AWS: SES规则: S3操作:在选择已启用加密的桶时失败

Question

我不能创建一个SES规则，把电子邮件放入一个S3桶，已启用加密(在桶上)。

• 创建了一个桶并启用了加密。
• 添加允许SES的SESPut桶策略。https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-permissions.html
• 将SES S3规则配置为将电子邮件放入所述桶中，但在保存期间我得到了错误：“无法写入桶”
• 更改桶，删除加密
• SES规则保存现在成功。

这可能只是在某个地方需要另一种策略，或者我缺少关于AWS加密的东西来解释为什么上述步骤失败，以及为什么SES将客户端加密作为一种选择？

更新

我已经将一个策略(谢谢@shonkylinuxuser)添加到存储桶加密属性下配置的KMS密钥中(如AWS文档所示)：

{
  "Sid": "Allow SES to encrypt messages using this master key",
  "Effect": "Allow",
  "Principal": {"Service": "ses.amazonaws.com"},
  "Action": [
   "kms:Encrypt",
   "kms:GenerateDataKey*"
  ],
  "Resource": "*",
  "Condition": {
    "Null": {
      "kms:EncryptionContext:aws:ses:rule-name": false,
      "kms:EncryptionContext:aws:ses:message-id": false
    },
    "StringEquals": {"kms:EncryptionContext:aws:ses:source-account": "1234567890"}
  }
}

例外:在保存SES规则时，策略仍然会导致相同的错误。但是，如果我去掉所有的“条件”S，那么我能成功地保存它吗？

--

相关：AWS加密与S3桶加密

Answer 1

反应确实很晚，但只是遇到了同样的问题。我能够让SSE使用对KMS密钥策略的更新，从而允许S3访问KMS。

            {
              "Condition": {
                "StringEquals": {
                  "kms:ViaService": "s3.<your s3 bucket region>.amazonaws.com"
                },
                "StringLike": {
                  "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::<your S3 bucket name>/*"
                }
              },
              "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Principal": {
                "Service": "ses.amazonaws.com"
              },
              "Sid": "SES Access to CMK for S3 SSE-KMS"
            }

当您使用SSE时，它的实际S3代表正在对S3桶执行put操作的主体访问KMS键。因此，该策略允许S3在SES试图与S3一起使用密钥时访问KMS密钥。