我正在尝试从运行在EC2机器上的NodeJS应用程序发送电子邮件,但我收到了一个我没想到的访问被拒绝错误。我跟着这个documentation,现在我的方案是(真实域名,地址和ID已更改):
example.com域在us-east-1地区进行验证和配置,以在AWS SES中发送电子邮件。仍处于沙盒模式,以防万一[email protected]地址已经过验证,因此我可以发送电子邮件给它。我可以使用AWS控制台从[email protected]发送电子邮件到[email protected]。MyEC2MachineRole附加了以下政策,因此它只能使用example.com域发送电子邮件。此政策类似于example in the docs(除了缺少的Principal):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": "arn:aws:ses:us-east-1:111111111111:identity/example.com"
}
]
}
当我尝试运行以下代码时,基于SDK documentation:
const AWS = require('aws-sdk');
AWS.config.update({ region: 'us-east-1' });
async function main() {
try {
const client = new AWS.SES({ apiVersion: '2010-12-01' });
const result = await client.sendEmail({
Destination: {
ToAddresses: ['[email protected]']
},
Message: {
Body: {
Text: {
Charset: 'UTF-8',
Data: 'Test',
},
},
Subject: {
Charset: 'UTF-8',
Data: 'Test e-mail',
},
},
Source: '[email protected]'
}).promise();
console.log('Sent', result);
} catch (err) {
console.error('Error', err);
}
}
main();
我收到以下错误:
用户
arn:aws:sts::111111111111:assumed-role/MyEC2MachineRole/i-0123456789abcdefg无权在资源ses:SendEmail上执行arn:aws:ses:us-east-1:111111111111:identity/[email protected]
如果我将目标地址更改为example.com域下的任何其他电子邮件,则可以正常工作。如果我将政策上的Resource更改为*,它也有效。
Resource不是发送电子邮件的地址/域吗?为什么要尝试在与目标地址相关的资源上运行?它是否与此AWS SES配置仍处于沙箱模式有关?
现在该帐户不在沙箱中,错误就停止了。在沙箱中,它可能需要额外的权限来发送电子邮件,例如在目标资源上操作的权限。
您使用的是与IAM用户关联的凭据吗?如果是这种情况,您需要为IAM用户分配一个策略(AmazonSESFullAccess),以允许在SES中执行这些特定操作。