Comment puis-je résoudre l'erreur 554 « Accès refusé » lors de l'envoi d'un e-mail à partir de mon utilisateur IAM dans Amazon SES ?

Dernière mise à jour : 07-10-2022

Lors de l'envoie d'un e-mail de la part de mon utilisateur AWS Identity and Access Management (IAM) dans Amazon Simple Email Service (Amazon SES), je reçois le message d'erreur 554 « Accès refusé ».

Brève description

Vous envoyez un e-mail à partir de votre utilisateur IAM dans Amazon SES et vous recevez le message d'erreur suivant :

554 Accès refusé : L'utilisateur `arn:aws:iam ::123456789012:user/iam-user-name' n'est pas autorisé à exécuter « ses:SendRawEmail » sur la ressource `arn:aws:ses:eu-west- 1:123456789012:identity/example.com'

La résolution de l'erreur 554 « Accès refusé » d'Amazon SES, vérifiez les points suivants :

  • L'utilisateur dispose de bonnes politiques ainsi que des accès appropriés pour envoyer des e-mails.
  • Aucune politique d'autorisation d'envoi n'est associée à l'adresse e-mail ou au domaine.
  • La définition de l'élément Ressource de la politique IAM se retrouve sur l'ARN de l'identité de l'adresse e-mail.
  • Il n'existe aucune liaison entre les politiques de contrôle des services (SCP) d'AWS Organizations et l'utilisateur.

Solution

1.    Ouvrez la console IAM.

2.    En vertu du Résumé de la politique, vérifiez les points suivants :

L'utilisateur IAM est autorisé à envoyer des e-mails. Par exemple, pour permettre à l'utilisateur d'exécuter des API d'envoi d'e-mails, il est impératif d'inclure les actions associées (ses:SendEmail, SES:SendRawEmail, SES:SendTemplateDeMail, SES:SendBulkTemplateDeMail).

L'utilisateur IAM dispose du droit d'accès afin d'envoyer des e-mails à partir de l'identité. La définition de l'élément Resource de la politique utilisateur IAM sur *, permet à l'utilisateur d'envoyer des e-mails à partir de toutes les identités. Si l'élément Ressource est restreint, vérifiez que l'utilisateur dispose de deux politiques ou de deux instructions dans une politique. La définition de l'élément Action de la première politique ou déclaration sur une ou plusieurs des API n'envoyant pas de courrier électronique est indispensable. La définition indispensable de l'élément Ressource sur *. La définition de l'élément Action de la deuxième politique ou déclaration sur une ou plusieurs des API d'envoi d'e-mails. La définition de l'élément Resource sur l'ARN de l'identité.

Voici un exemple de politique IAM avec deux instructions. La politique permet à l'utilisateur l'exécution des API d'envoi de courrier électronique GetSendStatistics et GetSendQuota, et limite les API d'envoi d'e-mails SendEmail et SendRawEmail à envoyer uniquement à partir du domaine.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ses:GetSendStatistics",
        "ses:GetSendQuota"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource": "arn:aws:ses:eu-west-1:123456789012:identity/example.com"
    }
  ]
}

3.    Vérifiez si l'association d'une politique d'autorisation d'envoi à l'adresse e-mail ou au domaine empêche l'utilisateur d'envoyer des e-mails.

4.    Après cette étape, définissez l'élément Ressource sur l'ARN de l'identité de l'adresse e-mail. Pour plus d'informations, consultez Création et vérification d'identités dans Amazon SES.

5.    Vérifiez si l'utilisateur a hérité d'une politique SCP de l'organisation. Les SCP peuvent empêcher l'utilisateur d'envoyer des e-mails. Par exemple, l'utilisateur a hérité d'une instruction Deny afin d'utiliser Amazon SES, ou il n'a accès qu'à certaines régions AWS ou Amazon SES.

Remarque : les informations d'identification SMTP (Simple Mail Transfer Protocol) d'Amazon SES sont uniques à chaque compte AWS et spécifiques à chaque région.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?