AWS SES 加密与 S3 存储桶加密

塞拉利昂

SES 规则的配置允许将电子邮件放入 S3 存储桶。在此配置下，可以使用“KMS 密钥”选项，该选项将使 SES 加密电子邮件前将其发送/放入存储桶。具体来说，使用客户端加密 (CSE) 而不是服务器端加密 (SSE)

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-action-s3.html

S3

您还可以配置 S3 存储桶的属性以在上传对象时对其进行加密。（SSE）

语境

• 存储桶只能通过代码（我们的系统和/或 AWS Lambda）访问，即不需要区分不同的用户/角色/等等

问题

• 为什么要使用

  1. 启用 CSE 加密 + 禁用 S3 SSE 加密的 SES S3 操作 代替
  2. 已禁用 CSE 加密的 SES S3 操作 + 已启用 S3 SSE 加密

（我不太关心 SES 加密 + S3 加密）

• 这与 SES 和 S3 之间的电子邮件内容传输有关吗？这会有什么风险？这种传输不是 AWS 内部的吗？

边注

1. 创建了一个存储桶并启用了加密。
2. 添加 SESPut 存储桶策略以允许 SES。https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-permissions.html
3. 配置 SES S3 规则以将电子邮件放入所述存储桶，但在保存期间出现错误：“无法写入存储桶”
4. 更改存储桶，删除加密
5. SES 规则保存现已成功。

这可能只是因为某个地方需要另一个策略，或者我是否遗漏了有关 AWS 加密的某些信息，从而解释了上述步骤失败的原因以及为什么 SES 将客户端加密作为选项？

（我在另一个问题中问过这个问题：AWS SES-使用存储桶加密写入存储桶的 S3 规则失败）