本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理对 Amazon WorkMail 消息流的访问权限 API
使用 AWS Identity and Access Management (IAM) 策略来管理对亚马逊 WorkMail 消息流的访问权限API。
Amazon Mes API s WorkMail age Flow 使用单一资源类型,即传输中的电子邮件。每封传输中的电子邮件都有一个与之关联的唯一 Amazon 资源名称 (ARN)。
以下示例显示了与传输中的电子邮件ARN关联的语法。
arn:aws:workmailmessageflow:
region
:account
:message/organization
/context
/messageID
在上述示例中,可更改的字段如下所示:
区域-您的 Amazon WorkMail 组织所在AWS的地区。
账户-您的亚马逊 WorkMail组织的 AWS 账户 ID。
组织-您的亚马逊 WorkMail 组织编号。
上下文:指示邮件是发往 (
incoming
) 您的组织,还是从您的组织发出 (outgoing
)。邮件 ID:作为输入传递给 Lambda 函数的唯一电子邮件 ID。
以下示例IDs包括与传输中的传入电子邮件ARN关联的示例。
arn:aws:workmailmessageflow:
us-east-1
:111122223333
:message/m-n1pq2345678r901st2u3vx45x6789yza
/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9
您可以ARNs将其用作IAM用户政策Resource
部分中的资源,以管理对传输中的亚马逊 WorkMail 消息的访问权限。
Amazon WorkMail 消息流访问IAM策略示例
以下示例策略授予IAM实体对您中每个 Amazon WorkMail 组织的所有入站和出站消息的完全读取权限 AWS 账户。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:
region
:account
:message/*", "Effect": "Allow" } ] }
如果您的组织中有多个组织 AWS 账户,则还可以限制对一个或多个组织的访问权限。如果某些 Lambda 函数应仅用于特定组织,就可以使用此功能。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:
region
:account
:message/organization
/*", "Effect": "Allow" } ] }
您还可以根据消息是发往 (incoming
) 您的组织还是从您的组织发出 (outgoing
),选择授予对消息的访问权限。为此,请使用限定符incoming
或outgoing
。ARN
以下示例策略仅授予对发往您的组织的消息的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:
region
:account
:message/organization
/incoming/*", "Effect": "Allow" } ] }
以下示例策略授予IAM实体对您中每个 Amazon WorkMail 组织的所有入站和出站消息的完全读取和更新权限 AWS 账户。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent", "workmailmessageflow:PutRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/*", "Effect": "Allow" } ] }