傳送至 S3 儲存貯體動作 - Amazon Simple Email Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

傳送至 S3 儲存貯體動作

交付至 S3 儲存貯體動作會將郵件交付至 S3 儲存貯體,並可選擇透過 SNS 等方式通知您。此動作有下列選項。

  • S3 儲存貯體 – 儲存接收電子郵件的 S3 儲存貯體名稱。您也可以選擇建立 S3 儲存貯體,在設定動作時建立新的 S3 儲存貯體。Amazon SES 提供您原始、未修改的電子郵件,通常是以多用途網際網路郵件延伸 (MIME) 格式顯示。如需 MIME 格式的詳細資訊,請參閱 RFC 2045

    重要

    • Amazon S3 儲存貯體必須存在於電子郵件接收可使用 SES 的區域;否則,您必須使用下方說明的 IAM 角色選項。

    • 當您將電子郵件儲存至 S3 儲存貯體時,預設的電子郵件大小上限 (包括標頭) 為 40 MB。

    • SES 不支援上傳到已啟用物件鎖定且已設定預設保留期的 S3 儲存貯體的接收規則。

    • 如果指定自己的 KMS 金鑰來為 S3 儲存貯體加密,請確保使用完整合格的 KMS 金鑰 ARN,而不是 KMS 金鑰別名;使用別名可能會導致系統使用屬於申請者 (而不是儲存貯體管理員) 的 KMS 金鑰來加密資料。請參閱對跨帳戶操作使用加密

  • 物件金鑰字首 – 要在 S3 儲存貯體中使用的選用金鑰名稱字首。金鑰名稱字首可讓您在資料夾結構中組織 S3 儲存貯體。例如,如果您使用電子郵件作為物件金鑰字首,您的電子郵件將出現在名為 Email 的資料夾中的 S3 儲存貯體中。

  • 訊息加密 – 將收到的電子郵件訊息交付至 S3 儲存貯體之前,先將它們加密的選項。

  • KMS 加密金鑰 – (如果選取訊息加密,則可用。) SES 在將電子郵件儲存至 S3 儲存貯體之前,應該用來加密電子郵件的 AWS KMS 金鑰。您可以使用您在 KMS 中建立的預設 KMS 金鑰或客戶受管金鑰。

    注意

    您選擇的 KMS 金鑰必須與您用來接收電子郵件的 SES 端點位於相同 AWS 區域。

    • 若要使用預設 KMS 金鑰,請在 SES 主控台中設定接收規則時選擇 aws/ses。如果您使用 SES API,您可以透過以 的形式提供 ARN 來指定預設 KMS 金鑰arn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses。例如,如果 AWS 您的帳戶 ID 為 123456789012,而您想要使用 us-east-1 區域中的預設 KMS 金鑰,則預設 KMS 金鑰的 ARN 會是 arn:aws:kms:us-east-1:123456789012:alias/aws/ses。如果您使用預設 KMS 金鑰,則不需要執行任何額外步驟,即可授予 SES 使用金鑰的許可。

    • 若要使用您在 KMS 中建立的客戶受管金鑰,請提供 KMS 金鑰的 ARN,並確保將陳述式新增至金鑰的政策,以授予 SES 使用它的許可。如需提供權限的詳細資訊,請參閱 給予 Amazon SES 接收電子郵件的許可

    如需搭配 SES 使用 KMS 的詳細資訊,請參閱 AWS Key Management Service 開發人員指南。如果您未在主控台或 API 中指定 KMS 金鑰,SES 將不會加密您的電子郵件。

    重要

    在將郵件提交至 S3 進行儲存之前,SES 會使用 S3 加密用戶端來加密您的郵件。 S3 它不會使用 S3 伺服器端加密進行加密。這表示您必須在從 S3 擷取電子郵件之後,使用 S3 加密用戶端來解密電子郵件,因為服務無法存取您的 KMS 金鑰來進行解密。此加密用戶端提供 AWS SDK for JavaAWS SDK for Ruby 版本。如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南

  • IAM 角色 – SES 用來存取 Deliver to S3 動作 (Amazon S3 儲存貯體、SNS 主題和 KMS 金鑰) 中資源的 IAM 角色。如果未提供,您將需要明確授予 SES 個別存取每個資源的許可,請參閱 給予 Amazon SES 接收電子郵件的許可

    如果您想要寫入存在於無法使用 SES Email receiving 之區域中的 S3 儲存貯體,您必須使用具有寫入 S3 許可政策的 IAM 角色做為角色的內嵌政策。您可以直接從主控台套用此動作的許可政策:

    1. IAM 角色欄位中選擇建立新角色,然後輸入名稱,後面接著建立角色。(此角色的 IAM 信任政策會自動在背景產生。)

    2. 由於 IAM 信任政策是自動產生的,因此您只需將動作的許可政策新增至角色 - 選取 IAM 角色欄位下的檢視角色即可開啟 IAM 主控台。

    3. 許可索引標籤下,選擇新增許可,然後選擇建立內嵌政策

    4. 指定許可頁面上,選取政策編輯器中的 JSON

    5. 將 的許可政策複製並貼S3 動作的 IAM 角色許可政策編輯器中,並以您自己的紅色文字取代資料。(請務必刪除編輯器中的任何範例程式碼。)

    6. 選擇 Next (下一步)

    7. 選擇建立政策,以檢閱和建立 IAM 角色的許可政策

    8. 選取瀏覽器的索引標籤,其中會開啟 SES Create ruleAdd action page,然後繼續建立規則的其餘步驟。

  • SNS 主題 – 電子郵件儲存至 S3 儲存貯體時要通知的 Amazon SNS 主題名稱或 ARN。SNS 主題 ARN 的範例為 arn:aws:sns:us-east-1:123456789012:MyTopic。您也可以選擇建立 SNS 主題,在設定動作時建立 SNS 主題。如需 SNS 主題的詳細資訊,請參閱 Amazon Simple Notification Service 開發人員指南

    注意

    • 您選擇的 SNS 主題必須與您用來接收電子郵件的 SES 端點位於相同的 AWS 區域。

    • 僅使用客戶受管 KMS 金鑰加密搭配與 SES 接收規則相關聯的 SNS 主題,因為您需要編輯 KMS 金鑰政策,才能允許 SES 發佈至 SNS。這與無法由設計編輯的AWS 受管 KMS 金鑰政策相反。