交付到 S3 存储桶操作

传送到 S3 存储桶操作会将邮件传送到 S3 存储桶，并且可以选择通过 SNS 等方式向您发送通知。此操作具有以下选项。

• S3 存储桶 – 用于保存收到的电子邮件的 S3 存储桶的名称。您也可以在设置操作时通过选择创建 S3 存储桶来创建新的 S3 存储桶。Amazon SES 为您提供原始、未经修改的电子邮件，通常是多用途 Internet 邮件扩展（MIME）格式。有关 MIME 格式的更多信息，请参阅 RFC 2045。

  重要

  • Amazon S3 存储桶必须存在于 SES 电子邮件接收 可用的区域；否则，您必须使用下面介绍的 IAM 角色选项。

  • 当您将电子邮件保存到 S3 存储桶时，默认的最大电子邮件大小（包括标头）为 40 MB。

  • SES 不支持通过已配置默认保留期的对象锁定启用上传至 S3 存储桶的接收规则。

  • 如果通过指定您自己的 KMS 密钥在 S3 桶上应用加密，请确保使用完全限定的 KMS 密钥 ARN，而不是 KMS 密钥别名；使用别名可能导致以属于请求者而非桶管理员的 KMS 密钥对数据进行加密。请参阅使用加密进行跨账户操作。

• 对象键前缀 – 在 S3 存储桶中使用的可选键名称前缀。您可以通过键名称前缀以文件夹结构组织您的 S3 存储桶。例如，如果您使用 Email 作为对象键前缀，您的电子邮件将显示在 S3 存储桶中名为 Email 的文件夹中。

• 消息加密 – 在将收到的电子邮件发送到 S3 存储桶之前对其进行加密的选项。

• KMS 加密密钥 –（如果选择了消息加密，则可用。） 在将电子邮件保存到 S3 存储桶之前，SES 应使用该密 AWS KMS 钥对电子邮件进行加密。您可以使用默认的 KMS 密钥或者您在 KMS 中创建的客户自主管理型密钥。

  注意

  您选择的 KMS 密钥必须与用于接收电子邮件的 SES 终端节点位于同一 AWS 区域。

  • 要使用默认 KMS 密钥，请在设置接收规则时在 SES 控制台中选择 aws/ses。如果使用 SES API，可以通过提供 arn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses 形式的 ARN 指定默认 KMS 密钥。例如，如果您的 AWS 账户 ID 为 123456789012，并且您想在 us-east-1 区域使用默认 KMS 密钥，则默认 KMS 密钥的 ARN 将为。arn:aws:kms:us-east-1:123456789012:alias/aws/ses如果您使用默认 KMS 密钥，则不需要执行任何其他步骤来为 SES 提供使用它的权限。

  • 要使用在 KMS 中创建的客户自主管理型密钥，请提供 KMS 密钥的 ARN，并确保在密钥策略中添加一条语句，为 SES 提供使用该密钥的权限。有关提供权限的更多信息，请参阅授予 Amazon SES 电子邮件接收的权限。

  有关将 KMS 与 SES 结合使用的更多信息，请参阅《AWS Key Management Service Developer Guide》。如果您未在控制台或 API 中指定 KMS 密钥，则 SES 将不会加密您的电子邮件。

  重要

  您的邮件将使用 S3 加密客户端通过 SES 进行加密，然后再提交到 S3 进行存储。它并不使用 S3 服务器端加密进行加密。这意味着，在从 S3 中检索电子邮件后，您必须使用 S3 加密客户端解密电子邮件，因为该服务没有使用 KMS 密钥进行解密的访问权限。此加密客户端可在适用于 Java 的 AWS SDK和适用于 Ruby 的 AWS SDK中获取。有关更多信息，请参阅 Amazon Simple Storage Service 用户指南。

• IAM 角色 – SES 用来访问传送到 S3 操作（Amazon S3 存储桶、SNS 主题和 KMS 密钥）中的资源的 IAM 角色。如果未提供，则需要明确授予 SES 单独访问每个资源的权限，请参阅授予 Amazon SES 电子邮件接收的权限。

  如果您想向一个位于 SES 电子邮件接收不可用区域的 S3 存储桶写入数据，则您必须使用一个 IAM 角色，该角色要能够将写入 S3 权限策略作为角色的内联策略。您可以直接从控制台应用此操作的权限策略：

  1. 在 IAM 角色字段中选择创建新角色，然后输入名称，接着选择创建角色。（此角色的 IAM 信任策略将在后台自动生成。）

  2. 由于 IAM 信任策略是自动生成的，因此您只需将操作的权限策略添加到角色中 - 选择 IAM 角色字段下的查看角色即可打开 IAM 控制台。

  3. 在权限选项卡下，选择添加权限，然后选择创建内联策略。

  4. 在指定权限页面上，在策略编辑器中选择 JSON。

  5. 将权限策略从 适用于 S3 操作的 IAM 角色权限 复制并粘贴到策略编辑器中，然后将红色文本中的数据替换为您自己的数据。（请务必删除编辑器中的所有示例代码。）

  6. 选择下一步。

  7. 选择创建策略，查看并创建您的 IAM 角色权限策略。

  8. 选择已打开 SES 创建规则 – 添加操作页面的浏览器选项卡，然后继续执行创建规则的其余步骤。

• SNS 主题 – 在电子邮件保存到 S3 存储桶时发出通知的 Amazon SNS 主题的名称或 ARN。SNS 话题 ARN 的一个例子是 arn: aws: sns: us-east-1:12345678 9012:。MyTopic您也可以在设置操作时通过选择创建 SNS 主题来创建 SNS 主题。有关 SNS 主题的更多信息，请参阅《Amazon Simple Notification Service Developer Guide》。

  注意

  • 您选择的 SNS 主题必须与用于接收电子邮件的 SES 终端节点位于同一 AWS 区域。

  • 仅对与 SES 接收规则关联的 SNS 主题使用客户自主管理型 KMS 密钥加密，因为您需要编辑 KMS 密钥策略以允许 SES 发布到 SNS。这与 AWS 管理的 KMS 密钥策略不同，后者按设计不可编辑。