Политика AWS, которая ограничивает пользователя IAM отправкой электронной почты SES от конкретного отправителя

Question

Можно использовать учетные данные IAM для отправки писем от конкретного отправителя?

Я имею в виду, например, у меня есть два разных домена и отправители, сконфигурированные в SES: info@example1.com и info@example2.com. Есть ли способ ограничить пользователя IAM и его учетные данные, чтобы просто отправлять письма с info@example1.com?

Я попытался указать условие в политике IAM, определяемой разрешениями пользователя. Однако я не мог найти условие, которое может решить мою проблему.

Также я попытался решить проблему с использованием учетных данных STMP, но у меня такая же проблема. Есть идеи?

Answer 1

Можно использовать учетные данные IAM, позволяющие отправлять письма от конкретного отправителя?

NO

См: http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html

Вы не можете указать конкретный ресурс Amazon SES в IAM политики. Вы контролируете доступ к действиям SAS Amazon. Следовательно, Amazon SES не использует имена ресурсов Amazon (ARN), которые определяют ресурсы в политике . Когда вы пишете политику контроля доступа к действиям Amazon SES , вы используете * в качестве ресурса.

(курсив мой)

Вы можете контролировать то, что API вызовы IAM счета могут сделать (например, SES: SendEmail), но вы не можете ограничить, какие параметры они могут использовать с этими API вызовов (например, исходный адрес электронной почты адрес)

Answer 2

Возможно, это было изменено с момента первоначального ответа. Теперь вы можете сделать что-то вроде:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": ["ses:SendEmail"], 
     "Resource":"*", 
      "Condition": { 
      "StringEquals": { 
       "ses:FromAddress": "here@somewhere.com" 
      } 
     } 
     } 
    ] 
} 

Документы AWS в настоящее время отражают это: http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html