Amazon WorkMail Message Flow API へのアクセスの管理

AWS Identity and Access Management (IAM) ポリシーを使用して Amazon WorkMail メッセージフロー API へのアクセスを管理します。

Amazon WorkMail Message Flow API は、1 つのリソースタイプである送信中の E メールメッセージで動作します。送信中の各 E メールメッセージには、一意の Amazon リソースネーム (ARN) が関連付けられています。

以下の例は、送信中の E メールメッセージに関連付けられた ARN の構文を示しています。

arn:aws:workmailmessageflow:region:account:message/organization/context/messageID

前の例の変更可能なフィールドには、以下が含まれます。

以下の例には、送信中の受信 E メールメッセージに関連付けられた ARN の ID の例が含まれています。

arn:aws:workmailmessageflow:us-east-1:111122223333:message/m-n1pq2345678r901st2u3vx45x6789yza/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9                

送信中の Amazon WorkMail メッセージへのアクセスを管理するために、IAM ユーザーポリシーの Resource セクションでこれらの ARN をリソースとして使用できます。

Amazon WorkMail メッセージフローアクセスの IAM ポリシーの例

次のポリシー例では、AWS アカウント のすべての Amazon WorkMail 組織のすべての受信メッセージと送信メッセージへのフル読み取りアクセスを IAM エンティティに付与します。

AWS アカウント に複数の組織がある場合は、1 つ以上の組織へのアクセスを制限することもできます。これは、特定の Lambda 関数を特定の組織でのみ使用する必要がある場合に便利です。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workmailmessageflow:GetRawMessageContent"
            ],
            "Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/*",
            "Effect": "Allow"
        }
    ]
}

また、組織が受信するメッセージ (incoming) か送信するメッセージ (outgoing) かによって、メッセージへのアクセスを許可するように選択することもできます。これを行うには、ARN で修飾子 incoming または outgoing を使用します。

次のポリシー例では、受信するメッセージへのアクセスのみを組織に許可します。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workmailmessageflow:GetRawMessageContent"
            ],
            "Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/incoming/*",
            "Effect": "Allow"
        }
    ]
}

次のポリシー例では、AWS アカウント のすべての Amazon WorkMail 組織のすべての受信メッセージと送信メッセージへのフル読み取りおよび更新アクセスを IAM エンティティに付与します。