管理对 Amazon WorkMail Message Flow API 的访问 - Amazon WorkMail
针对 Amazon WorkMail 邮件流访问的示例 IAM 策略

管理对 Amazon WorkMail Message Flow API 的访问

使用 AWS Identity and Access Management (IAM) 策略管理对 Amazon WorkMail Message Flow API 的访问。

Amazon WorkMail Message Flow API 适用于单一资源类型,即传输中的电子邮件。每封传输中的电子邮件均具有与之关联的唯一 Amazon 资源名称 (ARN)。

以下示例显示了与传输中的电子邮件关联的 ARN 的语法。

arn:aws:workmailmessageflow:region:account:message/organization/context/messageID

在上述示例中,可更改的字段如下所示:

  • 区域:您的 Amazon WorkMail 组织所在的 AWS 区域。

  • 账户:您的 Amazon WorkMail 组织的 AWS 账户 ID。

  • 组织:您的 Amazon WorkMail 组织 ID。

  • 上下文:指示邮件是发往 (incoming) 您的组织,还是从您的组织发出 (outgoing)。

  • 邮件 ID:作为输入传递给 Lambda 函数的唯一电子邮件 ID。

以下示例包括与传输中的传入电子邮件关联的 ARN 的示例 ID。

arn:aws:workmailmessageflow:us-east-1:111122223333:message/m-n1pq2345678r901st2u3vx45x6789yza/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9

您可以在 IAM 用户的“Resource”部分中将这些 ARN 用作资源,以管理对传输中 Amazon WorkMail 邮件的访问。

针对 Amazon WorkMail 邮件流访问的示例 IAM 策略

以下示例策略向 IAM 实体授予对您的 AWS 账户中每个 Amazon WorkMail 组织的所有入站和出站邮件的完全读取访问权限。

如果您的 AWS 账户中有多个组织,则还可以将访问权限限制到一个或多个组织。如果某些 Lambda 函数应仅用于特定组织,就可以使用此功能。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workmailmessageflow:GetRawMessageContent"
            ],
            "Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/*",
            "Effect": "Allow"
        }
    ]
}

您还可以根据消息是发往 (incoming) 您的组织还是从您的组织发出 (outgoing),选择授予对消息的访问权限。要执行此操作,请在 ARN 中使用限定词 incomingoutgoing

以下示例策略仅授予对发往您的组织的消息的访问权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "workmailmessageflow:GetRawMessageContent"
            ],
            "Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/incoming/*",
            "Effect": "Allow"
        }
    ]
}

以下示例策略向 IAM 实体授予对您的 AWS 账户中每个 Amazon WorkMail 组织的所有入站和出站邮件的完全读取和更新访问权限。