在Mandrill中,如果您创建新的API密钥并且不限制其API调用,那么您提供该密钥的任何人都可以使用它来登录具有完全访问权限的Web界面 - 计费信息,帐户信息,作品。< / p>
在玩完之后,看起来您可以通过勾选&#34;仅允许此密钥使用某些API调用来禁用Web界面登录功能&#34;然后选择至少一个API调用。与哪一个无关。
因此,我可以完全访问该帐户,或完全禁用其登录功能。有没有办法进一步自定义?我希望能够将用户限制在出站/入站UI,或者至少阻止他们能够向附加的信用卡收取数千美元的费用。为了澄清,我的用例是将API密钥分发给承包商或供应商,以便所有电子邮件都通过一个帐户发送。
我发现很少有官方的Mandrill文件。唯一似乎相关的是,如果你有一个Mailchimp帐户,你可以在那里发送用户并使用&#34;查看Mandrill报告&#34;功能。我没有Mailchimp(我也不需要它),所以这似乎是一个不必要的hacky解决方法。
答案 0 :(得分:1)
目前,Mandrill KB here中所述,目前无法对API密钥的API调用进行不同级别的访问。如果有人可以访问Web界面,则他们可以访问整个帐户。当然,这可能在将来发生变化,并将记录在博客和KB中。
答案 1 :(得分:0)
我相信你也可以通过设置双因素身份验证来限制对Web界面的访问?