Wie behebe ich den 554-Fehler „Zugriff verweigert“, wenn ich eine E-Mail von meinem IAM-Benutzer in Amazon SES sende?

Kurzbeschreibung

Sie senden eine E-Mail von Ihrem IAM-Benutzer in Amazon SES und erhalten die folgende Fehlermeldung:

554 Zugriff verweigert: Benutzer arn:aws:iam::123456789012:user/iam-user-name' ist nicht berechtigt, ses:SendRawEmail' auf der Ressource `arn:aws:ses:eu-west-1:123456789012:identity/example.com' auszuführen

Gehen Sie wie folgt vor, um den 554-Fehler „Zugriff verweigert“ von Amazon SES zu beheben:

• Der Benutzer hat die richtigen Richtlinien und den richtigen Zugriff, um E-Mails zu senden.
• Eine Richtlinie für die Autorisierung von Sendungen ist nicht mit der E-Mail-Adresse oder Domäne verknüpft.
• Das Ressourcenelement in der IAM-Richtlinie ist auf den ARN der E-Mail-Adressidentität festgelegt.
• Die Service-Kontrollrichtlinien (Service Control Policies, SCP) von AWS Organizations sind nicht mit dem Benutzer verknüpft.

Behebung

1.    Öffnen Sie die IAM-Konsole.

2.    Überprüfen Sie Folgendes unter Richtlinienzusammenfassung:

Der IAM-Benutzer hat die Berechtigung, E-Mails zu senden. Damit der Benutzer beispielsweise APIs zum Senden von E-Mails ausführen kann, müssen Sie die zugehörigen Aktionen einbeziehen (ses:SendEmail, ses:SendRawEmail, ses:SendTemplatedEmail, ses:SendBulkTemplatedEmail).

Der IAM-Benutzer hat den richtigen Zugriff, um E-Mails von der Identität aus zu senden. Wenn Sie das Ressourcenelement der IAM-Benutzerrichtlinie auf * setzen, kann der Benutzer E-Mails von allen Identitäten aus versenden. Wenn das Ressourcenelement eingeschränkt ist, überprüfen Sie, ob der Benutzer über zwei Richtlinien oder zwei Anweisungen in einer Richtlinie verfügt. Das Aktionselement der ersten Richtlinie oder Anweisung muss auf eine oder mehrere APIs ohne E-Mail-Versand festgelegt sein. Das Ressourcenelement muss auf * gesetzt sein. Das Aktionselement der zweiten Richtlinie oder Anweisung muss auf eine oder mehrere APIs mit E-Mail-Versand festgelegt sein. Das Ressourcenelement muss auf den ARN der Identität festgelegt sein.

Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie mit zwei Anweisungen. Die Richtlinie erlaubt dem Benutzer, die APIs GetSendStatistics und GetSendQuota ohne E-Mail-Versand auszuführen, und schränkt die APIs SendEmail und SendRawEmail mit E-Mail-Versand ausschließlich auf den Versand von der Domäne aus ein.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ses:GetSendStatistics",
        "ses:GetSendQuota"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource": "arn:aws:ses:eu-west-1:123456789012:identity/example.com"
    }
  ]
}

3.    Überprüfen Sie, ob an die E-Mail-Adresse oder Domäne eine Richtlinie für die Autorisierung von Sendungen angehängt ist, die den Benutzer daran hindert, E-Mails zu senden.

4.    Wenn Sie die Identität der E-Mail-Adresse getrennt von der Domänenidentität verifiziert haben, müssen Sie das Ressourcenelement auf den ARN der E-Mail-Adressidentität festlegen. Weitere Informationen finden Sie unter Erstellen und Überprüfen von Identitäten in Amazon SES.

5.    Überprüfen Sie, ob es eine SCP-Richtlinie von Organizations gibt, die der Benutzer übernommen hat. SCPs können den Benutzer am Versand von E-Mails hindern. Der Benutzer kann zum Beispiel eine Verweigerungsanweisung zur Nutzung von Amazon SES geerbt oder nur Zugriff auf bestimmte AWS- oder Amazon SES-Regionen haben.

Hinweis: Amazon SES Simple Mail Transfer Protocol (SMTP)-Anmeldeinformationen sind für jedes AWS-Konto eindeutig und spezifisch für eine Region.

Relevante Informationen

Identitäts- und Zugriffsmanagement in Amazon SES

Amazon SES-API-Referenz