Administración del acceso a la API de flujo de mensajes de Amazon WorkMail - Amazon WorkMail
Ejemplo de políticas de IAM para el acceso al flujo de mensajes de Amazon WorkMail

Administración del acceso a la API de flujo de mensajes de Amazon WorkMail

Utilice las políticas de AWS Identity and Access Management (IAM) para administrar el acceso a la API de flujo de mensajes de Amazon WorkMail.

La API de flujo de mensajes de Amazon WorkMail funciona con un único tipo de recurso, un mensaje de correo electrónico en tránsito. Cada mensaje de correo electrónico en tránsito tiene asociado un nombre de recurso de Amazon (ARN) único.

En el siguiente ejemplo se muestra la sintaxis de un ARN asociado a un mensaje de correo electrónico en tránsito.

arn:aws:workmailmessageflow:region:account:message/organization/context/messageID

Entre los campos que admiten cambios del ejemplo anterior se incluyen los siguientes:

  • Región: la región de AWS de su organización de Amazon WorkMail.

  • Cuenta: el ID de Cuenta de AWS de su organización de Amazon WorkMail.

  • Organización: el ID de su organización de Amazon WorkMail.

  • Contexto: indica si el mensaje es incoming o outgoing para su organización.

  • ID de mensaje: el ID único del mensaje de correo electrónico que se transfiere como entrada a su función de Lambda.

En el siguiente ejemplo se incluyen ID de ejemplo para un ARN asociado a un mensaje de correo electrónico entrante en tránsito.

arn:aws:workmailmessageflow:us-east-1:111122223333:message/m-n1pq2345678r901st2u3vx45x6789yza/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9

Puede utilizar estos ARN como recursos en la sección Resource de sus políticas de usuario de IAM para administrar el acceso a los mensajes de Amazon WorkMail en tránsito.

Ejemplo de políticas de IAM para el acceso al flujo de mensajes de Amazon WorkMail

En el siguiente ejemplo de política se concede a una entidad de IAM acceso total de lectura a todos los mensajes entrantes y salientes para cada organización de Amazon WorkMail en su Cuenta de AWS.

Si tiene varias organizaciones en su Cuenta de AWS, también puede limitar el acceso a una o varias organizaciones. Esto resulta útil si determinadas funciones de Lambda solo deben utilizarse para determinadas organizaciones.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workmailmessageflow:GetRawMessageContent"
            ],
            "Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/*",
            "Effect": "Allow"
        }
    ]
}

También puede elegir conceder acceso a mensajes dependiendo de si son incoming o outgoing de su organización. Para ello, use el calificador incoming o outgoing en el ARN.

La siguiente política de ejemplo concede acceso solo a mensajes entrantes de su organización.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workmailmessageflow:GetRawMessageContent"
            ],
            "Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/incoming/*",
            "Effect": "Allow"
        }
    ]
}

En el siguiente ejemplo de política se concede a una entidad de IAM acceso completo de lectura y actualización a todos los mensajes entrantes y salientes para cada organización de Amazon WorkMail en su Cuentas de AWS.