Como resolvo um erro 554 de “Acesso negado” ao enviar um e-mail usando meu usuário do IAM no Amazon SES?

3 minuto de leitura
0

Quando envio um e-mail usando meu usuário do AWS Identity and Access Management (IAM) no Amazon Simple Email Service (Amazon SES), recebo um erro 554 de “Acesso negado”.

Breve descrição

Você envia um e-mail usando seu usuário do IAM no Amazon SES e recebe o seguinte erro:

**554 Access denied: User arn:aws:iam::123456789012:user/iam-user-name' is not authorized to perform ses:SendRawEmail' on resource arn:aws:ses:eu-west-1:123456789012:identity/example.com'** (554 Acesso negado: usuário arn:aws:iam::123456789012:user/iam-user-name' não está autoriado a realizar ses:SendRawEmail' no recurso arn:aws:ses:eu-west-1:123456789012:identity/example.com')

Para solucionar o erro 554 “Acesso negado” do Amazon SES, verifique o seguinte:

Resolução

1.    Abra o console do IAM.

2.    Em Policy summary (Resumo da política), verifique o seguinte:

O usuário do IAM tem a permissão correta para enviar e-mails. Por exemplo, para permitir que o usuário execute APIs de envio de e-mail, você deve incluir as ações relacionadas (ses:SendEmail, ses:SendRawEmail, ses:SendTemplatedEmail, ses:SendBulkTemplatedEmail).

O usuário do IAM tem o acesso correto para enviar e-mails usando a identidade. Se você definir o elemento Resource (Recurso) da política de usuário do IAM como *, o usuário terá acesso para enviar e-mails usando todas as identidades. Se o elemento Resource (Recusro) for restrito, verifique se o usuário tem duas políticas ou duas instruções em uma política. O elemento Action (Ação) da primeira política ou instrução deve ser definido para uma ou mais das APIs que não sejam de envio e-mails. O elemento Resource(Recurso) deve ser definido como *. O elemento Action (Ação) da segunda política ou instrução deve ser definido como uma ou mais das APIs de envio de e-mail. O elemento Resource (Recurso) deve ser definido como o ARN da identidade.

Veja a seguir um exemplo de política do IAM com duas instruções. A política permite que o usuário execute as APIs não de envio de e-mail GetSendStatistics e GetSendQuota, e restringe as APIs de envio de e-mail SendEmail e SendRawEmail para enviar somente do domínio.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ses:GetSendStatistics",
        "ses:GetSendQuota"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource": "arn:aws:ses:eu-west-1:123456789012:identity/example.com"
    }
  ]
}

3.    Verifique se há uma política de autorização de envio anexada ao endereço de e-mail ou domínio impedindo o usuário de enviar e-mails.

4.    Se você verificou a identidade do endereço de e-mail separadamente da identidade do domínio, deverá definir o elemento Resource (Recurso) como o ARN da identidade do endereço de e-mail. Para obter mais informações, consulte Criar e verificar identidades no Amazon SES.

5.    Verifique se há uma política de SCP do Organizations que o usuário herdou. SCPs podem impedir que o usuário envie e-mails. Por exemplo, o usuário herdou uma instrução Deny para negar o uso do Amazon SES ou só tem acesso a determinadas regiões da AWS ou do Amazon SES.

Observação: as credenciais do Amazon SES Simple Mail Transfer Protocol (SMTP) são exclusivas de cada conta da AWS e específicas de uma região.


Informações relacionadas

Gerenciamento de identidade e acesso no Amazon SES

Referência de API do Amazon SES

AWS OFICIAL
AWS OFICIALAtualizada há um ano