塞拉利昂
SES 规则的配置允许将电子邮件放入 S3 存储桶。在此配置下,可以使用“KMS 密钥”选项,该选项将使 SES 加密电子邮件前将其发送/放入存储桶。具体来说,使用客户端加密 (CSE) 而不是服务器端加密 (SSE)
https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-action-s3.html
S3
您还可以配置 S3 存储桶的属性以在上传对象时对其进行加密。(SSE)
语境
- 存储桶只能通过代码(我们的系统和/或 AWS Lambda)访问,即不需要区分不同的用户/角色/等等
问题
为什么要使用
- 启用 CSE 加密 + 禁用 S3 SSE 加密的 SES S3 操作 代替
- 已禁用 CSE 加密的 SES S3 操作 + 已启用 S3 SSE 加密
(我不太关心 SES 加密 + S3 加密)
- 这与 SES 和 S3 之间的电子邮件内容传输有关吗?这会有什么风险?这种传输不是 AWS 内部的吗?
边注
- 创建了一个存储桶并启用了加密。
- 添加 SESPut 存储桶策略以允许 SES。https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-permissions.html
- 配置 SES S3 规则以将电子邮件放入所述存储桶,但在保存期间出现错误:“无法写入存储桶”
- 更改存储桶,删除加密
- SES 规则保存现已成功。
这可能只是因为某个地方需要另一个策略,或者我是否遗漏了有关 AWS 加密的某些信息,从而解释了上述步骤失败的原因以及为什么 SES 将客户端加密作为选项?
(我在另一个问题中问过这个问题:AWS SES-使用存储桶加密写入存储桶的 S3 规则失败)
答案1
对于您的问题,如果您有一个共享存储桶,并使用其他有权访问该存储桶的人无法获得的密钥加密电子邮件,那么您仍然可以将加密的电子邮件存储在那里,而不会将它们暴露给共享该存储桶的其他人。