为 Amazon SES 设置 VPC 端点 - Amazon Simple Email Service
在 Amazon VPC 中设置 SES 的演练示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon SES 设置 VPC 端点

很多 Amazon SES 客户制定了公司策略,以限制其内部系统连接到公有 Internet。这些策略禁止使用公有 Amazon SES 端点。

如果您有类似的策略,您可以使用 Amazon Virtual Private Cloud 以确保不超出这些限制。借助 Amazon VPC,您可以将 AWS 资源部署到位于隔离区域中的虚拟网络中 AWS Cloud。有关 Amazon VPC 的更多信息,请参阅《Amazon VPC 用户指南》。

您可以通过安全且可扩缩的方式,通过 VPC 端点直接从 Amazon VPC 连接到 SES。当您使用接口 VPC 端点时,它提供更好的安全态势,因为您无需打开出站流量防火墙,同时还提供使用 Amazon VPC 端点的其他好处。

使用 VPC 端点时,流向 SES 的流量不会通过互联网传输,也从不会离开 Amazon 网络,以便在不存在可用性风险或网络流量带宽限制的情况下安全地将您的 VPC 连接到 SES。您可以在多账户基础设施中集中管理 SES,并将其作为服务提供给您的账户,而无需使用互联网网关。

限制

  • SES 在以下可用区中不支持 VPC 端点:use1-az2use1-az3use1-az5usw1-az2usw2-az4apne2-az4cac1-az3cac1-az4

  • VPC 中使用的 SMTP 端点仅限于当前用于您账户的 AWS 区域 。

在 Amazon VPC 中设置 SES 的演练示例

先决条件

在完成本节中的过程之前,您必须完成以下步骤:

  • 拥有现有的虚拟私有云(VPC)或创建新的 VPC。有关过程,请参阅开始使用 Amazon VPC

  • 在您的 VPC 中启动 Amazon EC2 实例,以测试与在后续步骤中创建的 VPC 端点的连接。有关更多信息,请参阅原定设置 VPC

    注意

    虽然适用于 SES 的 VPC 端点可以与任何资源一起使用,但为了简化测试方法,本示例将让您使用 EC2 实例作为资源。由于原定设置情况下 Amazon EC2 会限制通过端口 25 的电子邮件流量,因此您必须使用 TCP 25 以外的其他端口,例如 TCP 465、587、2465 或 2587。

在 Amazon VPC 中设置 SES

设置与 SES 一起使用的 VPC 端点的过程包括几个单独的步骤。首先,您必须创建一个允许实例与 SMTP 端口通信的安全组,然后为 Amazon SES 创建 VPC 端点,最后,测试与 VPC 端点的连接以确保其配置正确。

步骤 1:创建安全组

在此步骤中,您创建一个安全组,允许 Amazon EC2 实例与您将要创建的 VPC 接口端点通信。

创建安全组

  1. 在 Amazon EC2 控制台的导航窗格中的 Network & Security (网络和安全性) 下,选择 Security Groups (安全组)

  2. 选择创建安全组

  3. Basic details (基本详细信息) 下面,执行以下操作:

    • 对于 Security group name (安全组名称),输入标识安全组的唯一名称。

    • 对于 Description (描述),输入一些描述安全组用途的文本。

    • 对于 VPC,选择要在其中使用 Amazon SES 的 VPC。

  4. Inbound rules (入站规则)下面,选择 Add rule (添加规则)

  5. 对于新的入站规则,请执行以下操作:

    • 对于类型,选择自定义 TCP

    • 对于 Port range (端口范围),输入要用于发送电子邮件的端口号。您可以使用以下任何端口号:46558724652587

    • 对于 Source type (源类型),选择 Custom (自定义)

    • 对于,输入私有 IP CIDR 范围或其他安全组 ID,其中包含将使用 VPC 端点与 SES 服务通信的资源。

    • (对您希望从中进行访问的每个 CIDR 范围或安全组重复步骤 4 - 5。)

  6. 完成后,选择 Create security group (创建安全组)

步骤 2:创建 VPC 端点

在 Amazon VP C 中,VPC 终端节点允许您将自己的 VPC 连接到支持的 AWS 服务。在此示例下,您配置 Amazon VPC,以便 Amazon EC2 安全组可以连接到 Amazon SES。

创建 VPC 端点

  1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. Virtual Private Cloud 下面,选择 Endpoints (端点)

  3. 选择 Create Endpoint(创建端点),打开 Create Endpoint(创建端点)页面。

  4. (可选)在 Endpoint settings(端点设置)面板中,在 Name tag(命名标签)字段中创建一个标签。

  5. 对于服务类别,请选择 AWS 服务

  6. Services(服务)面板中,在搜索栏中筛选 smtp,然后选择其单选按钮。

  7. VPC 面板中,在搜索栏内单击,然后从列表框中选择 VPC(参见先决条件)。

  8. Subnets(子网)面板中,选择 Availability Zones(可用性区域)和 Subnet ID(子网 ID)。

    注意

    Amazon SES 不支持以下可用性区域中的 VPC 端点:use1-az2use1-az3use1-az5usw1-az2usw2-az4apne2-az4cac1-az3cac1-az4

  9. Security groups(安全组)面板中,选择以前创建的安全组。

  10. (可选)在标签面板中,可以创建一个或多个标签。

  11. 选择创建端点。在 Amazon VPC 创建端点时,请等待大约 5 分钟。在端点可供使用时,Status(状态)列中的值将变为 Available(可用。

(可选)步骤 3:测试到 VPC 端点的连接

在完成配置 VPC 端点的过程后,您可以测试连接以确保正确配置了 VPC 端点。您可以使用大多数操作系统附带的命令行工具以测试连接。

测试到 VPC 端点的连接

  1. 在您刚刚在其中创建 email-smtp VPC 端点的同一个 VPC 中启动 Amazon EC2 实例。

    有关连接到 Linux 实例的信息,请参阅 Amazon EC2 用户指南中的连接到您的 Linux 实例

    有关连接到 Windows 实例的信息,请参阅 Amazon EC2 用户指南中的入门教程

  2. 例如,使用 SES SMTP 接口发送测试电子邮件。

    注意

    您必须先验证电子邮件地址或域,然后才能通过 Amazon SES 发送电子邮件。有关验证身份的更多信息,请参阅在 Amazon SES 中创建和验证身份