S3-Bucket-Richtlinie, um sicherzustellen, dass von SES gespeicherte E-Mails verschlüsselt werden

Question

Ich habe einen S3-Bucket, in dem SES E-Mails speichert. Ich möchte über eine S3-Bucket-Policy sicherstellen, dass die gespeicherten Objekte verschlüsselt werden.

Die beschriebene Methode here funktioniert nicht. Die hochgeladenen Objekte scheinen nicht gesetzt s3:x-amz-server-side-encryption ist nicht festgelegt, auch die Verschlüsselung ist in SES aktiviert.

Es gibt weitere Tags, z. B. x-amz-meta-x-amz-matdesc enthält die KMS-Schlüssel-ID. Also habe ich versucht:

"Effect": "Deny", 
"Principal": "*", 
"Action": "s3:PutObject", 
    "Resource": "arn:aws:s3:::MY_BUCKET/*", 
    "Condition": { 
    "StringNotLike": { 
     "x-amz-meta-x-amz-matdesc": "kms_cmk_id*" 
    } 
} 

Aber diese Politik wird nicht akzeptiert.

Answer 1

Mit dieser Richtlinie können Sie sicherstellen, dass die Daten verschlüsselt sind. Die unten stehende Richtlinie funktioniert nur, wenn Ihre E-Mails verschlüsselt sind. Überprüfen Sie diese Anleitung, um die E-Mail in SES zu verschlüsseln.

http://docs.aws.amazon.com/kms/latest/developerguide/services-ses.html#services-ses-overview

{ 
    "Version":"2012-10-17", 
    "Id":"PutObjPolicy", 
    "Statement":[{ 
     "Sid":"DenyUnEncryptedObjectUploads", 
     "Effect":"Deny", 
     "Principal":"*", 
     "Action":"s3:PutObject", 
     "Resource":"arn:aws:s3:::YourBucket/*", 
     "Condition":{ 
      "StringNotEquals":{ 
       "s3:x-amz-server-side-encryption":"aws:kms" 
      } 
     } 
     } 
    ] 
} 

Answer 2

prüfen dieses Blog-Post aus. Durch das Verschlüsseln der SES-Nachricht wird s3: x-amz-serverseitige Verschlüsselung nicht festgelegt. Wenn Sie z. B. verschlüsselten Text an s3 senden, der auf der Clientseite verschlüsselt ist, wird der Header s3: x-amz-serverseitige Verschlüsselung nicht festgelegt. Da der Header nicht festgelegt ist, können Sie die SES-Nachricht nicht hochladen, obwohl die Nachricht verschlüsselt ist. Natürlich wird dies den verschlüsselten Text verschlüsseln. Sie sind nicht sicher, was Sie erreichen möchten, aber Sie könnten die SES-Nachricht im Nur-Text-Format an s3 senden und sich auf s3 verlassen, um sie zu verschlüsseln, wodurch der http-Header in der unten stehenden Richtlinie festgelegt würde.

Sie müssen die Verschlüsselungsrichtlinie beim Hochladen auf s3, glaube ich, dass das Problem ist.

https://blogs.aws.amazon.com/security/post/Tx2R0GFOXFYEDM5/How-to-Prevent-Uploads-of-Unencrypted-Objects-to-Amazon-S3

{ 
    "Version": "2012-10-17", 
    "Id": "PutObjPolicy", 
    "Statement": [ 
      { 
       "Sid": "DenyIncorrectEncryptionHeader", 
       "Effect": "Deny", 
       "Principal": "*", 
       "Action": "s3:PutObject", 
       "Resource": "arn:aws:s3:::<bucket_name>/*", 
       "Condition": { 
         "StringNotEquals": { 
           "s3:x-amz-server-side-encryption": "AES256" 
         } 
       } 
      }, 
      { 
       "Sid": "DenyUnEncryptedObjectUploads", 
       "Effect": "Deny", 
       "Principal": "*", 
       "Action": "s3:PutObject", 
       "Resource": "arn:aws:s3:::<bucket_name>/*", 
       "Condition": { 
         "Null": { 
           "s3:x-amz-server-side-encryption": true 
         } 
       } 
      } 
    ] 
}