为 Amazon SES 设置 VPC 端点 - Amazon Simple Email Service
在 Amazon VPC 中设置 SES 的演练示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon SES 设置 VPC 端点

很多 Amazon SES 客户制定了公司策略,以限制其内部系统连接到公有 Internet。这些策略禁止使用公有 Amazon SES 端点。

如果您有类似的策略,您可以使用 Amazon Virtual Private Cloud 以确保不超出这些限制。借助 Amazon VPC,您可以将 AWS 资源部署到位于隔离区域中的虚拟网络中 AWS Cloud。有关 Amazon VPC 的更多信息,请参阅《Amazon VPC 用户指南》。

您可以通过安全且可扩缩的方式,通过 VPC 端点直接从 Amazon VPC 连接到 SES。当您使用接口 VPC 端点时,它提供更好的安全态势,因为您无需打开出站流量防火墙,同时还提供使用 Amazon VPC 端点的其他好处。

使用 VPC 端点时,流向 SES 的流量不会通过互联网传输,也从不会离开 Amazon 网络,以便在不存在可用性风险或网络流量带宽限制的情况下安全地将您的 VPC 连接到 SES。您可以在多账户基础设施中集中管理 SES,并将其作为服务提供给您的账户,而无需使用互联网网关。

限制

  • SES 在以下可用区中不支持 VPC 端点:use1-az2use1-az3use1-az5usw1-az2usw2-az4apne2-az4cac1-az3cac1-az4

  • VPC 中使用的 SMTP 端点仅限于当前用于您账户的 AWS 区域 。

在 Amazon VPC 中设置 SES 的演练示例

先决条件

在完成本节中的过程之前,您必须完成以下步骤:

  • 拥有现有的虚拟私有云(VPC)或创建新的 VPC。有关过程,请参阅开始使用 Amazon VPC

  • 在您的 VPC 中启动一个 Amazon EC2 实例,以测试与稍后步骤中创建的 VPC 终端节点的连接。有关更多信息,请参阅默认 VPCs

    注意

    虽然 SES 的 VPC 终端节点可以与任何资源一起使用,但为了便于测试方法,本示例将使用 EC2 实例作为资源。由于亚马逊默认 EC2 限制通过端口 25 的电子邮件流量,因此您必须使用 TCP 25 以外的其他端口,例如 TCP 465、587、2465 或 2587。

在 Amazon VPC 中设置 SES

设置与 SES 一起使用的 VPC 端点的过程包括几个单独的步骤。首先,您必须创建一个允许实例与 SMTP 端口通信的安全组,然后为 Amazon SES 创建 VPC 端点,最后,测试与 VPC 端点的连接以确保其配置正确。

步骤 1:创建安全组

在此步骤中,您将创建一个安全组,允许 Amazon EC2 实例与您将要创建的 VPC 接口终端节点进行通信。

创建安全组

  1. 在 Amazon EC2 控制台的导航窗格中,在 “网络与安全” 下,选择 “安全组”。

  2. 选择 Create security group(创建安全组)。

  3. Basic details (基本详细信息) 下面,执行以下操作:

    • 对于 Security group name (安全组名称),输入标识安全组的唯一名称。

    • 对于 Description (描述),输入一些描述安全组用途的文本。

    • 对于 VPC,选择要在其中使用 Amazon SES 的 VPC。

  4. Inbound rules (入站规则)下面,选择 Add rule (添加规则)

  5. 对于新的入站规则,请执行以下操作:

    • 对于类型,选择自定义 TCP

    • 对于 Port range (端口范围),输入要用于发送电子邮件的端口号。您可以使用以下任何端口号:46558724652587

    • 对于 Source type (源类型),选择 Custom (自定义)

    • 对于,输入私有 IP CIDR 范围或其他安全组 IDs ,其中包含将使用 VPC 终端节点与 SES 服务通信的资源。

    • (对您希望从中进行访问的每个 CIDR 范围或安全组重复步骤 4 - 5。)

  6. 完成后,选择 Create security group (创建安全组)

步骤 2:创建 VPC 端点

在 Amazon VP C 中,VPC 终端节点允许您将自己的 VPC 连接到支持的 AWS 服务。在本示例中,您将配置亚马逊 VPC,以便您的亚马逊 EC2 安全组可以连接到 Amazon SES。

创建 VPC 端点

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在 “PrivateLink 和莱迪思” 下,选择 “端点”。

  3. 选择 Create Endpoint(创建端点),打开 Create Endpoint(创建端点)页面。

  4. (可选)在 Endpoint settings(端点设置)面板中,在 Name tag(命名标签)字段中创建一个标签。

  5. 对于服务类别,请选择 AWS 服务

  6. Services(服务)面板中,在搜索栏中筛选 smtp,然后选择其单选按钮。

  7. VPC 面板中,在搜索栏内单击,然后从列表框中选择 VPC(参见先决条件)。

  8. 子网面板中,选择可用区和子网 IDs

    注意

    Amazon SES 不支持以下可用性区域中的 VPC 端点:use1-az2use1-az3use1-az5usw1-az2usw2-az4apne2-az4cac1-az3cac1-az4

  9. Security groups(安全组)面板中,选择以前创建的安全组。

  10. (可选)在标签面板中,可以创建一个或多个标签。

  11. 选择创建端点。在 Amazon VPC 创建端点时,请等待大约 5 分钟。在端点可供使用时,Status(状态)列中的值将变为 Available(可用。

(可选)步骤 3:测试到 VPC 端点的连接

在完成配置 VPC 端点的过程后,您可以测试连接以确保正确配置了 VPC 端点。您可以使用大多数操作系统附带的命令行工具以测试连接。

测试到 VPC 端点的连接

  1. 在您刚刚创建电子邮件-smtp VPC 终端节点的同一 VPC 中启动一个 Amazon EC2 实例。

    有关连接到 Linux 实例的信息,请参阅亚马逊 EC2 用户指南中的连接到您的 Linux 实例

    有关连接到 Windows 实例的信息,请参阅亚马逊 EC2 用户指南中的入门教程

  2. 例如,使用 SES SMTP 接口发送测试电子邮件。

    注意

    您必须先验证电子邮件地址或域,然后才能通过 Amazon SES 发送电子邮件。有关验证身份的更多信息,请参阅在 Amazon SES 中创建和验证身份