Como resolvo um erro 554 de “Acesso negado” ao enviar um e-mail usando meu usuário do IAM no Amazon SES?
Quando envio um e-mail usando meu usuário do AWS Identity and Access Management (IAM) no Amazon Simple Email Service (Amazon SES), recebo um erro 554 de “Acesso negado”.
Breve descrição
Você envia um e-mail usando seu usuário do IAM no Amazon SES e recebe o seguinte erro:
**554 Access denied: User arn:aws:iam::123456789012:user/iam-user-name' is not authorized to perform
ses:SendRawEmail' on resource arn:aws:ses:eu-west-1:123456789012:identity/example.com'** (554 Acesso negado: usuário
arn:aws:iam::123456789012:user/iam-user-name' não está autoriado a realizar ses:SendRawEmail' no recurso
arn:aws:ses:eu-west-1:123456789012:identity/example.com')
Para solucionar o erro 554 “Acesso negado” do Amazon SES, verifique o seguinte:
- O usuário tem as políticas e o acesso corretos para enviar e-mails.
- Uma política de autorização de envio não está anexada ao endereço de e-mail ou domínio.
- O elemento Resource (Recurso) da política do IAM está definido como o ARN da identidade do endereço de e-mail.
- As políticas de controle de serviços (SCPs) do AWS Organizations não estão vinculadas ao usuário.
Resolução
1. Abra o console do IAM.
2. Em Policy summary (Resumo da política), verifique o seguinte:
O usuário do IAM tem a permissão correta para enviar e-mails. Por exemplo, para permitir que o usuário execute APIs de envio de e-mail, você deve incluir as ações relacionadas (ses:SendEmail, ses:SendRawEmail, ses:SendTemplatedEmail, ses:SendBulkTemplatedEmail).
O usuário do IAM tem o acesso correto para enviar e-mails usando a identidade. Se você definir o elemento Resource (Recurso) da política de usuário do IAM como *, o usuário terá acesso para enviar e-mails usando todas as identidades. Se o elemento Resource (Recusro) for restrito, verifique se o usuário tem duas políticas ou duas instruções em uma política. O elemento Action (Ação) da primeira política ou instrução deve ser definido para uma ou mais das APIs que não sejam de envio e-mails. O elemento Resource(Recurso) deve ser definido como *. O elemento Action (Ação) da segunda política ou instrução deve ser definido como uma ou mais das APIs de envio de e-mail. O elemento Resource (Recurso) deve ser definido como o ARN da identidade.
Veja a seguir um exemplo de política do IAM com duas instruções. A política permite que o usuário execute as APIs não de envio de e-mail GetSendStatistics e GetSendQuota, e restringe as APIs de envio de e-mail SendEmail e SendRawEmail para enviar somente do domínio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:GetSendStatistics", "ses:GetSendQuota" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ses:SendEmail", "ses:SendRawEmail" ], "Resource": "arn:aws:ses:eu-west-1:123456789012:identity/example.com" } ] }
3. Verifique se há uma política de autorização de envio anexada ao endereço de e-mail ou domínio impedindo o usuário de enviar e-mails.
4. Se você verificou a identidade do endereço de e-mail separadamente da identidade do domínio, deverá definir o elemento Resource (Recurso) como o ARN da identidade do endereço de e-mail. Para obter mais informações, consulte Criar e verificar identidades no Amazon SES.
5. Verifique se há uma política de SCP do Organizations que o usuário herdou. SCPs podem impedir que o usuário envie e-mails. Por exemplo, o usuário herdou uma instrução Deny para negar o uso do Amazon SES ou só tem acesso a determinadas regiões da AWS ou do Amazon SES.
Observação: as credenciais do Amazon SES Simple Mail Transfer Protocol (SMTP) são exclusivas de cada conta da AWS e específicas de uma região.
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos