我正在尝试从EC2计算机上运行的NodeJS应用程序发送电子邮件,但是却收到了一个我没有想到的拒绝访问错误。我遵循了documentation,现在的情况是(真实域,地址和ID已更改):
example.com域已在us-east-1区域中进行了验证和配置,以在AWS SES中发送电子邮件。仍然处于沙盒模式,以防万一。my@email.com地址已经过验证,因此我可以向其发送电子邮件。我可以使用AWS控制台从noreply@example.com发送电子邮件到my@email.com。 MyEC2MachineRole附加了以下策略,因此它只能使用example.com域发送电子邮件。此策略类似于example in the docs(缺少的Principal):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": "arn:aws:ses:us-east-1:111111111111:identity/example.com"
}
]
}
当我尝试运行基于SDK documentation的以下代码时:
const AWS = require('aws-sdk');
AWS.config.update({ region: 'us-east-1' });
async function main() {
try {
const client = new AWS.SES({ apiVersion: '2010-12-01' });
const result = await client.sendEmail({
Destination: {
ToAddresses: ['my@email.com']
},
Message: {
Body: {
Text: {
Charset: 'UTF-8',
Data: 'Test',
},
},
Subject: {
Charset: 'UTF-8',
Data: 'Test e-mail',
},
},
Source: 'noreply@example.com'
}).promise();
console.log('Sent', result);
} catch (err) {
console.error('Error', err);
}
}
main();
我收到以下错误:
用户
arn:aws:sts::111111111111:assumed-role/MyEC2MachineRole/i-0123456789abcdefg无权对资源ses:SendEmail执行arn:aws:ses:us-east-1:111111111111:identity/my@email.com
如果我将目标地址更改为example.com域下的任何其他电子邮件,则它可以工作。如果我将策略上的Resource更改为*,也可以使用。
不是Resource发送电子邮件的地址/域吗?为什么要尝试在与目标地址相关的资源上进行操作?这是否与仍处于沙盒模式的AWS SES配置有关?
答案 0 :(得分:0)
现在该帐户不在沙箱中,该错误停止发生。在沙箱中时,它可能需要额外的权限才能发送电子邮件,例如对目标资源进行操作的权限。
答案 1 :(得分:0)
您是否正在使用与IAM用户关联的凭据?在这种情况下,您需要为IAM用户分配一个策略(AmazonSESFullAccess),该策略将允许SES中的那些特定操作。