本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 傳送至 S3 儲存貯體動作 **交付至 S3 儲存貯體**動作會將郵件交付至 S3 儲存貯體,並可選擇性地透過 SNS 等方式通知您。此動作有下列選項。 + **S3 儲存貯**體 – 儲存接收電子郵件的 S3 儲存貯體名稱。您也可以選擇建立 S3 儲存貯體,在設定動作時**建立新的 S3 儲存貯體**。Amazon SES 提供您原始、未修改的電子郵件,通常是以多用途網際網路郵件延伸 (MIME) 格式顯示。如需 MIME 格式的詳細資訊,請參閱 [RFC 2045](https://tools.ietf.org/html/rfc2045)。 **重要** Amazon S3 儲存貯體必須存在於[電子郵件接收](regions.md#region-receive-email)可使用 SES 的區域;否則,您必須使用下方說明的 IAM 角色選項。 當您將電子郵件儲存至 S3 儲存貯體時,預設的電子郵件大小上限 (包括標頭) 為 40 MB。 SES 不支援上傳到已啟用物件鎖定且已設定預設保留期的 S3 儲存貯體的接收規則。 如果指定自己的 KMS 金鑰來為 S3 儲存貯體加密,請確保使用完整合格的 KMS 金鑰 ARN,而不是 KMS 金鑰別名;使用別名可能會導致系統使用屬於申請者 (而不是儲存貯體管理員) 的 KMS 金鑰來加密資料。請參閱[對跨帳戶操作使用加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-update-bucket-policy)。 + **物件金鑰字首** – 要在 S3 儲存貯體中使用的選用金鑰名稱字首。金鑰名稱字首可讓您在資料夾結構中組織 S3 儲存貯體。例如,如果您使用*電子郵件*做為**物件金鑰字首**,您的電子郵件會出現在名為 *Email* 的資料夾中的 S3 儲存貯體中。 + **訊息加密** – 將收到的電子郵件訊息交付至 S3 儲存貯體之前,用來加密這些訊息的選項。 + **KMS 加密金鑰** – (如果選取*訊息加密*,則可用。) SES 在將電子郵件儲存至 S3 儲存貯體之前,應該用來加密電子郵件的 AWS KMS 金鑰。您可以使用預設 KMS 金鑰或您在 KMS 中建立的客戶受管金鑰。 **注意** 您選擇的 KMS 金鑰必須與您用來接收電子郵件的 SES 端點位於相同的 AWS 區域。 + 若要使用預設 KMS 金鑰,請在 SES 主控台中設定接收規則時選擇 **aws/ses**。如果您使用 SES API,您可以透過提供 形式的 ARN 來指定預設 KMS 金鑰`arn:aws:kms:REGION:AWSACCOUNTID:alias/aws/ses`。例如,如果 AWS 您的帳戶 ID 為 123456789012,而您想要在 us-east-1 區域中使用預設 KMS 金鑰,則預設 KMS 金鑰的 ARN 會是 `arn:aws:kms:us-east-1:123456789012:alias/aws/ses`。如果您使用預設 KMS 金鑰,則不需要執行任何額外步驟來授予 SES 使用金鑰的許可。 + 若要使用您在 KMS 中建立的客戶受管金鑰,請提供 KMS 金鑰的 ARN,並確保將陳述式新增至金鑰的政策,以授予 SES 使用它的許可。如需提供權限的詳細資訊,請參閱 [給予 Amazon SES 接收電子郵件的許可](receiving-email-permissions.md)。 如需搭配 SES 使用 KMS 的詳細資訊,請參閱 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/services-ses.html)。如果您未在主控台或 API 中指定 KMS 金鑰,SES 將不會加密您的電子郵件。 **重要** 在將郵件提交至 S3 進行儲存之前,SES 會使用 S3 加密用戶端來加密您的郵件。 S3 它不會使用 S3 伺服器端加密進行加密。這表示從 S3 擷取電子郵件之後,您必須使用 S3 加密用戶端來解密電子郵件,因為服務無法存取您的 KMS 金鑰進行解密。此加密用戶端提供 [適用於 Java 的 AWS SDK](https://aws.amazon.com/sdk-for-java/) 和 [適用於 Ruby 的 AWS SDK](https://aws.amazon.com/sdk-for-ruby/) 版本。如需詳細資訊,請參閱 [Amazon Simple Storage Service 使用者指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)。 + **IAM 角色** – SES 用來存取*交付至 S3* 動作 (Amazon S3 儲存貯體、SNS 主題和 KMS 金鑰) 中資源的 IAM 角色。如果未提供,您將需要明確授予 SES 個別存取每個資源的許可,請參閱 [給予 Amazon SES 接收電子郵件的許可](receiving-email-permissions.md)。 如果您想要寫入存在於無法使用 SES *電子郵件接收*的區域中的 S3 儲存貯體,您必須使用具有寫入 S3 許可政策的 IAM 角色作為角色的內嵌政策。您可以直接從主控台套用此動作的許可政策: 1. 在 **IAM ****角色**欄位中選擇建立新角色,然後輸入名稱,後面接著**建立角色**。(此角色的 IAM 信任政策會自動在背景產生。) 1. 由於 IAM 信任政策是自動產生的,您只需將動作的許可政策新增至角色 - 選取 IAM 角色欄位下的**檢視**角色以開啟 IAM 主控台。 **** 1. 在**許可**索引標籤下,選擇**新增許可**,然後選取**建立內嵌政策**。 1. 在**指定許可**頁面上,選取**政策編輯器**中的 **JSON**。 1. 將許可政策從 複製並貼[S3 動作的 IAM 角色許可](receiving-email-permissions.md#receiving-email-permissions-s3-iam-role)到**政策編輯器**中,並以您自己的紅色文字取代資料。(請務必刪除編輯器中的任何範例程式碼。) 1. 選擇**下一步**。 1. 選擇建立政策,以檢閱並建立 IAM 角色的許可**政策**。 1. 選取瀏覽器的索引標籤,在其中開啟 SES **Create rule**–**Add action** page,然後繼續建立規則的其餘步驟。 + **SNS 主題** – 電子郵件儲存至 S3 儲存貯體時要通知的 Amazon SNS 主題名稱或 ARN。SNS 主題 ARN 的範例為 *arn:aws:sns:us-east-1:123456789012:MyTopic*。您也可以選擇建立 SNS 主題,在設定動作時**建立 SNS 主題**。如需 SNS 主題的詳細資訊,請參閱《[Amazon Simple Notification Service 開發人員指南](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html)》。 **注意** 您選擇的 SNS 主題必須與您用來接收電子郵件的 SES 端點位於相同的 AWS 區域。 僅使用*客戶受*管 KMS 金鑰加密搭配與 SES 接收規則相關聯的 SNS 主題,因為您必須編輯 KMS 金鑰政策,才能允許 SES 發佈至 SNS。這與設計無法編輯的*AWS 受管* KMS 金鑰政策相反。