Amazon web services 如何跨组织共享AWS SES身份_Amazon Web Services_Amazon Ses

Amazon web services 如何跨组织共享AWS SES身份

amazon-web-services

Amazon web services 如何跨组织共享AWS SES身份,amazon-web-services,amazon-ses,Amazon Web Services,Amazon Ses,我开始使用单一用户帐户的SES。现在我创建了一个组织，邀请了一位同事，创建了一个运营小组，让他加入其中，并附加了FullAWSAccess-Policy 我想确保他能够查看和管理我们的S3帐户，尤其是我在过去创建的SES身份。不幸的是，这不起作用。知道我错过了什么吗非常感谢是的，您可以允许任何其他帐户从您的AWS帐户发送SES电子邮件。你需要给予他们适当的许可，根据你的问题，这已经完成了他们还需要以委托发件人的身份发送电子邮件。这可以从API或任何客户端库中完成有关端点的更多详细信息

我开始使用单一用户帐户的SES。现在我创建了一个组织，邀请了一位同事，创建了一个运营小组，让他加入其中，并附加了FullAWSAccess-Policy

我想确保他能够查看和管理我们的S3帐户，尤其是我在过去创建的SES身份。不幸的是，这不起作用。知道我错过了什么吗

非常感谢

是的，您可以允许任何其他帐户从您的AWS帐户发送SES电子邮件。你需要给予他们适当的许可，根据你的问题，这已经完成了

他们还需要以委托发件人的身份发送电子邮件。这可以从API或任何客户端库中完成

有关端点的更多详细信息，请参见：

我想回答这个问题，因为我又研究了几个小时：即使使用组织，其他用户也无法管理已验证的电子邮件。我的错误是使用根帐户。管理是指登录AWS管理控制台并查看/编辑地址

据我所知，您需要创建一个单独的IAM用户（例如，称之为共享ses用户），而不是可以共享的。这不是一个好的解决方案，但至少我们可以让它发挥作用

首先，我想从我的理解中重新表述这个问题（使用AWS术语）：如何使用AWS组织实现对特定AWS服务（如S3或SES）的跨帐户访问

通过阅读“FullAWSAccess-Police”，我假设OP试图使用AWS服务控制策略。这些不是用来授予跨帐户访问权限的。相反，AWS文档声明“SCP提供对组织中所有帐户的最大可用权限的中央控制”。[1] 当您查看文档[7]中的策略评估逻辑图时，您会发现SCP永远不会导致最终的允许决策，最多也会跳过（隐式）拒绝。您仍然需要基于资源的策略或基于身份的策略，这将导致最终的允许决策
因此，授权访问的正确方法是创建自定义IAM角色。[2] 这包括以下步骤，这些步骤也在文档[2]中概述：

您可以创建一个角色来访问CrossAccountAccess，并在原始帐户和同事的帐户之间建立信任

通过将内联策略附加到角色，您可以授予新角色对SES操作[3]的访问权限。（注：这是基于身份的策略方法）

您必须确保同事帐户中的IAM用户具有担任新角色的权限

您的同事可以使用浏览器中的AWS管理控制台或通过假定AWS CLI命令切换到SesCrossAccountAccess角色[4]

如果这不起作用，请确保策略评估逻辑链中没有明确的拒绝[7]
这一概念与AWS组织无关。但是，您可以使用
aws:PrincipalOrgID
条件键[5]，在IAM角色的信任策略中引用您的组织标识符，而不是账号。这一概念在AWS安全博客文章[6]中也被概括为“基于AWS组织限制或扩展对角色的访问”。如果有多个同事需要访问跨帐户角色，则可以简化权限管理
最好的答案是使用Amazon SES发送授权功能。我不确定这是否适用于这种情况，因为据我所知，OP希望“管理SES身份””——这与使用SES身份不同（即SendEmail和SendRawEmail操作）
工具书类 [1]
[2]
[3]
[4]
[5]
[6]

[7]
您的同事登录您的帐户时是否包含SES服务或其他服务？您的同事能够管理同一帐户中的S3存储桶吗？@lolops您能分享他们在跨帐户发送SES时收到的错误消息吗？非常感谢，您的回答实际上没有涵盖我的问题，请参阅我自己的答案。享受赏金；）谢谢-这消除了我对AWS许可模型的许多困惑，我已经授予你奖金。