Livrer à l'action du compartiment S3 - Amazon Simple Email Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Livrer à l'action du compartiment S3

L'action Livrer au compartiment S3 envoie le courrier à un compartiment S3 et peut éventuellement vous avertir via SNS et plus encore. Cette action comporte les options suivantes.

  • Compartiment S3 : nom du compartiment S3 dans lequel enregistrer les e-mails reçus. Vous pouvez également créer un nouveau compartiment S3 lorsque vous configurez votre action en choisissant Create S3 Bucket. Amazon SES vous fournit l'e-mail brut non modifié, généralement au format Multipurpose Internet Mail Extensions (MIME). Pour plus de détails sur le format MIME, consultez la spécification RFC 2045.

    Important

    • Le compartiment Amazon S3 doit exister dans une région où SES Réception d'e-mails est disponible ; sinon, vous devez utiliser l'option de rôle IAM expliquée ci-dessous.

    • Lorsque vous enregistrez vos e-mails dans un compartiment S3, la taille maximale par défaut (en-têtes compris) est de 40 Mo.

    • SES ne prend pas en charge les règles de réception qui chargent vers S3 des compartiments avec le verrouillage d'objets activé et configuré avec une période de rétention par défaut.

    • Si vous appliquez le chiffrement à votre compartiment S3 en spécifiant votre propre clé KMS, veillez à utiliser l'ARN de clé KMS complet, et non l'alias de clé KMS. L'utilisation de l'alias peut entraîner le chiffrement des données avec une clé KMS appartenant au demandeur, et non à l'administrateur du compartiment. Veuillez consulter Utilisation du chiffrement pour les opérations inter-comptes.

  • Préfixe de clé d'objet : préfixe de nom de clé facultatif à utiliser dans le compartiment S3. Les préfixes de nom de clé vous permettent d'organiser votre compartiment S3 dans une structure de dossiers. Par exemple, si vous utilisez Email comme préfixe de clé d'objet, vos e-mails apparaîtront dans votre compartiment S3 dans un dossier nommé Email.

  • Chiffrement des messages : option permettant de chiffrer les e-mails reçus avant de les envoyer dans votre compartiment S3.

  • Clé de chiffrement KMS — (Disponible si le chiffrement des messages est sélectionné.) La AWS KMS clé que SES doit utiliser pour chiffrer vos e-mails avant de les enregistrer dans le compartiment S3. Vous pouvez utiliser la clé KMS par défaut ou une clé gérée par le client que vous avez créée dans KMS.

    Note

    La clé KMS que vous choisissez doit se trouver dans la même AWS région que le point de terminaison SES que vous utilisez pour recevoir des e-mails.

    • Pour utiliser la clé KMS par défaut, choisissez aws/ses lorsque vous configurez la règle de réception dans la console SES. Si vous utilisez l'API SES, vous pouvez spécifier la clé KMS par défaut en fournissant un ARN sous la forme dearn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses. Par exemple, si votre identifiant de AWS compte est 123456789012 et que vous souhaitez utiliser la clé KMS par défaut dans la région us-east-1, l'ARN de la clé KMS par défaut serait. arn:aws:kms:us-east-1:123456789012:alias/aws/ses Si vous utilisez la clé KMS par défaut, vous n'avez pas besoin d'effectuer d'étapes supplémentaires pour autoriser SES à utiliser la clé.

    • Pour utiliser une clé gérée par le client que vous avez créée dans KMS, fournissez l'ARN de la clé KMS et assurez-vous d'ajouter une déclaration à la politique de votre clé pour autoriser SES à l'utiliser. Pour en savoir plus sur l'octroi d'autorisations, consultez Attribution d'autorisations à Amazon SES pour la réception d'e-mails.

    Pour plus d'informations sur l'utilisation de KMS avec SES, consultez le manuel du AWS Key Management Service développeur. Si vous ne spécifiez pas de clé KMS dans la console ou dans l'API, SES ne chiffrera pas vos e-mails.

    Important

    Votre courrier est crypté par SES à l'aide du client de chiffrement S3 avant qu'il ne soit envoyé à S3 pour stockage. Il n'est pas chiffré à l'aide du chiffrement S3 côté serveur. Cela signifie que vous devez utiliser le client de chiffrement S3 pour déchiffrer le courrier électronique après l'avoir récupéré auprès de S3, car le service n'a pas accès à vos clés KMS pour le déchiffrement. Ce client de chiffrement est disponible dans le kit AWS SDK pour Java et le kit AWS SDK pour Ruby. Pour en savoir plus, veuillez consulter Guide de l'utilisateur Amazon Simple Storage Service.

  • Rôle IAM : rôle IAM utilisé par SES pour accéder aux ressources de l'action Deliver to S3 (compartiment Amazon S3, rubrique SNS et clé KMS). Si ce n'est pas le cas, vous devrez explicitement autoriser SES à accéder à chaque ressource individuellement Attribution d'autorisations à Amazon SES pour la réception d'e-mails (voir.

    Si vous souhaitez écrire dans un compartiment S3 qui existe dans une région où la réception d'e-mails SES n'est pas disponible, vous devez utiliser un rôle IAM doté de la politique d'autorisation d'écriture dans S3 comme politique intégrée du rôle. Vous pouvez appliquer la politique d'autorisation pour cette action directement depuis la console :

    1. Choisissez Créer un nouveau rôle dans le champ Rôle IAM et entrez un nom suivi de Créer un rôle. (La politique de confiance IAM pour ce rôle sera automatiquement générée en arrière-plan.)

    2. Comme la politique de confiance IAM a été générée automatiquement, il vous suffit d'ajouter la politique d'autorisation de l'action au rôle. Sélectionnez Afficher le rôle dans le champ Rôle IAM pour ouvrir la console IAM.

    3. Sous l'onglet Autorisations, choisissez Ajouter des autorisations, puis sélectionnez Créer une politique intégrée.

    4. Sur la page Spécifier les autorisations, sélectionnez JSON dans l'éditeur de politiques.

    5. Copiez et collez la politique d'autorisation depuis Autorisations de rôle IAM pour l'action S3 l'éditeur de politique et remplacez les données en texte rouge par les vôtres. (Assurez-vous de supprimer tout exemple de code dans l'éditeur.)

    6. Choisissez Suivant.

    7. Passez en revue et créez votre politique d'autorisation pour le rôle IAM en choisissant Créer une politique.

    8. Sélectionnez l'onglet de votre navigateur où la page SES Create ruleAdd actions est ouverte et poursuivez les étapes restantes pour créer des règles.

  • Rubrique SNS : nom ou ARN de la rubrique Amazon SNS à avertir lorsqu'un e-mail est enregistré dans le compartiment S3. Voici un exemple d'ARN de rubrique SNS : arn:aws:sns:us-east - 1:123456789012 :. MyTopic Vous pouvez également créer un sujet SNS lorsque vous configurez votre action en choisissant Créer un sujet SNS. Pour plus d'informations sur les sujets liés aux réseaux sociaux, consultez le guide du développeur Amazon Simple Notification Service.

    Note

    • La rubrique SNS que vous choisissez doit se trouver dans la même AWS région que le point de terminaison SES que vous utilisez pour recevoir des e-mails.

    • N'utilisez le chiffrement des clés KMS géré par le client qu'avec les rubriques SNS que vous associez aux règles de réception de SES, car vous devrez modifier la politique des clés KMS pour autoriser SES à publier sur SNS. Cela contraste avec les politiques clés KMS AWS gérées qui ne peuvent pas être modifiées dès leur conception.