View a markdown version of this page

イングレスエンドポイント - Amazon Simple Email Service
イングレスエンドポイントの設定TLS ポリシーmTLS 認証イングレスエンドポイントの作成 (コンソール)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

イングレスエンドポイント

イングレスエンドポイントは、Mail Manager の主要なインフラストラクチャコンポーネントです。イングレスエンドポイントは、ユーザーが設定したポリシーとルールを使用して、どの E メールを拒否し、どの E メールを許可し、どの E メールを処理するかを決定することにより、 E メールの受信、ルーティング、管理を行います。

各イングレスエンドポイントには、ブロックまたは許可する E メールを決定するための独自のトラフィックポリシーと、許可する E メールに対してアクションを実行するための独自のルールセットがあります。したがって、複数のイングレスエンドポイントを作成することで、各エンドポイントに特定のタイプの E メールの管理とルーティングを委任できます。このレベルのきめ細かさは、ビジネスニーズに応じてカスタマイズした E メール管理システムを構築するうえで役立ちます。

イングレスエンドポイントを作成するための前提条件ワークフロー

イングレスエンドポイントの作成時には、既に作成済みのトラフィックポリシーと、ルールセットに割り当てる必要があります。したがって、イングレスエンドポイントを作成するためのワークフローは、次の順序である必要があります。

  1. まず、トラフィックポリシーを作成して、ブロックまたは許可する E メールを決定します。詳細については、「SES コンソールでのトラフィックポリシーとポリシーステートメントの作成」を参照してください。

  2. 次に、許可する E メールに対してアクションを実行するルールセットを作成します。詳細については、「SES コンソールでのルールセットとルールの作成」を参照してください。

  3. 最後に、イングレスエンドポイントを作成して、先ほど作成したトラフィックポリシーとルールセット、または以前に作成済みの他のトラフィックポリシーとルールセットに割り当てます。

イングレスエンドポイントを作成したら、オンプレミスの SMTP クライアントやウェブベースの DNS ドメインホストなど、種類を問わず、E メールを受信するために使用する環境で設定する必要があります。この点については、「パブリックエンドポイントを介した E メールの受信」を参照してください。

イングレスエンドポイントの使用に向けた環境の設定

SES は、受信 E メールを受け入れるために、パブリックエンドポイントと Amazon Virtual Private Cloud (VPC) エンドポイントの両方をサポートしています。以下のセクションでは、これらのオプションのいずれかを使用するようにイングレスエンドポイントを設定する方法について説明します。

パブリックエンドポイントを介した E メールの受信

「A」レコードの使用

イングレスエンドポイントを作成する際、エンドポイントの「A」レコードが生成され、その値が SES コンソールのイングレスエンドポイントの概要画面に表示されます。このレコードの値の使用方法は、以下のとおり、作成したエンドポイントのタイプとユースケースによって異なります。

  • オープンエンドポイント – ドメインに送信されたメールは、イングレスエンドポイントに直接解決されます。認証は必要ありません。

    • 「A」レコードの値をコピーして、オンプレミスの SMTP クライアントの SMTP 設定に直接貼り付けるか、DNS 設定のドメインの MX レコードに貼り付けます。

    • サポートされているポート: 25

    • STARTTLS のサポート: はい

  • 認証済みエンドポイント – ドメインに送信されるメールは、オンプレミスの E メールサーバーなど、SMTP 認証情報を共有している承認済みの送信者から送信される必要があります。

    • 「A」レコードの値とユーザー名およびパスワードをコピーして、オンプレミスの SMTP クライアントの SMTP 設定に直接貼り付けます。

    • サポートされているポート: 25、587 (RFC 2476)

    • STARTTLS のサポート: はい

  • mTLS エンドポイント – ドメインに送信されるメールは、イングレスエンドポイントの信頼ストアの認証機関 (CAs) のいずれかによって署名された TLS クライアント証明書を提示するクライアントから送信する必要があります。「イングレスエンドポイントの相互 TLS (mTLS) 認証」を参照してください。

    • 「A」レコードの値をオンプレミス SMTP クライアントの SMTP 設定に直接コピーして貼り付けます。

    • サポートされているポート: 25

    • STARTTLS のサポート: はい

MX レコードを使用している設定の場合は、DNS プロバイダーごとにレコードを設定するための手順とインターフェイスは異なるとはいえ、DNS 設定に入力する必要がある主な情報は、次の例に一覧表示されていることに留意します。

次のとおり、ドメインの DNS 設定で MX レコードの値としてイングレスエンドポイントの「A」レコードを入力したため、recipient@marketing.example.com に送信されるメールはすべてイングレスエンドポイントに送信されます。

