¿Cómo soluciono un error 554 de “Access Denied” (Acceso denegado) cuando envío un correo electrónico de mi usuario de IAM en Amazon SES?

4 minutos de lectura
0

Cuando envío un correo electrónico de mi usuario de AWS Identity and Access Management (IAM) en Amazon Simple Email Service (Amazon SES), recibo un error 554 de “Access Denied” (Acceso denegado).

Descripción corta

Envía un correo electrónico de su usuario de IAM en Amazon SES y recibe el siguiente error:

554 Access denied: User arn:aws:iam::123456789012:user/iam-user-name' is not authorized to perform ses:SendRawEmail' on resource arn:aws:ses:eu-west-1:123456789012:identity/example.com' (554 Acceso denegado: el usuario arn:aws:iam::123456789012:user/iam-user-name' no está autorizado a ejecutar ses:SendRawEmail' en el recurso arn:aws:ses:eu-west-1:123456789012:identity/example.com')

Para solucionar el error 554 “Access denied” (Acceso denegado) de Amazon SES, compruebe lo siguiente:

  • El usuario tiene las políticas y el acceso correctos para enviar correos electrónicos.
  • No hay ninguna política de autorización de envío vinculada a la dirección de correo electrónico o al dominio.
  • El elemento Resource (Recurso) de la política de IAM se establece en el ARN de la identidad de la dirección de correo electrónico.
  • Las políticas de control de servicios (SCP) de AWS Organizations no se vinculan al usuario.

Resolución

1.    Abra la consola de IAM.

2.    En Policy summary (Resumen de la política), compruebe lo siguiente:

El usuario de IAM tiene el permiso adecuado para enviar correos electrónicos. Por ejemplo, para permitir que el usuario ejecute las API de envío de correo electrónico, debe incluir las acciones relacionadas (ses:SendEmail, ses:SendRawEmail, ses:SendTemplateEmail, ses:SendBulkTemplateEmail).

El usuario de IAM tiene el derecho de acceso para enviar correos electrónicos desde la identidad. Si establece el elementoResource (Recurso) de la política de usuario de IAM en *, el usuario tendrá acceso para enviar correos electrónicos desde todas las identidades. Si el elemento Resource (Recurso) está restringido, debe comprobar que el usuario tenga dos políticas o dos instrucciones en una política. El elemento Action (Acción) de la primera política o instrucción debe configurarse en una o más de las API que no son de envío de correo electrónico. El elemento Resource (Recurso) debe estar configurado en *. El elemento Action (Acción) de la primera política o instrucción debe configurarse en una o más de las API de envío de correo electrónico. El elemento Resource debe estar configurado en el ARN de la identidad.

A continuación, se muestra un ejemplo de política de IAM con dos instrucciones. La política permite al usuario ejecutar las API que no son de envío de correo electrónico GetSendStatistics y GetSendQuota, y restringe las API de envío de correo electrónico SendEmail y SendRawEmail para que solo se envíen desde el dominio.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ses:GetSendStatistics",
        "ses:GetSendQuota"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource": "arn:aws:ses:eu-west-1:123456789012:identity/example.com"
    }
  ]
}

3.    Compruebe si hay una política de autorización de envío adjunta a la dirección de correo electrónico o al dominio que impide que el usuario envíe correos electrónicos.

4.    Si ha verificado la identidad de la dirección de correo electrónico por separado de la identidad del dominio, debe establecer el elemento Resource (Recurso) en el ARN de la identidad de la dirección de correo electrónico. Para obtener más información, consulte Creación y verificación de identidades en Amazon SES.

5.    Compruebe si hay una política de SCP de la organización que el usuario haya heredado. Los SCP pueden impedir que el usuario envíe correos electrónicos. Por ejemplo, puede que el usuario heredase una instrucción de denegación Deny para usar Amazon SES o solo tenga acceso a determinadas regiones de AWS o Amazon SES.

Nota: Las credenciales del Protocolo para transferencia simple de correo (SMTP) de Amazon SES son únicas para cada cuenta de AWS y específicas de una región.


Información relacionada

Identity and Access Management en Amazon SES

Amazon SES API reference (Referencia de la API de Amazon SES)

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año