0

仕事用メールを作成するためにユーザーに添付するポリシーを作成しています。

ユーザーが仕事用メールで組織を作成できるようにすることから始めています。

これです

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "WorkMailUser",
            "Effect": "Allow",
            "Action": [
                "ds:CreateIdentityPoolDirectory",
                "ds:ListAuthorizedApplications",
                "ds:DescribeDirectories",
                "ds:CreateAlias",
                "ds:AuthorizeApplication",
                "workmail:CreateOrganization"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WorkMailUser1",
            "Effect": "Allow",
            "Action": [
                "ses:DescribeActiveReceiptRuleSet",
                "ses:VerifyDomainIdentity"
            ],
            "Resource": "*"
        }
    ]
}

得られるエラーは

arn:aws:iam::* is not authorized to perform ses:SetIdentityEmailNotificationEnabled

アクションを確認すると、見つかりません。

に変更するses:*と、組織を作成できます。

ユーザーが を通過するには、どのような権限を付与する必要がありses:SetIdentityEmailNotificationEnabledますか?

アップデート

ses の 7 つのセット アクションをすべて使用していますが、まだ機能しません。これは一眼レフの役割に関連するものですか?

4

1 に答える 1

0

ええ、これは奇妙です。以前に遭遇したことがありますが、原因はわかりません。ただし、ポリシーにそのアクセス許可を正確に追加すると、ses:SetIdentityEmailNotificationEnabledIAM が文句を言っても機能し、AccessDenied はクリアされます。IAM コンソールに表示されない理由がわかりません。IAM コンソールで JSON ポリシーに直接追加しようとすると、存在しないことが通知されます。ただし、これらの警告を無視してとにかく追加してください。IAM はあなたを止めません。これで問題が解決するか、少なくともこの1つの許可エラーを乗り越えることができます

于 2022-03-04T20:12:06.413 に答える