  • ドメインmarketing.example.com

  • MX レコード値890123abcdef.ghijk.mail-manager-smtp.amazonaws.com (これは、イングレスエンドポイントからコピーした「A」レコードの値です)

  • 優先度10

認証済みのエンドポイントへの接続

認証済みのエンドポイントに接続するために SMTP 認証情報を共有した承認済みの送信者の場合、サーバーへの接続を正常に確立するには、ユーザー名パスワードについて次のプロトコルに準拠する必要があります。

  • ユーザー名 – これはイングレスエンドポイント ID であり、Base64 でエンコードする必要があります。(入力エンドポイント ID を検索する方法については、コンソールの手順のステップ 11 を参照してください)。

  • パスワード – これはイングレスエンドポイントの作成時に使用したパスワードであり、Base64 でエンコードする必要があります。

次の例では、接続を確立する一般的な SMTP AUTH サーバーとクライアントの交信を説明しています。

S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful

この例は、次のプロパティで構成されています。

  • S は「サーバー」を意味し、メッセージを受け入れる SMTP サーバーを指します。

  • C は、「クライアント」を意味します。SMTP クライアントはサーバーとの接続を確立し、サーバーにメッセージを送信します。

  • 250 AUTH LOGIN PLAIN は、AUTH LOGIN または AUTH PLAIN のいずれかの AUTH 方式がサポートされているサーバーからの応答です。送信者はこのいずれかを選択して、認証仕様 RFC 2554 の SMTP サービス拡張に準拠した SMTP コマンドを送信できます。ここでは、AUTH LOGIN を使用しています。

  • 334 VXNlcm5hbWU6 – Base64 でユーザー名を要求するサーバーです。

  • SW5ncmVzc1BvaW50 – Base64 のイングレスエンドポイント ID で応答するクライアントです。

  • 334 UGFzc3dvcmQ6 – Base64 でパスワードを要求するサーバーです。

  • SW5ncmVzc1Bhc3N3b3Jk – Base64 のイングレスエンドポイントパスワードで応答するクライアントです。

Amazon VPC エンドポイントを介した E メールの受信

パブリックイングレスエンドポイントに加えて、VPC エンドポイントと SES イングレスエンドポイントを使用して、プライベートネットワークインフラストラクチャ内で安全なプライベート E メールの取り込みを行うことができます。

パブリックイングレスエンドポイントの使用と比較した設定の違い

  • 通常、パブリックエンドポイントで使用できる「A」レコードは提供されません。

  • VPC エンドポイントによって提供される DNS 名を使用して、イングレスエンドポイントに接続する必要があります。

  • すべての接続は VPC 内でプライベートネットワークを使用します。

VPC エンドポイントを介してサポートされるイングレスエンドポイントのタイプ

SES は、VPC エンドポイントを介して 2 種類のイングレスポイントをサポートします。

  • オープンイングレスエンドポイント – 送信者の認証を必要とせずに、VPC エンドポイントを介してドメインルートに直接送信される E メール。

    設定要件:

    • プライベートオープンイングレスエンドポイントを作成するには、ユーザーが所有する VPC エンドポイント ID にこれを関連付けます。

    • サポートされているポート: 25、587

    • STARTTLS のサポート: はい

  • 認証済みイングレスエンドポイント – ドメインに送信されるメールは、オンプレミスの E メールサーバーなど、SMTP 認証情報を共有している承認済みの送信者から送信される必要があります。

    設定要件:

    • ユーザーが所有する VPC エンドポイント ID に関連付けることで、プライベートな認証済みイングレスエンドポイントを作成します。

    • サポートされているポート: 25、587

    • STARTTLS のサポート: はい

    • 認証は、パブリック認証エンドポイントと同じ base64 でエンコードされたユーザー名とパスワードメカニズムを使用します。

VPC エンドポイントの要件

SES イングレスエンドポイントで VPC エンドポイントを使用するには、次の要件を満たす必要があります。

  • VPC エンドポイントはアクティブで使用可能である必要があります。

  • VPC エンドポイントは、イングレスエンドポイントと同じ AWS アカウントによって所有されている必要があります (クロスアカウントアクセスはサポートされていません)。

