Al usar un IAM role, no se necesitan credenciales (keys), el SDK (eg: AWS SDK v2) las detecta automáticamente.
El role que utilice la aplicación para enviar emails tiene que tener permisos para hablar con SES, eg:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["ses:SendEmail", "ses:SendRawEmail"],
"Resource": "arn:aws:ses:<REGION>:<SES_ACCOUNT_ID>:identity/<SES_DOMAIN>"
}
]
}
SES Identity Policy: You must attach a policy to your SES identity (the domain or email) that grants the ses:SendEmail and ses:SendRawEmail permissions to the IAM role of the other application.