Amazon web services 如何跨组织共享AWS SES身份
我开始使用单一用户帐户的SES。现在我创建了一个组织,邀请了一位同事,创建了一个运营小组,让他加入其中,并附加了FullAWSAccess-Policy 我想确保他能够查看和管理我们的S3帐户,尤其是我在过去创建的SES身份。 不幸的是,这不起作用。 知道我错过了什么吗Amazon web services 如何跨组织共享AWS SES身份,amazon-web-services,amazon-ses,Amazon Web Services,Amazon Ses,我开始使用单一用户帐户的SES。现在我创建了一个组织,邀请了一位同事,创建了一个运营小组,让他加入其中,并附加了FullAWSAccess-Policy 我想确保他能够查看和管理我们的S3帐户,尤其是我在过去创建的SES身份。 不幸的是,这不起作用。 知道我错过了什么吗 非常感谢 是的,您可以允许任何其他帐户从您的AWS帐户发送SES电子邮件。你需要给予他们适当的许可,根据你的问题,这已经完成了 他们还需要以委托发件人的身份发送电子邮件。这可以从API或任何客户端库中完成 有关端点的更多详细信息
非常感谢 是的,您可以允许任何其他帐户从您的AWS帐户发送SES电子邮件。你需要给予他们适当的许可,根据你的问题,这已经完成了 他们还需要以委托发件人的身份发送电子邮件。这可以从API或任何客户端库中完成 有关端点的更多详细信息,请参见:
据我所知,您需要创建一个单独的IAM用户(例如,称之为共享ses用户),而不是可以共享的。这不是一个好的解决方案,但至少我们可以让它发挥作用 首先,我想从我的理解中重新表述这个问题(使用AWS术语):如何使用AWS组织实现对特定AWS服务(如S3或SES)的跨帐户访问 通过阅读“FullAWSAccess-Police”,我假设OP试图使用AWS服务控制策略。这些不是用来授予跨帐户访问权限的。相反,AWS文档声明“SCP提供对组织中所有帐户的最大可用权限的中央控制”。[1] 当您查看文档[7]中的策略评估逻辑图时,您会发现SCP永远不会导致最终的允许决策,最多也会跳过(隐式)拒绝。您仍然需要基于资源的策略或基于身份的策略,这将导致最终的允许决策 因此,授权访问的正确方法是创建自定义IAM角色。[2] 这包括以下步骤,这些步骤也在文档[2]中概述:
aws:PrincipalOrgID
条件键[5],在IAM角色的信任策略中引用您的组织标识符,而不是账号。这一概念在AWS安全博客文章[6]中也被概括为“基于AWS组织限制或扩展对角色的访问”。如果有多个同事需要访问跨帐户角色,则可以简化权限管理
最好的答案是使用Amazon SES发送授权功能。我不确定这是否适用于这种情况,因为据我所知,OP希望“管理SES身份””——这与使用SES身份不同(即SendEmail和SendRawEmail操作)
工具书类
[1] [2]
[3]
[4]
[5]
[6]
[7] 您的同事登录您的帐户时是否包含SES服务或其他服务?您的同事能够管理同一帐户中的S3存储桶吗?@lolops您能分享他们在跨帐户发送SES时收到的错误消息吗?非常感谢,您的回答实际上没有涵盖我的问题,请参阅我自己的答案。享受赏金;)谢谢-这消除了我对AWS许可模型的许多困惑,我已经授予你奖金。