  • VPC エンドポイントは、イングレスエンドポイントのタイプに基づいて、適切なサービス名用に作成する必要があります。

    • オープンイングレスエンドポイントcom.amazonaws.region.mail-manager-smtp.open

    • 認証されたイングレスエンドポイントcom.amazonaws.region.mail-manager-smtp.auth

    • FIPS オープンイングレスエンドポイントcom.amazonaws.region.mail-manager-smtp.open.fips

    • 認証された FIPS イングレスエンドポイントcom.amazonaws.region.mail-manager-smtp.auth.fips

設定に関する重要な注意事項

  • 1 対 1 の関係 – 各 VPC エンドポイントは、単一のイングレスエンドポイントにのみ関連付けることができます。複数のイングレスエンドポイントに同じ VPC エンドポイントを使用することはできません。

  • VPC エンドポイントポリシーなし – 他の AWS サービスとは異なり、イングレスエンドポイントで使用される VPC エンドポイントは VPC エンドポイントポリシーをサポートしていません。SES は、VPC エンドポイント所有者とイングレスエンドポイント所有者が同じ AWS アカウントであることを自動検証します。

  • プライベート DNS のみ – VPC エンドポイントによって提供されるすべての DNS 名は、VPC 内でのみアクセス可能なプライベート DNS 名になります。

  • 作成時の検証 – SES はリソースの作成中に検証を行い、VPC エンドポイントがすべての要件を満たしていることを確認します。

  • TLS ポリシーは VPC エンドポイントサービスと一致する必要があります – プライベートイングレスエンドポイントを作成する場合、TLS ポリシー値は VPC エンドポイントサービスタイプと一致する必要があります。FIPS TLS ポリシーを持つイングレスエンドポイントは FIPS VPC エンドポイントサービスを使用し、 REQUIREDまたは TLS ポリシーを持つイングレスエンドポイントは非 FIPS VPC OPTIONAL エンドポイントサービスを使用する必要があります。これらは混在できません。

VPC エンドポイント経由でのイングレスエンドポイントへの接続

VPC エンドポイントとイングレスエンドポイントを設定した後の手順:

  1. VPC エンドポイント用に生成された DNS 名を取得します。

  2. これらの DNS 名を接続に使用するように SMTP クライアントまたは E メールサーバーを設定します。

  3. 認証されたエンドポイントを使用する場合は、認証されたイングレスエンドポイントで使用される、base64 エンコードされた適切な認証情報を使用して SMTP クライアントを設定します。

Ingress エンドポイントの TLS ポリシー

イングレスエンドポイントの TLS ポリシーは、エンドポイントに E メールを送信するときに SMTP クライアントを接続するために TLS 暗号化を使用する必要があるかどうかを制御します。CreateIngressPoint API を使用してイングレスエンドポイントを作成するときに TLS ポリシーを指定し、後で UpdateIngressPoint API を使用して変更することができます。デフォルトの TLS ポリシーはリージョンによって異なります。 FIPSは米国およびカナダリージョンのデフォルトであり、 REQUIREDは他のすべてのリージョンのデフォルトです。

すべてのイングレスエンドポイント接続は、STARTTLS コマンドを介して日和見 TLS を使用します。接続はプレーンテキストとして開始され、接続クライアントがサポートしている場合は TLS にアップグレードされます。接続が暗号化される暗黙的な TLS (TLS ラッパー) はサポートされていません。

次の TLS ポリシー値を使用できます。

  • FIPS – FIPS 検証済み暗号化モジュールを使用した TLS 暗号化が必要です。これは米国およびカナダリージョンのデフォルトであり、それらのリージョンでのみ使用できます。

  • 必須 — SMTP クライアントを接続するには TLS 暗号化を使用する必要があります。TLS を使用しない接続は拒否されます。これは、米国およびカナダ以外のリージョンではデフォルトです。

  • オプション – TLS 暗号化はサポートされていますが、必須ではありません。SMTP クライアントを接続すると、TLS の有無にかかわらず E メールを送信できます。

イングレスエンドポイントタイプ別の可用性

すべての TLS ポリシー値が、イングレスエンドポイントタイプとネットワーク設定のすべての組み合わせに対して有効であるとは限りません。

  • FIPS – パブリックネットワーク上のすべての進入エンドポイントタイプ (オープン、認証済み、mTLS)、プライベートネットワーク上のオープンおよび認証済み進入エンドポイントで使用できますが、米国およびカナダリージョンでのみ使用できます。一度設定すると、更新によって を別の値に変更FIPSすることはできません。別の TLS ポリシーが必要な場合は、新しいイングレスエンドポイントを作成する必要があります。

