Come posso risolvere l'errore 554 "Access denied" (Accesso negato) quando invio un'e-mail dal mio utente IAM in Amazon SES?

Ultimo aggiornamento: 07/10/2022

Quando invio un'e-mail dal mio utente AWS Identity and Access Management (IAM) nel Servizio di email semplice Amazon (Amazon SES), ricevo un errore 554 "Access denied" (Accesso negato).

Breve descrizione

Quando invii un'e-mail dal tuo utente IAM in Amazon SES ricevi il seguente errore:

554 Access denied: User `arn:aws:iam::123456789012:user/iam-user-name' is not authorized to perform `ses:SendRawEmail' on resource `arn:aws:ses:eu-west-1:123456789012:identity/example.com' (554 Accesso negato: l'utente `arn:aws:iam::123456789012:user/iam-user-name' non è autorizzato a eseguire `ses:SendRawEmail' sulla risorsa `arn:aws:ses:eu-west-1:123456789012:identity/example.com')

Per risolvere l'errore 554 "Access denied" (Accesso negato) da Amazon SES, verifica che:

  • L'utente disponga delle corrette policy e dell'accesso per inviare e-mail.
  • Una policy di autorizzazione di invio non sia collegata all'indirizzo o al dominio e-mail.
  • L'elemento Resource nella policy IAM sia impostato sull'ARN dell'identità dell'indirizzo e-mail.
  • Le policy di controllo dei servizi (SCP) di AWS Organizations non siano collegate all'utente.

Risoluzione

1.    Apri la console IAM.

2.    In Policy summary (Riepilogo policy), verifica che:

L'utente IAM disponga dell'autorizzazione corretta per inviare e-mail. Ad esempio, per consentire all'utente di eseguire API di invio di e-mail, devi includere le azioni correlate (ses:SendEmail, ses:SendRawEmail, ses:SendTemplatedEmail, ses:SendBulkTemplatedEmail).

L'utente IAM disponga del corretto accesso per l'invio di e-mail dall'identità. Se imposti l'elemento Resource della policy dell'utente IAM su *, l'utente avrà accesso all'invio di e-mail da tutte le identità. Se l'elemento Resource è limitato, verifica che l'utente disponga di due policy o due istruzioni in una policy. L'elemento Action della prima policy o istruzione deve essere impostato su uno o più API che non inviano e-mail. L'elemento Resource deve essere impostato su *. L'elemento Action della seconda policy o istruzione deve essere impostato su uno o più API di invio di e-mail. L'elemento Resource deve essere impostato sull'ARN dell'identità.

Di seguito è riportato un esempio di policy IAM con due istruzioni. La policy consente all'utente di eseguire gli API che non inviano e-mail GetSendStatistics e GetSendQuota e limita il funzionamento degli API di invio di e-mail SendEmail e SendRawEmail all'invio di e-mail solo dal dominio.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ses:GetSendStatistics",
        "ses:GetSendQuota"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource": "arn:aws:ses:eu-west-1:123456789012:identity/example.com"
    }
  ]
}

3.    Verifica se esiste una policy di autorizzazione di invio collegata all'indirizzo o dominio e-mail che impedisce all'utente di inviare e-mail.

4.    Se hai verificato l'identità dell'indirizzo e-mail separatamente dall'identità del dominio, devi impostare l'elemento Resource sull'ARN dell'identità dell'indirizzo e-mail. Per maggiori informazioni, consulta Creazione e verifica delle identità in Amazon SES.

5.    Verifica se esiste una policy SCP di Organizations ereditata dall'utente. Le policy SCP possono impedire all'utente di inviare e-mail. Ad esempio, l'utente può aver ereditato un'istruzione di rifiuto Deny di utilizzo di Amazon SES, oppure l'utente può avere accesso solo a certe regioni AWS o Amazon SES.

Nota: le credenziali Simple Mail Transfer Protocol (SMTP) di Amazon SES sono esclusive per ogni account AWS e specifiche per una regione.


Questo articolo è stato utile?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?