限制IAM用户从特定发件人发送SES电子邮件的AWS策略

Question

可以使用IAM凭据允许从特定发件人发送邮件吗？

我的意思是,例如,我有两个不同的域和发件人可配置到SES:info@example1.com和info@example2.com.有没有办法限制IAM用户及其凭据只是从info@example1.com发送邮件？

我试图在定义到用户权限的IAM策略中指定一个条件.但是,我找不到可以解决我的问题的条件.

此外,我尝试使用STMP凭据解决问题,但我有同样的问题.有任何想法吗？

Answer 1

自最初答案以来,这可能已经改变.您现在可以执行以下操作:

{
    "Version": "2012-10-17",
    "Statement": [
     {
       "Effect": "Allow",
       "Action": ["ses:SendEmail"],
       "Resource":"*",
           "Condition": {
             "StringEquals": {
               "ses:FromAddress": "here@somewhere.com"
             }
         }
       }
    ] 
}

AWS文档现在反映了这一点:http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html

Answer 2

可以使用IAM凭据允许从特定发件人发送邮件吗？

没有

请参阅:http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html

您无法在IAM策略中指定特定的Amazon SES资源.您只能控制对Amazon SES操作的访问.因此,Amazon SES不使用Amazon资源名称(ARN)来识别策略中的资源.编写策略以控制对Amazon SES操作的访问时,使用*作为资源.

(强调我的)

您可以控制IAM帐户可以进行的API调用(例如ses:SendEmail),但是您不能限制他们可以使用这些API调用的参数(例如源电子邮件地址)