  • REQUIRED – すべてのリージョンのすべてのイングレスエンドポイントタイプで使用できます。ただし、パブリックネットワーク上の認証エンドポイントと mTLS 進入エンドポイントの場合、 は作成時にREQUIREDのみ設定できます。更新によって変更することはできません。プライベートネットワーク上のオープンイングレスエンドポイント (パブリックまたはプライベート) および認証されたイングレスエンドポイントの場合、 REQUIREDは作成時に設定し、更新を通じて変更できます。REQUIRED は、 FIPSが代わりに使用される米国およびカナダリージョンのパブリックネットワークの認証エンドポイントまたは mTLS 進入エンドポイントでは使用できません。

  • オプション — パブリックネットワークとプライベートネットワークの両方でオープンイングレスエンドポイント、およびプライベートネットワークで認証されたイングレスエンドポイントで使用できます。 OPTIONALは mTLS イングレスエンドポイントでは使用できません。また、パブリックネットワークで認証されたイングレスエンドポイントでは使用できません。

TLS ポリシーを変更するためのルール

既存のイングレスエンドポイントで TLS ポリシーを更新する場合、次のルールが適用されます。

  • FIPS 作成後に変更することはできません。

  • プライベートネットワーク上のオープンイングレスエンドポイントと認証されたイングレスエンドポイントでは、 REQUIRED と を切り替えることができますOPTIONAL

  • パブリックネットワーク上の mTLS 進入エンドポイントと認証された進入エンドポイントの場合、TLS ポリシーは作成後に変更できません。

イングレスエンドポイントの相互 TLS (mTLS) 認証

相互 TLS (mTLS) 認証では、SMTP クライアントを接続して、イングレスエンドポイントの信頼ストアの認証機関 (CAs) のいずれかによって署名された TLS クライアント証明書を提示する必要があります。信頼できる証明書を持つクライアントのみがエンドポイントに E メールを送信できます。

重要

mTLS 認証はパブリックイングレスエンドポイントでのみ使用できます。Amazon VPC エンドポイントは mTLS 認証をサポートしていません。

mTLS イングレスエンドポイントを作成するには、イングレスエンドポイントタイプMTLSとして を選択し、 CreateIngressPoint API の IngressPointConfigurationパラメータTrustStoreTlsAuthConfigurationを含む を指定します。

[トラストストアの設定]

トラストストアは、イングレスエンドポイントが受け入れるクライアント証明書を定義します。これには、以下のフィールドが含まれています。

  • CAContent (必須) – PEM 形式の認証機関 (CA) 証明書バンドル。このバンドルには、クライアント証明書の検証に使用される CA 証明書が含まれています。最大 500 KB の複数の CA 証明書を 1 つのバンドルに含めることができます。

  • CrlContent (オプション) – PEM 形式の証明書失効リスト (CRL)。指定した場合、CRL に表示されるクライアント証明書は、信頼できる CA によって署名されていても拒否されます。最大 500 KB。

  • KmsKeyArn (オプション) – トラストストアデータの暗号化に使用される AWS KMS カスタマーマネージドキー (CMK) の ARN。指定しない場合、 AWS マネージドキーが使用されます。CMK を使用する場合、キーポリシーは SES にキーの使用を許可する必要があります。「mTLS トラストストアの KMS カスタマーマネージドキー (CMK) キーポリシー」を参照してください。

期限切れの証明書は無効と見なされ、接続では受け入れられません。また、SES は、期限切れの CA 証明書と期限切れの証明書失効リスト (CRLs) を信頼ストアから除外します。CRL の有効期限が切れると、その CRL に関連付けられた CA 証明書も信頼ストアから削除されます。つまり、更新された CRL を指定するまで、その CA によって署名されたクライアントは接続できなくなります。

ルール条件でのクライアント証明書属性の使用

クライアントが有効な証明書を使用して mTLS イングレスエンドポイントに接続すると、証明書属性 (共通名、シリアル番号、サブジェクト代替名フィールドなど) が文字列式としてルール条件で使用できるようになります。これにより、接続するクライアントの ID に基づいて E メールをルーティング、フィルタリング、または操作できます。使用可能な属性の完全なリストについては、「ルール条件リファレンス」を参照してください。

SES コンソールでのイングレスエンドポイントの作成

次の手順では、SES コンソールの [イングレスエンドポイント] ページを使用して、イングレスエンドポイントを作成および管理する方法を説明します。

コンソールを使用してイングレスエンドポイントを作成して管理するには

  1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール (https://console.aws.amazon.com/ses/) を開きます。

