Politica AWS che limita l'utente IAM a inviare e-mail SES da un mittente specifico

Question

È possibile utilizzare le credenziali IAM per consentire l'invio di e-mail da mittente specifico?

Intendo, ad esempio, ho due diversi domini e mittenti configurati in SES: info@example1.com e info@example2.com. C'è un modo per limitare un utente IAM e le sue credenziali semplicemente per inviare mail da info@example1.com?

Ho provato a specificare una condizione in un criterio IAM definito nelle autorizzazioni utente. Tuttavia non sono riuscito a trovare una condizione che possa risolvere il mio problema.

Inoltre, ho provato a risolvere il problema utilizzando le credenziali STMP, ma ho lo stesso problema. Qualche idea?

Answer 1

È possibile utilizzare le credenziali IAM per consentire l'invio di e-mail dal mittente specifico ?

NO

See: http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html

Non è possibile specificare una particolare risorsa Amazon SES in una politica di IAM. Si controlla solo l'accesso alle azioni Amazon SES. Pertanto, Amazon SES non utilizza nomi di risorse Amazon (ARN), che identificano le risorse nella politica . Quando si scrive una politica per controllare l'accesso ad azioni Amazon SES , si utilizza * come risorsa.

(sottolineatura mia)

È possibile controllare ciò che le chiamate API conti IAM possono fare (come SES: sendEmail), ma non è possibile limitare quali parametri che possono utilizzare con le chiamate API (come l'e-mail di origine indirizzo)

Answer 2

Questo potrebbe essere cambiato rispetto alla risposta originale. Ora è possibile fare qualcosa di simile:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": ["ses:SendEmail"], 
     "Resource":"*", 
      "Condition": { 
      "StringEquals": { 
       "ses:FromAddress": "here@somewhere.com" 
      } 
     } 
     } 
    ] 
} 

La documentazione AWS ora riflettono questa: http://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html