do đó, Amazon SES không sử dụng Tên tài nguyên Amazon (ARN), xác định tài nguyên theo chính sách . Khi bạn viết một chính sách để kiểm soát quyền truy cập vào các hành động Amazon SES , bạn sử dụng * làm tài nguyên.

(tôi nhấn mạnh)

Bạn có thể kiểm soát những gì API gọi tài khoản IAM có thể làm (như ses: SendEmail), nhưng bạn không thể hạn chế những gì thông số họ có thể sử dụng với những cuộc gọi API (như email nguồn address)

Answer 2

Điều này có thể đã thay đổi kể từ câu trả lời gốc. Bây giờ bạn có thể làm điều gì đó như:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": ["ses:SendEmail"], 
     "Resource":"*", 
      "Condition": { 
      "StringEquals": { 
       "ses:FromAddress": "here@somewhere.com" 
      } 
     } 
     } 
    ] 
} 

Các tài liệu AWS tại phản ánh điều này: http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html