As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Ação Deliver to S3 bucket (Entregar ao bucket do S3) A ação **Entregar ao bucket do S3** entrega o e-mail para um bucket do S3 e, opcionalmente, notifica você pelo SNS e mais. Essa ação tem as seguintes opções. + **Bucket do S3**: o nome do bucket do S3 no qual salvar e-mails recebidos. Você também pode criar um novo bucket do S3 ao criar sua ação escolhendo **Criar bucket do S3**. O Amazon SES fornece o e-mail bruto, não modificado, normalmente no formato Multipurpose Internet Mail Extensions (MIME). Para obter mais informações sobre o formato MIME, consulte [RFC 2045](https://tools.ietf.org/html/rfc2045). **Importante** O bucket do Amazon S3 deve existir em uma região onde o SES [Recebimento de e-mail](regions.md#region-receive-email) está disponível; caso contrário, você deve usar a opção de perfil do IAM explicada abaixo. Quando você salva seus e-mails em um bucket do S3, o tamanho máximo padrão do e-mail (incluindo cabeçalhos) é de 40 MB. O SES não é compatível com regras de recebimento que são carregadas para buckets do S3 habilitados com o bloqueio de objeto configurado com um período padrão de retenção. Se estiver aplicando criptografia no bucket do S3 por meio da especificação de sua própria chave do KMS, use o ARN totalmente qualificado da chave do KMS e não o alias da chave do KMS. Se for usado o alias, os dados podem acabar sendo criptografados com uma chave do KMS que pertence ao solicitante e não ao administrador do bucket. Consulte [Using encryption for cross-account operations](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-update-bucket-policy) (Usar criptografia para operações entre contas). + **Prefixo de chave de objeto**: aquele a ser usado no bucket do S3. Os prefixos de nomes de chave permitem que você organize o bucket do S3 em uma estrutura de pastas. Por exemplo, se você usar o *E-mail* como **Prefixo de chave de objeto**, seus e-mails serão exibidos no bucket do S3 em uma pasta chamada *E-mail*. + **Criptografia de mensagens**: a opção de criptografar mensagens de e-mail recebidas antes de entregá-las ao seu bucket do S3. + **Chave de criptografia do KMS**: (disponível se a *Criptografia de mensagens* estiver selecionada.) A chave do AWS KMS que o SES deve usar para criptografar seus e-mails antes de salvá-los no bucket do S3. Você pode usar a chave padrão do KMS ou uma chave gerenciada pelo cliente que você criou no KMS. **nota** A chave do KMS escolhida deve estar na mesma região da AWS que o endpoint do SES usado para receber e-mail. + Para usar a chave do KMS padrão, escolha **aws/ses** quando configurar a regra de recebimento no console do SES. Se você usar a API do SES, poderá especificar a chave padrão do KMS fornecendo um ARN na forma de `arn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses`. Por exemplo, se o seu ID da conta da AWS for 123456789012 e você desejar usar a chave padrão do KMS na região us-east-1, o ARN da chave do KMS padrão seria `arn:aws:kms:us-east-1:123456789012:alias/aws/ses`. Se você usar a chave padrão do KMS, não será necessário realizar etapas extras para conceder permissão ao SES para usar a chave. + Para usar uma chave gerenciada pelo cliente que você criou no KMS, forneça o ARN da chave do KMS e adicione uma instrução à sua política de chave para conceder ao SES permissão para usá-la. Para obter mais informações sobre concessão de permissões, consulte [Concessão de permissões ao Amazon SES para recebimento de e-mails](receiving-email-permissions.md). Para obter mais informações sobre o uso do KMS com o SES, consulte o [Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/services-ses.html). Se você não especificar uma chave do KMS no console ou na API, o SES não criptografará seus e-mails. **Importante** Seu e-mail é criptografado pelo SES usando o cliente de criptografia do S3 antes que ele seja enviado para o S3 para armazenamento. Ele não é criptografado usando a criptografia no lado do servidor do S3. Ou seja, você deve usar o cliente de criptografia do S3 para descriptografar o e-mail depois de recuperá-lo do S3, pois o serviço não tem acesso para usar suas chaves do KMS para a descriptografia. Esse cliente de criptografia está disponível no [AWS SDK para Java](https://aws.amazon.com/sdk-for-java/) e no [AWS SDK para Ruby](https://aws.amazon.com/sdk-for-ruby/). Para obter mais detalhes, consulte o [Guia do usuário do Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html). + **Perfil do IAM**: aquele a ser usado pelo SES para acessar os recursos na ação *Entregar ao S3* (bucket do Amazon S3, tópico do SNS e chave do KMS). Se não for fornecido, você precisará conceder explicitamente permissões ao SES para acessar cada recurso individualmente. Consulte [Concessão de permissões ao Amazon SES para recebimento de e-mails](receiving-email-permissions.md). Se você quiser gravar em um bucket do S3 que existe em uma região onde o *recebimento de e-mails* do SES não está disponível, você deve usar um perfil do IAM que tenha a política de permissão de gravação no S3 como uma política em linha do perfil. Você pode aplicar a política de permissão para essa ação diretamente pelo console: 1. Escolha **Criar novo perfil** no campo **Perfil do IAM**, insira um nome e selecione **Criar perfil**. (A política de confiança do IAM para esse perfil será gerada automaticamente em segundo plano.) 1. Uma vez que a política de confiança do IAM foi gerada automaticamente, você só precisará adicionar a política de permissão da ação ao perfil. Selecione **Visualizar perfil** em **Perfil do IAM** para abrir o console do IAM. 1. Na guia **Permissões**, selecione **Adicionar permissões** e **Criar política em linha**. 1. Na página **Especificar permissões**, selecione **JSON** no **Editor de política**. 1. Copie e cole a política de permissão de [Permissões de perfil do IAM para ação do S3](receiving-email-permissions.md#receiving-email-permissions-s3-iam-role) para o **Editor de política** e substitua os dados de texto em vermelho pelos seus próprios dados. (Não se esqueça de excluir qualquer código de exemplo no editor.) 1. Escolha **Próximo**. 1. Revise e crie sua política de permissão para o perfil do IAM selecionando **Criar política**. 1. Selecione a guia do seu navegador em que está aberta a página do SES **Criar regra**: **Adicionar ações** e continue com as etapas restantes para criar regras. + **Tópico do SNS**: o nome ou o ARN do tópico do Amazon SNS a ser notificado quando um e-mail for salvo no bucket do S3. Um exemplo de ARN de um tópico do SNS é *arn:aws:sns:us-east-1:123456789012:MyTopic*. Você também pode criar um tópico do SNS ao criar sua ação selecionando **Criar tópico do SNS**. Para obter mais informações sobre tópicos do SNS, consulte o [Guia do desenvolvedor do Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html). **nota** O tópico do SNS escolhido deve estar na mesma região da AWS que o endpoint do SES usado para receber e-mail. Use somente a criptografia de chave do KMS *gerenciada pelo cliente* com tópicos do SNS associados às regras de recebimento do SES, pois você precisará editar a política de chave do KMS para permitir que o SES publique no SNS. Isso contrasta com as políticas de chave do KMS *gerenciadas pela AWS*, que não podem ser editadas por padrão.