Ação Deliver to S3 bucket (Entregar ao bucket do S3) - Amazon Simple Email Service

Ação Deliver to S3 bucket (Entregar ao bucket do S3)

A ação Entregar ao bucket do S3 entrega o e-mail para um bucket do S3 e, opcionalmente, notifica você pelo SNS e mais. Essa ação tem as seguintes opções.

  • Bucket do S3: o nome do bucket do S3 no qual salvar e-mails recebidos. Você também pode criar um novo bucket do S3 ao criar sua ação escolhendo Criar bucket do S3. O Amazon SES fornece o e-mail bruto, não modificado, normalmente no formato Multipurpose Internet Mail Extensions (MIME). Para obter mais informações sobre o formato MIME, consulte RFC 2045.

    Importante

    • O bucket do Amazon S3 deve existir em uma região onde o SES Recebimento de e-mail está disponível; caso contrário, você deve usar a opção de perfil do IAM explicada abaixo.

    • Quando você salva seus e-mails em um bucket do S3, o tamanho máximo padrão do e-mail (incluindo cabeçalhos) é de 40 MB.

    • O SES não é compatível com regras de recebimento que são carregadas para buckets do S3 habilitados com o bloqueio de objeto configurado com um período padrão de retenção.

    • Se estiver aplicando criptografia no bucket do S3 por meio da especificação de sua própria chave do KMS, use o ARN totalmente qualificado da chave do KMS e não o alias da chave do KMS. Se for usado o alias, os dados podem acabar sendo criptografados com uma chave do KMS que pertence ao solicitante e não ao administrador do bucket. Consulte Using encryption for cross-account operations (Usar criptografia para operações entre contas).

  • Prefixo de chave de objeto: aquele a ser usado no bucket do S3. Os prefixos de nomes de chave permitem que você organize o bucket do S3 em uma estrutura de pastas. Por exemplo, se você usar o E-mail como Prefixo de chave de objeto, seus e-mails serão exibidos no bucket do S3 em uma pasta chamada E-mail.

  • Criptografia de mensagens: a opção de criptografar mensagens de e-mail recebidas antes de entregá-las ao seu bucket do S3.

  • Chave de criptografia do KMS: (disponível se a Criptografia de mensagens estiver selecionada.) A chave do AWS KMS que o SES deve usar para criptografar seus e-mails antes de salvá-los no bucket do S3. Você pode usar a chave padrão do KMS ou uma chave gerenciada pelo cliente que você criou no KMS.

    nota

    A chave do KMS escolhida deve estar na mesma região da AWS que o endpoint do SES usado para receber e-mail.

    • Para usar a chave do KMS padrão, escolha aws/ses quando configurar a regra de recebimento no console do SES. Se você usar a API do SES, poderá especificar a chave padrão do KMS fornecendo um ARN na forma de arn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses. Por exemplo, se o seu ID da conta da AWS for 123456789012 e você desejar usar a chave padrão do KMS na região us-east-1, o ARN da chave do KMS padrão seria arn:aws:kms:us-east-1:123456789012:alias/aws/ses. Se você usar a chave padrão do KMS, não será necessário realizar etapas extras para conceder permissão ao SES para usar a chave.

    • Para usar uma chave gerenciada pelo cliente que você criou no KMS, forneça o ARN da chave do KMS e adicione uma instrução à sua política de chave para conceder ao SES permissão para usá-la. Para obter mais informações sobre concessão de permissões, consulte Concessão de permissões ao Amazon SES para recebimento de e-mails.

    Para obter mais informações sobre o uso do KMS com o SES, consulte o Guia do desenvolvedor do AWS Key Management Service. Se você não especificar uma chave do KMS no console ou na API, o SES não criptografará seus e-mails.

    Importante

    Seu e-mail é criptografado pelo SES usando o cliente de criptografia do S3 antes que ele seja enviado para o S3 para armazenamento. Ele não é criptografado usando a criptografia no lado do servidor do S3. Ou seja, você deve usar o cliente de criptografia do S3 para descriptografar o e-mail depois de recuperá-lo do S3, pois o serviço não tem acesso para usar suas chaves do KMS para a descriptografia. Esse cliente de criptografia está disponível no AWS SDK for Java e no AWS SDK for Ruby. Para obter mais detalhes, consulte o Guia do usuário do Amazon Simple Storage Service.

  • Perfil do IAM: aquele a ser usado pelo SES para acessar os recursos na ação Entregar ao S3 (bucket do Amazon S3, tópico do SNS e chave do KMS). Se não for fornecido, você precisará conceder explicitamente permissões ao SES para acessar cada recurso individualmente. Consulte Concessão de permissões ao Amazon SES para recebimento de e-mails.

    Se você quiser gravar em um bucket do S3 que existe em uma região onde o recebimento de e-mails do SES não está disponível, você deve usar um perfil do IAM que tenha a política de permissão de gravação no S3 como uma política em linha do perfil. Você pode aplicar a política de permissão para essa ação diretamente pelo console:

    1. Escolha Criar novo perfil no campo Perfil do IAM, insira um nome e selecione Criar perfil. (A política de confiança do IAM para esse perfil será gerada automaticamente em segundo plano.)

    2. Uma vez que a política de confiança do IAM foi gerada automaticamente, você só precisará adicionar a política de permissão da ação ao perfil. Selecione Visualizar perfil em Perfil do IAM para abrir o console do IAM.

    3. Na guia Permissões, selecione Adicionar permissões e Criar política em linha.

    4. Na página Especificar permissões, selecione JSON no Editor de política.

    5. Copie e cole a política de permissão de Permissões de perfil do IAM para ação do S3 para o Editor de política e substitua os dados de texto em vermelho pelos seus próprios dados. (Não se esqueça de excluir qualquer código de exemplo no editor.)

    6. Escolha Próximo.

    7. Revise e crie sua política de permissão para o perfil do IAM selecionando Criar política.

    8. Selecione a guia do seu navegador em que está aberta a página do SES Criar regra: Adicionar ações e continue com as etapas restantes para criar regras.

  • Tópico do SNS: o nome ou o ARN do tópico do Amazon SNS a ser notificado quando um e-mail for salvo no bucket do S3. Um exemplo de ARN de um tópico do SNS é arn:aws:sns:us-east-1:123456789012:MyTopic. Você também pode criar um tópico do SNS ao criar sua ação selecionando Criar tópico do SNS. Para obter mais informações sobre tópicos do SNS, consulte o Guia do desenvolvedor do Amazon Simple Notification Service.

    nota

    • O tópico do SNS escolhido deve estar na mesma região da AWS que o endpoint do SES usado para receber e-mail.

    • Use somente a criptografia de chave do KMS gerenciada pelo cliente com tópicos do SNS associados às regras de recebimento do SES, pois você precisará editar a política de chave do KMS para permitir que o SES publique no SNS. Isso contrasta com as políticas de chave do KMS gerenciadas pela AWS, que não podem ser editadas por padrão.