Amazon SES を用いた VPC エンドポイントの設定

Amazon SES のお客様の多くは、会社のポリシーによって、内部システムからパブリックインターネットに接続することを制限されています。これらのポリシーは、パブリック Amazon SES エンドポイントの使用を防ぎます。

同様のポリシーがある場合は、Amazon Virtual Private Cloud を使用して、これらの制限内で作業できます。Amazon VPC を使用すると、の分離された領域に存在する仮想ネットワークに AWS リソースをデプロイできます AWS クラウド。Amazon VPC の詳細については、「Amazon VPC ユーザーガイド」を参照してください。

VPC エンドポイントを経由して、安全かつスケーラブルな方法で Amazon VPC から SES に直接接続できます。インターフェイス VPC エンドポイントを使用すると、アウトバウンドトラフィックのファイアウォールを開く必要がないため、セキュリティ体制が強化されるだけでなく、Amazon VPC エンドポイントを使用する他の利点も得られます。

VPC エンドポイントを使用すると、SES へのトラフィックはインターネットに転送されることなく、Amazon ネットワーク内に留まるため、ネットワークトラフィックに対する可用性のリスクや帯域幅の制限に影響されることなく、VPC を安全に SES に接続できます。インターネットゲートウェイを利用することなく、マルチアカウントインフラストラクチャ全体で SES を一元化し、これをサービスとして各アカウントに提供できます。

制限事項

SES が VPC エンドポイントをサポートしていないアベイラビリティーゾーンは、use1-az2、use1-az3、use1-az5、usw1-az2、usw2-az4、apne2-az4、cac1-az3、cac1-az4 です。
VPC 内で使用される SMTP エンドポイントは、アカウントで現在使用している AWS リージョンに限定されます。

Amazon VPC で SES を設定する手順の例

前提条件

このセクションの手順を実行する前に、以下の手順を完了してください。

既存の仮想プライベートクラウド (VPC) を使用するか、新しい VPC を作成します。手順については、「Amazon VPC の使用を開始する」を参照してください。
後のステップで作成する VPC エンドポイントへの接続をテストするために、VPC で Amazon EC2 インスタンスを起動します。詳細については、「デフォルト VPC」を参照してください。

注記
SES の VPC エンドポイントは任意のリソースで使用できますが、テスト方法を簡単にするために、この例では EC2 インスタンスをリソースとして使用します。Amazon EC2 はデフォルトでポート 25 経由の E メールトラフィックを制限するため、TCP 25 以外の別のポート (TCP 465、587、2465、2587 など) を使用する必要があります。

Amazon VPC での SES の設定

SES で使用する VPC エンドポイントを設定するプロセスは、いくつかの個別のステップで構成されています。最初に、SMTP ポートとの通信をインスタンスに許可するセキュリティグループを作成します。次に Amazon SES の VPC エンドポイントを作成します。最後に VPC エンドポイントへの接続をテストして、正しく設定されていることを確認します。

ステップ 1: セキュリティグループを作成する

このステップでは、これから作成する VPC インターフェイスエンドポイントとの通信を Amazon EC2 インスタンスに許可するセキュリティグループを作成します。

セキュリティグループを作成するには

Amazon EC2 コンソールのナビゲーションペインで、[ネットワークとセキュリティ] の下にある [セキュリティグループ] を選択します。
[セキュリティグループの作成] を選択します。
[基本的な詳細] で、次の操作を行います。
- [セキュリティグループ名] に、セキュリティグループの一意の名前を入力します。
- [説明] に、セキュリティグループの目的を説明するテキストを入力します。
- [VPC] で、Amazon SES で使用する VPC を選択します。
[インバウンドルール] で、[ルールの追加] を選択します。
新しいインバウンドルールで、次の操作を実行します。
- [タイプ] で [カスタム TCP] を選択します。
- [ポート範囲] に、E メールの送信に使用するポート番号を入力します。ポート番号として、465、587、2465、2587 のいずれでも使用できます。
- [Source タイプ] で、[Custom] を選択します。
- [ソース] に、SES サービスと VPC エンドポイント経由で通信するリソースを含むプライベート IP CIDR 範囲またはその他のセキュリティグループ ID を入力します。
- (アクセスを許可する CIDR 範囲またはセキュリティグループごとに、手順 4～5 を繰り返します。)
完了したら、[Create security group] を選択します。

ステップ 2: VPC エンドポイントを作成する

Amazon VPC では、VPC エンドポイントを使用して、VPC をサポートされている AWS サービスに接続できます。この例では、Amazon EC2 セキュリティグループが Amazon SES に接続できるように、Amazon VPC を設定します。

VPC エンドポイントを作成するには

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
[仮想プライベートクラウド] で、[エンドポイント] を選択します。
[エンドポイントの作成] を選択して、[エンドポイントの作成] ページを開きます。
(オプション) [Endpoint settings] (エンドポイントの設定) パネルで、[Name tag] (名前タグ) フィールドにタグを作成します。
[Service category] (サービスカテゴリ) で、[AWS のservices] (サービス) を選択します。
[Services] (サービス) の検索バーで smtp をフィルタリングし、そのラジオボタンを選択します。
[VPC] パネルで検索バー内をクリックし、リストボックスから VPC を選択します (「前提条件」を参照)。
[Subnets] (サブネット) パネルで、[Availability Zones] (アベイラビリティーゾーン) と [Sbnet ID] (サブネット ID) を選択します。

注記
次の [アベイラビリティーゾーン] では、Amazon SES は VPC エンドポイントをサポートしていません。use1-az2、use1-az3、use1-az5、usw1-az2、usw2-az4、apne2-az4、cac1-az3、および cac1-az4。
[セキュリティグループ] パネルで、前に作成したセキュリティグループを選択します。
(オプション) [タグ] パネルで、1 つ以上のタグを作成できます。
[Create endpoint (エンドポイントの作成)] を選択します。Amazon VPC がエンドポイントを作成している間、5 分ほど待ちます。エンドポイントの準備ができると、[ステータス] 列の値が [Available] (利用可能) に変わります。

(オプション) ステップ 3: VPC エンドポイントへの接続をテストする

VPC エンドポイントの設定プロセスが完了したら、VPC エンドポイントが正しく設定されていることを確認するために、接続をテストできます。接続のテストには、ほとんどのオペレーティングシステムに用意されているコマンドラインツールを使用できます。

VPC エンドポイントへの接続をテストするには

email-smtp VPC エンドポイントを作成したのと同じ VPC で Amazon EC2 インスタンスを起動します。

Linux インスタンスへの接続の詳細については、「Amazon EC2 ユーザーガイド」の「Linux インスタンスへの接続」を参照してください。 Amazon EC2

Windows インスタンスへの接続の詳細については、Amazon EC2 ユーザーガイド」の「開始方法」チュートリアルを参照してください。
例えば、SES SMTP インターフェイスを使用してテスト E メールを送信します。

注記
Amazon SES 経由で E メールを送信する前に、メールアドレスまたはドメインを検証する必要があります。検証の方法については、「Amazon SES の ID の作成と検証」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

SES 内のインフラストラクチャセキュリティ

トラブルシューティング