0

我正在建立一个附加到用户以创建工作邮件的策略。

我从允许用户在工作邮件中创建组织开始。

就是这个

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "WorkMailUser",
            "Effect": "Allow",
            "Action": [
                "ds:CreateIdentityPoolDirectory",
                "ds:ListAuthorizedApplications",
                "ds:DescribeDirectories",
                "ds:CreateAlias",
                "ds:AuthorizeApplication",
                "workmail:CreateOrganization"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WorkMailUser1",
            "Effect": "Allow",
            "Action": [
                "ses:DescribeActiveReceiptRuleSet",
                "ses:VerifyDomainIdentity"
            ],
            "Resource": "*"
        }
    ]
}

得到的错误是

arn:aws:iam::* is not authorized to perform ses:SetIdentityEmailNotificationEnabled

当我检查动作时,我找不到它。

如果我更改为ses:*我可以创建组织。

我需要给我的用户什么权限才能通过ses:SetIdentityEmailNotificationEnabled

更新

Wehn 我正在使用 ses 中的所有 7 个设置动作,它仍然无法正常工作。这与单反角色有关吗?

4

1 回答 1

0

是的,这个很奇怪。我以前遇到过,不能告诉你原因。但是,如果您将该权限准确添加到策略:ses:SetIdentityEmailNotificationEnabled,即使 IAM 抱怨,它也应该可以工作并且 AccessDenied 将被清除。我不确定为什么它没有出现在 IAM 控制台中。如果您尝试将其直接添加到 IAM 控制台中的 JSON 策略,它会告诉您它不存在。但是,只需忽略这些警告并添加它,IAM 不会阻止您。那应该可以解决问题,或者至少可以让您克服这个权限错误

于 2022-03-04T20:12:06.413 回答