Gerenciar o acesso à API de fluxo de mensagens do Amazon WorkMail - Amazon WorkMail
Exemplos de políticas do IAM para acesso ao fluxo de mensagens do Amazon WorkMail

Gerenciar o acesso à API de fluxo de mensagens do Amazon WorkMail

Usar políticas do AWS Identity and Access Management (IAM) para gerenciar o acesso à API de fluxo de mensagens do Amazon WorkMail.

A API do fluxo de mensagens do Amazon WorkMail funciona com um único tipo de recurso, uma mensagem de e-mail em trânsito. Cada mensagem de e-mail em trânsito tem um nome de recurso da Amazon (ARN) exclusivo associado a ela.

O exemplo a seguir mostra a sintaxe de um ARN associado a uma mensagem de e-mail em trânsito.

arn:aws:workmailmessageflow:region:account:message/organization/context/messageID

Os campos alteráveis no exemplo anterior incluem o seguinte:

  • Região: A região da AWS para sua organização do Amazon WorkMail.

  • Conta: O ID da Conta da AWS da sua organização do Amazon WorkMail.

  • Organização: O ID da sua organização do Amazon WorkMail.

  • Contexto: Indica se a mensagem é de incoming ou de outgoing da sua organização.

  • ID da mensagem: O ID exclusivo da mensagem de e-mail que é transmitido como entrada para a função do Lambda.

O exemplo a seguir inclui IDs de exemplo para um ARN associado a uma mensagem de e-mail recebida em trânsito.

arn:aws:workmailmessageflow:us-east-1:111122223333:message/m-n1pq2345678r901st2u3vx45x6789yza/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9

Você pode usar esses ARNs como recursos na seção Resource de suas políticas de usuário do IAM para gerenciar o acesso a mensagens do Amazon WorkMail em trânsito.

Exemplos de políticas do IAM para acesso ao fluxo de mensagens do Amazon WorkMail

A política de exemplo a seguir concede a uma entidade do IAM acesso total de leitura a todas as mensagens de entrada e saída para cada organização do Amazon WorkMail em sua Conta da AWS.

Se você tiver várias organizações em sua Conta da AWS, também poderá limitar o acesso a uma ou mais organizações. Isso é útil se determinadas funções do Lambda só puderem ser usadas para determinadas organizações.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workmailmessageflow:GetRawMessageContent"
            ],
            "Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/*",
            "Effect": "Allow"
        }
    ]
}

Você também pode optar por conceder acesso a mensagens, dependendo de elas serem de incoming ou de outgoing na organização. Para fazer isso, use o qualificador incoming ou outgoing no ARN.

O exemplo de política a seguir concede acesso somente a mensagens de incoming (recebidas) na organização.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workmailmessageflow:GetRawMessageContent"
            ],
            "Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/incoming/*",
            "Effect": "Allow"
        }
    ]
}

A política de exemplo a seguir concede a uma entidade do IAM acesso total de leitura a todas as mensagens de entrada e saída para cada organização do Amazon WorkMail em suas Contas da AWS.