S3 バケットアクションへの配信 - Amazon Simple Email Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

S3 バケットアクションへの配信

S3 バケットへの配信アクションは、メールを S3 バケットに配信し、必要に応じて SNS などを介してユーザーに通知します。このアクションには以下のオプションがあります。

  • S3 バケット - 受信した E メールを保存する S3 バケットの名前。アクションを設定する際に [S3 バケットを作成する] をクリックして、新しい S3 バケットを作成することもできます。Amazon SES は 通常は多目的インターネットメール拡張 (MIME) 形式の、変更を加えていない raw E メールを格納する文字列を提供します。MIME 形式の詳細については、RFC 2045 を参照してください。

    重要

    • Amazon S3 バケットは、SES E メールの受信 が利用可能なリージョンに配置されている必要があります。それ以外の場合は、以下で説明する IAM ロールオプションを使用する必要があります。

    • E メールを S3 バケットに保存する際の E メールの最大サイズ (ヘッダーを含む) は 40 MB です。

    • SES は、デフォルトの保持期間で設定された Object Lock で有効化された S3 バケットにアップロードする受信ルールをサポートしていません。

    • 独自の KMS キーを指定して S3 バケットに暗号化を適用するには、KMS キーエイリアスではなく、完全修飾 KMS キー ARN を使用してください。エイリアスを使用すると、バケット管理者ではなく、リクエスタに属する KMS キーでデータが暗号化される可能性があります。「クロスアカウント操作での暗号化の使用」を参照してください。

  • オブジェクトキープレフィックス - S3 バケット内で使用するキー名のプレフィックス。キー名のプレフィックスを使用すると、フォルダ構造を使って S3 バケットを分類できます。例えば、E メールオブジェクトキープレフィックスとして使用する場合、E メールは S3 バケットの 「E メール」という名前のフォルダに表示されます。

  • メッセージの暗号化 – 受信した E メールメッセージを S3 バケットに配信する前に暗号化するオプション。

  • KMS 暗号化キー – (メッセージの暗号化が選択されている場合に利用可能)。E メールを S3 バケットに保存する前に暗号化するために SES が使用すべき AWS KMS キー。KMS で作成したデフォルトの KMS キーまたはカスタマーマネージドキーを使用できます。

    注記

    選択する KMS キーは、E メールを受け取る SES エンドポイントと同じ AWS リージョン内に配置されている必要があります。

    • デフォルトの KMS キーを使用するには、SES コンソールで受信ルールを設定する際に、[aws/ses] を選択します。SES API を使用する場合は、arn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses 形式で ARN を指定することでデフォルトの KMS キーを指定できます。たとえば、AWS アカウント ID が 123456789012 であり、us-east-1 リージョンのデフォルトの KMS キーを使用する場合は、デフォルトの KMS キーの ARN は arn:aws:kms:us-east-1:123456789012:alias/aws/ses となります。デフォルトの KMS キーを使用する場合、キーの使用についての SES へのアクセス許可付与に関する追加のステップを実行する必要はありません。

    • KMS で作成したカスタマーマネージドキーを使用するには、KMS キーの ARN を指定し、キーのポリシーにステートメントを追加して、SES にキーを使用するアクセス許可を付与します。アクセス権限の付与の詳細については、「E メール受信SESのために Amazon にアクセス許可を付与する」を参照してください。

    SES での KMS の使用の詳細については、「AWS Key Management Service デベロッパーガイド」を参照してください。コンソールまたは API で KMS キーを指定しないと、SES は E メールの暗号化は行いません。

    重要

    メールは、保存のために S3 に送信される前に、SES が S3 暗号化クライアントを使用して暗号化します。S3 のサーバー側の暗号化を使用して暗号化されるわけではありません。つまり、このサービスには復号に KMS キーを使用するアクセス権がないため、S3 から E メールを取得した後、S3 暗号化クライアントを使用してメールを復号する必要があります。この暗号化クライアントは、AWS SDK for Java および AWS SDK for Ruby でのみ使用できます。詳細については、Amazon Simple Storage Serviceユーザーガイドを参照してください。

  • IAM ロール – SES が S3 への配信アクション (Amazon S3 バケット、SNS トピック、KMS キー) のリソースにアクセスするために使用する IAM ロール。指定しない場合、各リソースに個別にアクセスするためのアクセス許可を SES に明示的に付与する必要があります。「E メール受信SESのために Amazon にアクセス許可を付与する」を参照してください。

    E メール受信が利用できないリージョンに配置された S3 バケットに書き込む場合は、ロールのインラインポリシーとして S3 アクセス許可ポリシーへの書き込み権限が付与された IAM ロールを使用する必要があります。このアクションのアクセス許可ポリシーは、次のとおり、コンソールから直接適用できます。

    1. [IAM ロール] フィールドで、[新しいロールの作成] を選択して名前を入力してから、[ロールの作成] を選択します。(このロールの IAM 信頼ポリシーは、バックグラウンドで自動的に生成されます)。

    2. IAM 信頼ポリシーが自動的に生成されたため、ユーザーが実行する必要があるのは、このアクションのアクセス許可ポリシーをロールに追加することのみです。[IAM ロール] フィールドで、[ロールの表示] をクリックして、IAM コンソールを開きます。

    3. [許可] タブで、[アクセス許可の追加][インラインポリシーを作成] を選択します。

    4. [アクセス許可を指定] ページの [ポリシーエディタ] で、[JSON] を選択します。

    5. IAM S3 アクションの ロールのアクセス許可 からアクセス許可ポリシーをコピーし、[ポリシーエディタ] に貼り付けて、赤字のテキストのデータを独自のデータに置き換えます。(エディタ内のコード例は、必ずすべて削除します)。

    6. [Next] を選択します。

    7. この IAM ロールのアクセス許可ポリシーの内容を確認し、[ポリシーの作成] をクリックしてポリシーを作成します。

    8. SES [ルールの作成][アクションの追加] ページが開いているブラウザタブをクリックして、ルール作成の残りのステップの実行を続行します。

  • SNS トピック – E メールが S3 バケットに保存された際の通知のための Amazon SNS トピックの名前または ARN。SNS トピック ARN の例は、arn:aws:sns:us-east-1:123456789012:MyTopic となります。アクションを設定する際に [SNS トピックの作成] をクリックして、新しい SNS トピックを作成することもできます。SNS トピックの詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

    注記

    • 選択する SNS トピックは、E メールを受け取る SES エンドポイントと同じ AWS リージョン内に配置されている必要があります。

    • SES 受信ルールに関連付ける SNS トピックでは、お客様が管理する KMS キー暗号化のみを使用してください。SES が SNS に発行できるように、KMS キーポリシーを編集する必要があるためです。これと対照的に、AWS が管理する KMS キーポリシーは、設計上編集できません。