amazon ses smtpサービスを介してiamロールアカウントでメールを送信することはできますか?

10

次のポリシーが添付されたIAMロールがあります。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
  ]
}

ご覧のとおり、フルアクセスが許可されています。

次のpythonを使用して、IAM認証情報をSMTP認証情報に変換します。

#!/usr/bin/env python

from __future__ import print_function

import base64
import hashlib
import hmac
import json
import struct
import urllib2

METADATA_BASE = 'http://169.254.169.254/2012-01-12/meta-data'


def main():
    access_key_id, secret_access_key = get_access_creds()
    username, password = get_smtp_creds(access_key_id, secret_access_key)

    print('SMTP Username: %s' % username)
    print('SMTP Password: %s' % password)


def get_access_creds():
    url_handle = urllib2.urlopen('%s/iam/security-credentials' %
                                 (METADATA_BASE,))
    role_name = url_handle.read()
    url_handle.close()

    url_handle = urllib2.urlopen('%s/iam/security-credentials/%s' %
                                 (METADATA_BASE, role_name))
    sec_cred_doc = url_handle.read()
    url_handle.close()

    sec_cred_data = json.loads(sec_cred_doc)
    access_key_id =  buffer(sec_cred_data['AccessKeyId'])
    secret_access_key = buffer(sec_cred_data['SecretAccessKey'])

    return access_key_id, secret_access_key


def get_smtp_creds(access_key_id, secret_access_key):
    message = 'SendRawEmail'
    version = 0x02

    sig= hmac.new(
        secret_access_key,
        msg=message,
        digestmod=hashlib.sha256)
    sig_bytes = sig.digest()
    sig_and_version_bytes = (struct.pack('B', version) + sig_bytes)
    smtp_password = base64.b64encode(sig_and_version_bytes)

    return access_key_id, smtp_password

if __name__ == '__main__':
    main()

このコードを実行すると、いくつかのSMTPユーザー名とパスワードが出力されます。たとえば、swaksを使用してメッセージを送信しようとすると、失敗します。コマンドラインの例を次に示します。

swaks -s email-smtp.us-east-1.amazonaws.com --from wt@example.com --to wt@example.com --auth-user <smtp username from script above> --auth-password <smtp password from script above> --tls

もちろん、Example.comはプレースホルダーです。実際のドメインは、AWS SESアカウントで確認されています。

実際、メタデータからロールの認証情報を検出する代わりに、同じコードを実行してIAMユーザーから変換すると、ユーザー名とパスワードを使用してメールを正常に送信できます。

AFAICT、これは、IAMロールの認証情報では許可されていません。これが真実である場合、これは不十分です。私は、Postfix構成を生成して、ボックス上のプロセスがローカルホストにメールを送信し、それをSESサービスにルーティングできるようにすることを計画していました。IAMユーザーの認証情報をサーバーに配置しないようにしました。ただし、それを回避する方法は今のところないようです。

何かご意見は?

amazon-ses  amazon-iam 
レンT.
ソース
1
私は同じことを試み、同じ結論に達しました。現在、SES SMTPにIAMロール認証情報を使用することはできないようです。
クリスチャン

回答:

1

ユーザーに次の許可を与えることを試みることができます。すでにワイルドカードを使用しているため、冗長であるように見えますが、次のポリシーはここでも(postfixを使用して)機能し、AWSによって生成されます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ses:SendRawEmail",
      "Resource": "*"
    }
  ]
}
スキー中毒者
ソース
-1

最も単純なものから始めませんか?

{
    "Version": "2012-10-17",
    "Statement":[{
       "Effect": "Allow",
       "Action": ["ses:*"],
       "Resource":"*"
       }
    ]
 }
アズファルハシミ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.