Acción Entregar al bucket de S3 - Amazon Simple Email Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acción Entregar al bucket de S3

La acción Entregar al bucket de S3 entrega el correo a un bucket de S3 y, opcionalmente, se lo notifica a través de SNS, entre otros. Esta acción tiene las siguientes opciones.

  • Bucket de S3: el nombre del bucket de S3 en el que guardar los correos electrónicos recibidos. También puede crear un nuevo bucket de S3 cuando configure la acción; para ello, elija Crear bucket de S3. Amazon SES proporciona el correo electrónico sin procesar y sin modificar que normalmente está en formato Multipurpose Internet Mail Extensions (MIME). Para obtener más información acerca del formato MIME, consulte RFC 2045.

    importante

    • El bucket de Amazon S3 debe existir en una región en la que Recepción de correo electrónico de SES esté disponible; de lo contrario, debe usar la opción de rol de IAM que se explica a continuación.

    • Cuando se guardan los correos electrónicos en un bucket de S3, el tamaño máximo predeterminado del correo electrónico (incluidos los encabezados) es de 40 MB.

    • SES no admite reglas de recepción que se carguen en los buckets de S3 habilitados con el bloqueo de objetos y configurados con un periodo de retención predeterminado.

    • Si aplica el cifrado en su bucket de S3 mediante la especificación de su propia clave de KMS, asegúrese de utilizar el ARN completo de la clave de KMS, y no el alias de la clave. El uso del alias puede hacer que los datos se cifren con una clave de KMS que pertenece al solicitante, y no al administrador del bucket. Consulte Uso del cifrado con operaciones entre cuentas.

  • Prefijo de clave de objeto: un prefijo opcional de nombre de clave para utilizarlo dentro del bucket de S3. Los prefijos de nombre de clave le permiten organizar su bucket de S3 en una estructura de carpetas. Por ejemplo, si utiliza Email como Prefijo de clave de objeto, sus correos electrónicos aparecerán en el bucket de S3 en una carpeta denominada Email.

  • Cifrado de mensajes: opción que permite cifrar los mensajes de correo electrónico recibidos antes de entregarlos en el bucket de S3.

  • Clave de cifrado de KMS: (disponible si se selecciona Cifrado de mensajes). Clave de AWS KMS que SES deberá utilizar para cifrar sus correos electrónicos antes de guardarlos en el bucket de S3. Puede utilizar la clave de KMS predeterminada o una clave administrada por el cliente que haya creado en KMS.

    nota

    La clave de KMS que elija deberá estar en la misma región de AWS que el punto de conexión de SES que utilice para recibir correo electrónico.

    • Para utilizar la clave de KMS predeterminada, elija aws/ses al configurar la regla de recepción en la consola de SES. Si utiliza la API de SES, puede especificar la clave de KMS predeterminada si proporciona un ARN con el formato arn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses. Por ejemplo, si su ID de cuenta de AWS es 123456789012 y desea utilizar la clave de KMS predeterminada en la región us-east-1, el ARN de la clave de KMS predeterminada sería arn:aws:kms:us-east-1:123456789012:alias/aws/ses. Si usa la clave de KMS predeterminada, no tiene que realizar ningún paso adicional a fin de conceder permiso a SES para que utilice la clave.

    • Para utilizar una clave administrada personalizada que ha creado en KMS, proporcione el ARN de la clave de KMS y asegúrese de agregar una instrucción a su política de claves que conceda a SES permiso para utilizarla. Para obtener más información sobre la concesión de permisos, consulte Otorgar permisos a Amazon SES para recibir correos electrónicos.

    Para obtener más información sobre el uso de KMS con SES, consulte la Guía para desarrolladores de AWS Key Management Service. Si no especifica una clave de KMS en la consola o la API, SES no cifrará los correos electrónicos.

    importante

    SES cifra su correo electrónico mediante el cliente de cifrado de S3 antes de que el correo electrónico se envíe a S3 para su almacenamiento. No se cifra utilizando el cifrado del servidor de S3. Esto significa que se debe utilizar el cliente de cifrado de S3 para descifrar el correo electrónico después de recuperarlo desde S3, ya que el servicio no tiene acceso para utilizar las claves de KMS para el descifrado. Este cliente de cifrado está disponible en el AWS SDK for Java y en el AWS SDK for Ruby. Para obtener más información, consulte la Guía del usuario de Amazon Simple Storage Service.

  • Rol de IAM: rol de IAM que SES utiliza para tener acceso a los recursos de la acción Entregar a S3 (bucket de Amazon S3, tema de SNS y clave de KMS). Si no lo proporciona, tendrá que conceder permisos a SES de forma explícita para acceder a cada recurso de forma individualmente; consulte Otorgar permisos a Amazon SES para recibir correos electrónicos.

    Si desea escribir en un bucket de S3 que existe en una región donde Recepción de correo electrónico de SES no está disponible, debe utilizar un rol de IAM que tenga la política de permisos de escritura en S3 como política interna del rol. Puede aplicar la política de permisos para esta acción directamente en la consola:

    1. Seleccione Crear nuevo rol en el campo Rol de IAM y especifique un nombre. A continuación, seleccione Crear rol (la política de confianza de IAM de este rol se generará automáticamente en segundo plano).

    2. Puesto que la política de confianza de IAM se genera automáticamente, solo tiene que agregar al rol la política de permisos de la acción: seleccione Ver rol en el campo Rol de IAM para abrir la consola de IAM.

    3. En la pestaña Permisos, elija Agregar permisos y seleccione Crear política insertada.

    4. En la página Especificar permisos, seleccione JSON en el Editor de políticas.

    5. Copie y pegue la política de permisos de IAMpermisos de rol para la acción de S3 en el Editor de políticas y reemplace los datos de texto rojo por los suyos propios (asegúrese de eliminar cualquier ejemplo de código del editor).

    6. Elija Siguiente.

    7. Revise y cree su política de permisos para el rol de IAM; para ello, seleccione Crear política.

    8. Seleccione la pestaña del navegador en la que esté abierta la página Crear regla-Agregar acciones y continúe con los pasos restantes para crear las reglas.

  • Tema de SNS: nombre o ARN del tema de Amazon SNS para notificar cuando se guarda un correo electrónico en el bucket de S3. Un ejemplo de un ARN de tema de SNS es: arn:aws:sns:us-east-1:123456789012:MyTopic. También puede crear un tema de SNS cuando configure su acción eligiendo Crear tema de SNS. Para obtener más información sobre los temas de SNS, consulte la Guía para desarrolladores de Amazon Simple Notification Service.

    nota

    • El tema de SNS que elija deberá estar en la misma región de AWS que el punto de conexión de SES que utilice para recibir correo electrónico.

    • Utilice únicamente el cifrado de claves administradas por el cliente de KMS con los temas de SNS que asocie a las reglas de recepción de SES, ya que tendrá que editar la política de claves de KMS para permitir que SES publique en SNS. Esto contrasta con las políticas de claves administradas por AWS de KMS que, por diseño, no se pueden editar.