交付到 S3 存储桶操作 - Amazon Simple Email Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

交付到 S3 存储桶操作

传送到 S3 存储桶” 操作将邮件传递到 S3 存储桶,并且可以选择通过SNS等方式通知您。此操作具有以下选项。

  • S3 存储桶-用于保存收到的电子邮件的 S3 存储桶的名称。您还可以在设置操作时通过选择 “创建 S3 存储桶” 来创建新的 S3 存储桶。Amazon SES 为您提供未经修改的原始电子邮件,通常采用多用途互联网邮件扩展 (MIME) 格式。有关MIME格式的更多信息,请参阅 RFC2045

    重要

    • Amazon S3 存储桶必须存在SES电子邮件接收于可用的区域;否则,您必须使用下述IAM角色选项。

    • 将电子邮件保存到 S3 存储桶时,默认的最大电子邮件大小(包括标题)为 40 MB。

    • SES不支持上传到启用了 S3 存储桶的接收规则,对象锁定配置了默认保留期。

    • 如果通过指定自己的KMS密钥对 S3 存储桶应用加密,请务必使用完全限定的KMS密钥ARN,而不是KMS密钥别名;使用别名可能会导致使用属于请求者而不是存储桶管理员的KMS密钥对数据进行加密。请参阅使用加密进行跨账户操作

  • Object key pre fix — 在 S3 存储桶中使用的可选密钥名称前缀。密钥名称前缀使您能够以文件夹结构整理 S3 存储桶。例如,如果您使用 E mail 作为对象密钥前缀,则您的电子邮件将显示在 S3 存储桶中名为 Emai l 的文件夹中。

  • 邮件加密-在将收到的电子邮件发送到 S3 存储桶之前对其进行加密的选项。

  • KMS加密密钥-(如果选择了邮件加密,则可用。) 在将电子邮件保存到 S3 存储桶之前,SES应使用该密 AWS KMS 钥对电子邮件进行加密。您可以使用默认KMS密钥或在中创建的客户托管密钥KMS。

    注意

    您选择的KMS密钥必须与您用于接收电子邮件的SES终端节点位于同一 AWS 区域。

    • 要使用默认KMS密钥,请在控制台中设置接收规则时选择 aws/ses。SES如果使用 SESAPI,则可以通过以下形式提供来指定默认KMS密钥arn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses。ARN例如,如果您的 AWS 账户 ID 为 123456789012,并且您想KMS在 us-east-1 区域使用默认密钥,则默认密钥的密钥将是。ARN KMS arn:aws:kms:us-east-1:123456789012:alias/aws/ses如果您使用默认KMS密钥,则无需执行任何额外步骤即可SES授予使用该密钥的权限。

    • 要使用您在中创建的客户托管密钥KMS,请提供KMS密钥的,并确保在密钥政策中添加声明以授予使用SES权限。ARN有关提供权限的更多信息,请参阅向 Amazon 授予接收电子邮件SES的权限

    有关KMS与一起使用的更多信息SES,请参阅《AWS Key Management Service 开发人员指南》。如果您未在控制台或中指定KMS密钥API,则SES不会加密您的电子邮件。

    重要

    在将邮件提交到 S3 进行存储之前,SES使用 S3 加密客户端对邮件进行加密。它未使用 S3 服务器端加密进行加密。这意味着从 S3 检索电子邮件后,您必须使用 S3 加密客户端对其进行解密,因为该服务无权使用您的KMS密钥进行解密。此加密客户端可在AWS SDK for JavaAWS SDK for Ruby中获取。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南

  • IAM角色 — 用于访问 “传送SES到 S3” 操作中的资源(Amazon S3 存储桶、SNS主题和KMS密钥)的IAM角色。如果未提供,则需要明确授予单独SES访问每个资源的权限,请参阅。向 Amazon 授予接收电子邮件SES的权限

    如果您要写入位于无法接收SES电子邮件的区域中的 S3 存储桶,则必须使用具有写入 S3 权限策略的IAM角色作为该角色的内联策略。您可以直接从控制台应用此操作的权限策略:

    1. 在 “角色” 字段中选择 “创建新IAM角色”,然后输入名称,然后输入创建角色。(此角色的IAM信任策略将在后台自动生成。)

    2. 由于IAM信任策略是自动生成的,因此您只需要将操作的权限策略添加到角色中,选择角色字段下方的IAM查看角色即可打开控制台。 IAM

    3. 在 “权限” 选项卡下,选择 “添加权限”,然后选择 “创建内联策略”。

    4. 指定权限页面上,JSON策略编辑器中选择。

    5. 将权限策略从中复制并粘贴IAMS3 操作的角色权限策略编辑器中,然后将红色文本中的数据替换为自己的数据。(请务必删除编辑器中的所有示例代码。)

    6. 选择下一步

    7. 选择创建策略,查看并创建IAM角色的权限策略

    8. 选择浏览器选项卡,在其中打开 “SES创建规则-添加操作” 页面,然后继续执行创建规则的其余步骤。

  • SNStopi@@ c — 将电子邮件保存到 S3 存储桶时要通知的 Amazon SNS 主题的名称或ARN名称。SNS主题的一个例子ARN是 arn: aws: sns: us-east-1:123456789012:。MyTopic您还可以在设置操作时通过选择 “创建SNS主题” 来创建SNS主题。有关SNS主题的更多信息,请参阅《Amazon 简单通知服务开发者指南》

    注意

    • 您选择的SNS主题必须与您用于接收电子邮件的SES终端节点位于同一 AWS 区域。

    • 仅对与SES接收规则关联的SNS主题使用客户托管KMS密钥加密,因为您将需要编辑KMS密钥策略以允许发布SES到该主题SNS。这与无法通过设计进行编辑的AWS 托管KMS密钥策略形成鲜明对比。