Einrichten von VPC-Endpunkten mit Amazon SES

Viele Amazon SES-Kunden verfügen über Unternehmensrichtlinien, die die Fähigkeit ihrer internen Systeme, sich mit dem öffentlichen Internet zu verbinden, einschränken. Diese Richtlinien verhindern, dass die öffentlichen Amazon-SES-Endpunkte verwendet werden.

Wenn Sie über ähnliche Richtlinien verfügen, können Sie innerhalb dieser Einschränkungen arbeiten, indem Sie Amazon Virtual Private Cloud verwenden. Mit Amazon VPC können Sie AWS-Ressourcen in einem virtuellen Netzwerk bereitstellen, das in einem isolierten Bereich der AWS Cloud-Cloud existiert. Weitere Informationen zur Amazon VPC-Sicherheit finden Sie unter Sicherheit im Amazon VPC-Benutzerhandbuch.

Sie können über einen VPC-Endpunkt auf sichere und skalierbare Weise direkt von Amazon VPC eine Verbindung mit SES herstellen. Wenn Sie einen Schnittstellen-VPC-Endpunkt verwenden, wird eine bessere Sicherheitslage ermöglicht, da Sie keine Firewalls für ausgehenden Datenverkehr öffnen müssen. Außerdem ergeben sich weitere Vorteile aus der Verwendung von Amazon-VPC-Endpunkten.

Wenn Sie einen VPC-Endpunkt verwenden, wird der Datenverkehr an SES nicht über das Internet übertragen und verlässt niemals das Amazon-Netzwerk, um Ihre VPC ohne Verfügbarkeitsrisiken oder Bandbreitenbeschränkungen für Ihren Netzwerkverkehr sicher mit SES zu verbinden. Sie können SES in Ihrer Infrastruktur mit mehreren Konten zentralisieren und es als Service für Ihre Konten bereitstellen, ohne ein Internet-Gateway verwenden zu müssen.

Einschränkungen

• SES unterstützt keine VPC-Endpunkte in den folgenden Availability Zones: use1-az2, use1-az3, use1-az5, usw1-az2, usw2-az4, apne2-az4, cac1-az3 und cac1-az4.

• Der SMTP-Endpunkt, der in der VPC verwendet wird, ist auf die AWS-Region beschränkt, die aktuell für Ihr Konto verwendet wird.

Anleitungsbeispiel für die Einrichtung von SES in Amazon VPC

Voraussetzungen

Bevor Sie das Verfahren in diesem Abschnitt ausführen, müssen Sie die folgenden Schritte ausführen:

• Sie benötigen eine vorhandene Virtual Private Cloud (VPC) oder müssen eine neue VPC erstellen. Weitere Informationen finden Sie unter Erste Schritte mit Amazon VPC.

• Starten Sie eine Amazon-EC2-Instance in Ihrer VPC, um die Verbindung mit dem VPC-Endpunkt zu testen, der in einem späteren Schritt erstellt wird. Weitere Informationen finden Sie unter Standard-VPCs.

  Anmerkung

  VPC-Endpunkte für SES können zwar mit jeder Ressource verwendet werden, zur Vereinfachung der Testmethode verwenden Sie in diesem Beispiel jedoch eine EC2-Instance als Ressource. Da Amazon EC2 den E-Mail-Verkehr über Port 25 standardmäßig einschränkt, müssen Sie einen anderen Port als TCP 25 verwenden, z. B. TCP 465, 587, 2465 oder 2587.

Einrichten von SES in Amazon VPC

Der Vorgang zum Einrichten eines VPC-Endpunkts zur Verwendung mit SES besteht aus wenigen separaten Schritten. Zuerst müssen Sie eine Sicherheitsgruppe erstellen, die es der Instance ermöglicht, mit SMTP-Ports zu kommunizieren. Dann erstellen Sie einen VPC-Endpunkt für Amazon SES und testen schließlich die Verbindung mit dem VPC-Endpunkt, um sicherzustellen, dass er richtig konfiguriert ist.

Schritt 1: Erstellen der Sicherheitsgruppe

In diesem Schritt erstellen Sie eine Sicherheitsgruppe, die die Amazon-EC2-Instances mit dem VPC-Schnittstellenendpunkt kommunizieren lässt, den Sie erstellen werden.

So erstellen Sie die Sicherheitsgruppe

1. Wählen Sie im Navigationsbereich der Amazon EC2-Konsole unter Network & Security (Netzwerk und Sicherheit) die Option Security Groups (Sicherheitsgruppen) aus.

2. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

3. Gehen Sie unter Basic details (Grundlegende Angaben) wie folgt vor:

   • Geben Sie unter Security group name (Name der Sicherheitsgruppe) einen eindeutigen Namen ein, der die Sicherheitsgruppe identifiziert.

   • Geben Sie für Description (Beschreibung) einen Text ein, der den Zweck der Sicherheitsgruppe beschreibt.

