AWS加密与S3桶加密

Question

SES

SES规则的配置允许将电子邮件放入S3桶中。在这种配置下，选项"KMS Key“是可用的，这将使SES在发送/将其放入桶中之前对电子邮件进行加密。具体来说，使用客户端加密(CSE)而不是服务器端加密(SSE)。

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-action-s3.html

S3

还可以配置S3桶的属性，以便在上传对象时对其进行加密。(SSE)

上下文

• 只能通过代码(我们的系统和/或AWS Lambda)访问桶(不需要分离不同的用户/角色/等等)

问题

• 为什么要使用
  1. 启用CSE加密+禁用S3 SSE加密的S3 S3操作
  2. 启用CSE加密+ S3 SSE加密的SES S3操作

(我不太关心SES加密+ S3加密)

• 这与SES和S3之间电子邮件内容的传输有关吗？这在何种程度上可能是一个风险，这种转移不是内部的AWS？

边注

1. 创建了一个桶并启用了加密。
2. 添加允许SES的SESPut桶策略。https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-permissions.html
3. 将SES S3规则配置为将电子邮件放入所述桶中，但在保存期间我得到了错误：“无法写入桶”
4. 更改桶，删除加密
5. SES规则保存现在成功。

这可能只是在某个地方需要另一种策略，或者我缺少关于AWS加密的东西来解释为什么上述步骤失败，以及为什么SES将客户端加密作为一种选择？

(我在另一个问题中提出了这个问题：用桶加密写入桶的S3规则失败)

Answer 1

对于你的问题，如果你有一个共享的桶，并且用其他人无法访问的密钥加密电子邮件，你仍然可以在那里存储加密的电子邮件，而不把它们暴露给共享这个桶的其他人。