Как мне написать IAM, чтобы только определенный VPC мог отправлять почту через SES?

Question

Я использую Redash на экземпляре EC2, и мне нужно отправлять приглашения через Amazon SES.
Я хотел бы добавить параметр, ограничивающий отправителя почты внутри определенного VPC, где расположен экземпляр Redash.

Вот мой IAM для SES:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ses:SendRawEmail",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-******"
                },
                "ForAnyValue:StringLike": {
                    "ses:Recipients": "*@mycompany.com"
                }
            }
        }
    ]
}

Но я не могу отправлять письма.Я думаю, это потому, что я использую конечную точку VPC в приведенном выше коде.Это еще не доступно для SES.
Есть ли другой способ указать определенный VPC?

Answer 1

Это интересная задача!

Интерфейс Amazon SES находится в Интернете, поэтому теоретически любой может получить к нему доступ.Обычно ограничения политики используют разрешения для пользователя IAM или роли , которая вызывает SES, чтобы определить, разрешены ли вызовы, а не от того, откуда сделан вызов.

Я предполагаю, что вы делаете это, потому чтовы хотите, чтобы ваша производственная система отправляла электронные письма, а не системы разработки / тестирования.

Однако не можно ограничивать с помощью VPC, поскольку Amazon SES не имеет представления о концепцииVPC.Он просто получает вызовы API через Интернет.

Если ваше приложение находится в частной подсети и отправляет запросы через NAT Gateway , то вы можете добавить политику ограничения на основе IP-адресаNAT Gateway.

Это можно сделать, либо введя ограничение в оператор Allow, либо добавив оператор Deny.

См .: AWS: Отказ в доступев AWS на основе исходного IP-адреса - Управление идентификацией и доступом AWS