   • Wählen Sie unter VPC die VPC aus, in der Sie Amazon SES verwenden möchten.

4. Wählen Sie unter Inbound rules (Regeln für eingehenden Datenverkehr) die Option Add rule (Regel hinzufügen).

5. Für die neue Eingehende Regel gehen Sie folgendermaßen vor:

   • Wählen Sie für Type (Typ) die Option Custom TCP (Benutzerdefiniertes TCP) aus.

   • Geben Sie unter Port range (Portbereich) die Portnummer ein, die Sie für den E-Mail-Versand verwenden möchten. Sie können eine der folgenden Portnummern verwenden: 465, 587, 2465 oder 2587.

   • Wählen Sie für den Source type (Quelltyp) die Option Custom (Benutzerdefiniert).

   • Geben Sie als Quelle den privaten IP-CIDR-Bereich oder andere Sicherheitsgruppen-IDs ein, die die Ressourcen enthalten, die den VPC-Endpunkt für die Kommunikation mit dem SES-Service verwenden.

   • (Wiederholen Sie die Schritte 4 bis 5 für jeden CIDR-Bereich oder jede Sicherheitsgruppe, von dem bzw. der aus Sie Zugriff gewähren möchten.)

6. Wenn Sie fertig sind, wählen Sie Create security group (Sicherheitsgruppe erstellen).

Schritt 2: Erstellen des VPC-Endpunkts

In Amazon VPC können Sie Ihre VPC über einen VPC-Endpunkt mit unterstütztenAWS -Services verbinden. In diesem Beispiel konfigurieren Sie Amazon VPC so, dass Ihre Amazon-EC2-Sicherheitsgruppe eine Verbindung mit Amazon SES herstellen kann.

Erstellen des VPC-Endpunkts

1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie unter Virtual Private Cloud die Option Endpoints (Endpunkte) aus.

3. Klicken Sie auf Create Endpoint (Endpunkt erstellen), um die Seite Create Endpoint (Endpunkt erstellen) zu öffnen.

4. (Optional) Erstellen Sie im Bereich Endpoint settings (Endpunkt-Einstellungen) ein Tag im Feld Name tag (Tag benennen).

5. Wählen Sie als Service category (Servicekategorie) die Option AWS services (AWS-Services) aus.

6. Filtern Sie im Bereich Services in der Suchleiste nach SMTP und wählen Sie dann das entsprechende Optionsfeld aus.

7. Klicken Sie im Bereich VPC in die Suchleiste und wählen Sie eine VPC aus dem Listenfeld aus (siehe Voraussetzungen).

8. Wählen Sie im Bereich Subnets (Subnetze) die Option Availability Zones und Subnet-IDs (Subnetz-IDs) aus.

   Anmerkung

   Amazon SES unterstützt keine VPC-Endpunkte in den folgenden Availability Zones: use1-az2, use1-az3, use1-az5, usw1-az2, usw2-az4, apne2-az4, cac1-az3 und cac1-az4.

9. Wählen Sie im Bereich Security Groups (Sicherheitsgruppen) die Sicherheitsgruppe aus, die Sie zuvor erstellt haben.

10. (Optional) Im Bereich Tags können Sie ein oder mehrere Tags erstellen.

11. Wählen Sie Create endpoint (Endpunkt erstellen). Warten Sie etwa 5 Minuten, während Amazon VPC den Endpunkt erstellt. Wenn der Endpunkt einsatzbereit ist, ändert sich der Wert in der Spalte Status auf Status auf Available (Verfügbar).

(Optional) Schritt 3: Testen der Verbindung mit dem VPC-Endpunkt

Wenn Sie die Konfiguration des VPC-Endpunkts abgeschlossen haben, können Sie die Verbindung testen, um sicherzustellen, dass der VPC-Endpunkt korrekt konfiguriert ist. Sie können die Verbindung testen, indem Sie Befehlszeilen-Tools verwenden, die mit den meisten Betriebssystemen mitgeliefert werden.

So testen Sie die Verbindung zum VPC-Endpunkt

1. Starten Sie eine Amazon-EC2-Instance in derselben VPC, in der Sie gerade den VPC-Endpunkt „email-smtp“ erstellt haben.

   Informationen zum Verbinden mit einer Linux-Instance finden Sie unter Verbinden Sie sich mit der Linux-Instance im Leitfaden Amazon EC2-Benutzerhandbuch für Linux-Instances.

   Weitere Information über das Verbinden mit Windows-Instances finden Sie unter Erste Schritte imAmazon-EC2-Benutzerhandbuch für Windows-Instances.

2. Senden Sie eine Test-E-Mail-Nachricht, beispielsweise mithilfe der SES-SMTP-Schnittstelle.

   Anmerkung

   Sie müssen eine E-Mail-Adresse oder Domain verifizieren, bevor Sie E-Mails über Amazon SES versenden können. Weitere Informationen zur Überprüfung von Identitäten finden Sie unter Erstellen und verifizieren von Identitäten in Amazon SES.