S3 バケットアクションへの配信 - Amazon Simple Email Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

S3 バケットアクションへの配信

S3 バケットへの配信アクションは、メールを S3 バケットに配信し、オプションで SNS などを通じて通知できます。このアクションには以下のオプションがあります。

  • S3 バケット – 受信した E メールを保存する S3 バケットの名前。S3 バケットの作成 を選択して、アクションを設定するときに新しい S3 バケットを作成することもできます。Amazon SESは、変更されていない未加工の E メールを提供します。通常、多目的インターネットメール拡張 (MIME) 形式です。MIME 形式の詳細については、RFC「2045」を参照してください。

    重要

    • Amazon S3 バケットSESE メールの受信は、 が利用可能なリージョンに存在する必要があります。存在しない場合は、以下で説明するIAMロールオプションを使用する必要があります。

    • E メールを S3 バケットに保存する場合、デフォルトの最大 E メールサイズ (ヘッダーを含む) は 40 MB です。

    • SES は、デフォルトの保持期間で設定されたオブジェクトロックが有効になっている S3 バケットにアップロードする受信ルールをサポートしていません。

    • 独自のKMSキーを指定して S3 バケットに暗号化を適用する場合は、KMSキーエイリアスではなく、完全修飾KMSキー を使用してください。エイリアスを使用するとARN、バケット管理者ではなく、リクエスタに属するKMSキーでデータが暗号化される可能性があります。「クロスアカウント操作での暗号化の使用」を参照してください。

  • オブジェクトキープレフィックス — S3 バケット内で使用するオプションのキー名プレフィックス。キー名のプレフィックスを使用すると、S3 バケットをフォルダ構造に整理できます。例えば、E メールオブジェクトキープレフィックス として使用すると、E メールは E メール という名前のフォルダの S3 バケットに表示されます。

  • メッセージ暗号化 — 受信した E メールメッセージを S3 バケットに配信する前に暗号化するオプション。

  • KMS 暗号化キー – (メッセージ暗号化が選択されている場合に使用できます)。E メールを S3 バケットに保存する前に、 が E メールの暗号化SESに使用する AWS KMS キー。デフォルトKMSキーまたは で作成したカスタマーマネージドキーを使用できますKMS。

    注記

    選択したKMSキーは、E メールの受信に使用するSESエンドポイントと同じ AWS リージョンにある必要があります。

    • デフォルトKMSキーを使用するには、SESコンソールで受信ルールを設定するときに aws/ses を選択します。を使用する場合はAPI、 SES のARN形式で を指定することで、デフォルトKMSキーを指定できますarn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses。例えば、 AWS アカウント ID が 123456789012 で、us-east-1 リージョンでデフォルトKMSキーを使用する場合、デフォルトKMSキーARNの は になりますarn:aws:kms:us-east-1:123456789012:alias/aws/ses。デフォルトKMSキーを使用する場合、キーを使用するアクセスSES許可を付与するために追加の手順を実行する必要はありません。

    • で作成したカスタマーマネージドキーを使用するにはKMS、KMSキーARNの を指定し、キーのポリシーにステートメントを追加して、そのキーを使用するアクセスSES許可を付与します。アクセス権限の付与の詳細については、「E メール受信のための Amazon SES へのアクセス許可の付与」を参照してください。

    KMS で を使用する方法の詳細についてはSES、「 AWS Key Management Service デベロッパーガイド」を参照してください。コンソールまたは でKMSキーを指定しない場合API、 SESは E メールを暗号化しません。

    重要

    メールは、S3 暗号化クライアントSESを使用して暗号化され、その後に S3 に送信されて保存されます。S3 サーバー側の暗号化を使用して暗号化されません。つまり、S3 から E メールを取得した後は、S3 暗号化クライアントを使用して復号する必要があります。これは、サービスが復号化にKMSキーを使用するためのアクセス権を持たないためです。この暗号化クライアントは、AWS SDK for Java および AWS SDK for Ruby でのみ使用できます。詳細については、Amazon Simple Storage Serviceユーザーガイドを参照してください。

  • IAM ロールS3 への配信アクション (Amazon S3 バケット、トピック、キー) のリソースにアクセスSESするために が使用するIAMロール。 SNS KMS指定しない場合は、各リソースに個別にアクセスするためのアクセス許可を SESに明示的に付与する必要があります。「」を参照してくださいE メール受信のための Amazon SES へのアクセス許可の付与

    E SESメール受信が利用できないリージョンに存在する S3 バケットに書き込む場合は、IAMS3 への書き込みアクセス許可ポリシーを持つ ロールをロールのインラインポリシーとして使用する必要があります。このアクションのアクセス許可ポリシーは、コンソールから直接適用できます。

    1. ロールフィールドに新しいロールの作成 を選択し、名前を入力してからロールの作成 を選択します。 IAM (このロールのIAM信頼ポリシーはバックグラウンドで自動的に生成されます)。

    2. IAM 信頼ポリシーは自動的に生成されたため、アクションのアクセス許可ポリシーをロールに追加するだけで済みます。ロールフィールドでIAMロールを表示を選択してIAMコンソールを開きます。

    3. アクセス許可タブで、アクセス許可を追加 を選択し、インラインポリシーの作成 を選択します。

    4. アクセス許可の指定ページで、ポリシーエディタ JSON で を選択します。

    5. からアクセス許可ポリシーをコピーしてポリシーエディタIAM S3 アクションの ロールアクセス許可に貼り付け、赤色のテキストのデータを独自のテキストに置き換えます。(エディタでサンプルコードを必ず削除してください。)

    6. [Next (次へ)] を選択します。

    7. ポリシーの作成 を選択して、IAMロールのアクセス許可ポリシーを確認して作成します。

    8. ルールSESの作成 – アクションの追加ページが開いているブラウザのタブを選択し、ルールを作成するための残りのステップに進みます。

  • topicSNS – E メールARNが S3 バケットに保存されたときに通知する Amazon SNSトピックの名前または。SNS トピックの例は、arn:aws:sns:us-east-1:123456789012: MyTopicARNです。SNS トピックの作成 を選択して、アクションを設定するときに SNS トピックを作成することもできます。SNS トピックの詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

    注記

    • 選択したSNSトピックは、E メールの受信に使用するSESエンドポイントと同じ AWS リージョンに存在する必要があります。

    • が にSES発行できるようにKMSキーポリシーを編集する必要があるため、SES受信ルールに関連付けるSNSトピックでのみカスタマーマネージドKMSキー暗号化を使用しますSNS。これは、設計上編集できないAWS マネージドKMSキーポリシーとは対照的です。