Mandrill 中的新 API 密钥默认具有对您帐户的完全访问权限 - 您可以自定义吗？

Posted 2023-02-25

【中文标题】Mandrill 中的新 API 密钥默认具有对您帐户的完全访问权限 - 您可以自定义吗？

【英文标题】：New API keys in Mandrill by default have full access to your account - can you customize?

【发布时间】：2014-09-30 21:20:24

【问题描述】：

在 Mandrill 中，如果您创建一个新的 API 密钥并且不限制其 API 调用，那么无论您将该密钥提供给谁，都可以使用它登录到具有完全访问权限的 Web 界面 - 账单信息、帐户信息、作品。

玩过之后，您似乎可以通过勾选“仅允许此密钥使用某些 API 调用”然后选择至少一个 API 调用来禁用 Web 界面登录功能。不管是哪一个。

所以我可以授予对帐户的完全访问权限，或者完全禁用他们的登录功能。有没有办法进一步自定义？我希望能够将用户限制在出站/入站 UI 中，或者至少阻止他们向附加的信用卡收取数千美元的费用。澄清一下，我的用例是将 API 密钥分发给承包商或供应商，以便所有电子邮件都通过一个帐户发送。

我发现很少有关于这方面的官方 Mandrill 文档。唯一似乎相关的是，如果您有 Mailchimp 帐户，则可以改为将用户发送到那里并使用“查看 Mandrill 报告”功能。我没有 Mailchimp（我也不需要它），所以这似乎是一个不必要的 hacky 解决方法。

【问题讨论】：

这是一个很好的观点，应该在 Mandrill UI 中更清楚地记录。在我看来，这会带来潜在的安全风险！

【参考方案1】：

目前无法按照 Mandrill KB here 中的描述，除了限制对 API 密钥的 API 调用外，还可以进行不同级别的访问。如果有人可以访问 Web 界面，他们就可以访问整个帐户。当然，这可能会在未来发生变化，并将记录在博客和知识库中。

【参考方案2】：

我相信您还可以通过设置双重身份验证来限制对 Web 界面的访问？