本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理对 Amazon WorkMail 消息流 API 的访问权限
使用 AWS Identity and Access Management (IAM) 策略来管理对亚马逊 WorkMail 消息流 API 的访问权限。
Amazon Mess WorkMail age Flow API 仅使用一种资源类型,即传输中的电子邮件。每封传输中的电子邮件均具有与之关联的唯一 Amazon 资源名称 (ARN)。
以下示例显示了与传输中的电子邮件关联的 ARN 的语法。
arn:aws:workmailmessageflow:region:account:message/organization/context/messageID
在上述示例中,可更改的字段如下所示:
区域 — 您的亚马逊 WorkMail组织的 AWS 区域。
账户-您的亚马逊 WorkMail组织的 AWS 账户 ID。
组织-您的亚马逊 WorkMail 组织编号。
上下文:指示邮件是发往 (
incoming) 您的组织,还是从您的组织发出 (outgoing)。邮件 ID:作为输入传递给 Lambda 函数的唯一电子邮件 ID。
以下示例 IDs 包括与传输中的传入电子邮件关联的 ARN 示例。
arn:aws:workmailmessageflow:us-east-1:111122223333:message/m-n1pq2345678r901st2u3vx45x6789yza/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9
您可以 ARNs 将其用作您的 IAM 用户政策Resource部分中的资源,以管理对传输中的 Amazon WorkMail 消息的访问权限。
Amazon WorkMail 消息流访问权限的 IAM 策略示例
以下示例策略授予 IAM 实体对您中每个 Amazon WorkMail 组织的所有入站和出站消息的完全读取权限 AWS 账户。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/*", "Effect": "Allow" } ] }
如果您的组织中有多个组织 AWS 账户,则还可以限制对一个或多个组织的访问权限。如果某些 Lambda 函数应仅用于特定组织,就可以使用此功能。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/organization/*", "Effect": "Allow" } ] }
您还可以根据消息是发往 (incoming) 您的组织还是从您的组织发出 (outgoing),选择授予对消息的访问权限。要执行此操作,请在 ARN 中使用限定词 incoming 或 outgoing。
以下示例策略仅授予对发往您的组织的消息的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/organization/incoming/*", "Effect": "Allow" } ] }
以下示例策略授予 IAM 实体对您中每个 Amazon WorkMail 组织的所有入站和出站消息的完全读取和更新权限 AWS 账户。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent", "workmailmessageflow:PutRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/*", "Effect": "Allow" } ] }