  2. 左側のナビゲーションパネルで、[Mail Manager] の下にある [イングレスエンドポイント] を選択します。

  3. [イングレスエンドポイント] ページで、[イングレスエンドポイントの作成] をクリックします。

  4. [新しいイングレスエンドポイントの作成] ページで、イングレスエンドポイントの一意の名前を入力します。

  5. OpenAuthenticated、または mTLS エンドポイントのどちらになるかを選択します。

    • [認証済み] を選択した場合は、[SMTP パスワード] を選択してパスワード (承認済みの送信者と共有される) を入力するか、[シークレット] を選択して、[シークレット ARN] からシークレットのいずれかを選択します。既に作成済みのシークレットを選択する場合、新しいシークレットを作成するための次のステップで示されているポリシーが含まれている必要があります

    • mTLS を選択する場合は、CA 証明書バンドルを含む信頼ストア設定を指定する必要があります。必要に応じて、証明書失効リストと AWS KMS キーを指定することもできます。「イングレスエンドポイントの相互 TLS (mTLS) 認証」を参照してください。

    • Create new を選択して新しいシークレットを作成するオプションがあります。 AWS Secrets Manager コンソールが開き、新しいキーの作成を続行できます。

    1. [シークレットのタイプ] で、[その他のシークレットのタイプ] を選択します。

    2. [キー/値のペア] で、[キー] に password、[値] に実際のパスワードを入力します。

      注記

      [キー] には、password のみを入力する必要があります (それ以外を入力すると、認証は失敗します)。

    3. 「新しいキーを追加」を選択して、暗号化キーで KMS カスタマーマネージドキー (CMK) を作成します。 AWS KMS コンソールが開きます。

    4. [カスタマーマネージドキー] ページで [キーの作成] を選択します。

    5. [キーを設定] ページではデフォルト値のままにして、[次へ] をクリックします。

    6. [エイリアス] にキー名を入力して (必要に応じて、説明とタグを追加できます)、[次へ] をクリックします。

    7. [キー管理者] でキー管理を許可するユーザー (自分以外) またはロールを選択して、[次へ] をクリックします。

    8. [キーユーザー] でキーの使用を許可するユーザー (自分以外) またはロールを選択して、[次へ] をクリックします。

    9. KMS CMK ポリシー をコピーして、[キーポリシー] の JSON テキストエディタに "statement" レベルで貼り付け、カンマ区切りの追加ステートメントとして追加します。リージョンとアカウント番号は、現在使用するものと置き換えます。

    10. [Finish] を選択してください。

    11. AWS Secrets Manager 新しいシークレットページの保存が開いているブラウザのタブを選択し、暗号化キーフィールドの横にある更新アイコン (円形の矢印) を選択し、フィールド内をクリックして新しく作成したキーを選択します。

    12. [シークレットを設定] ページの [シークレットの名前] フィールドに、名前を入力します。

    13. [リソースのアクセス許可] で、[許可を編集] をクリックします。

    14. シークレットのリソースポリシー をコピーして、[リソースのアクセス許可] JSON テキストエディタに貼り付け、リージョンとアカウント番号を実際の値に置き換えます。(エディタ内のコード例は、必ずすべて削除します)。

    15. [保存] を選択してから、[次へ] を選択します。

    16. 必要に応じてローテーションを設定して、[次へ] をクリックします。

    17. 新しいシークレットを確認して、[保存] をクリックして保存します。

    18. SES の [新しいイングレスエンドポイントの作成] ページが開いているブラウザタブをクリックして、[リストを更新] をクリックしてから、[シークレット ARN] で新しく作成したシークレットを選択します。

  6. 許可する E メールに対して実行するルールアクションを含むルールセットを選択します。

  7. トラフィックポリシーを選択して、ブロックまたは許可する E メールを決定します。

  8. [パブリック] ネットワークにするか、[プライベート] ネットワークにするかを選択します。

    • パブリックネットワークにする場合は、[IPv4] のみまたは [デュアルスタック] (IPv4 および IPv6) のアドレス指定を選択します。

    • プライベートネットワークにする場合は、IAM ユーザーやロールなど、同じアカウントの承認済み送信者と共有した VPC エンドポイントを選択または入力します。必要に応じて、[VPC エンドポイントを作成] を選択して Amazon VPC コンソールを開くことで、新しい VPC エンドポイントを作成できます。

  9. イングレスエンドポイントの TLS ポリシーを選択します。デフォルトはリージョンによって異なります。使用可能な値と制限の詳細については、TLS ポリシー「」を参照してください。

  10. [イングレスエンドポイントの作成] をクリックします。

  11. [全般的な詳細] では、イングレスエンドポイントの作成中に「プロビジョン中」と表示されます。「アクティブ」が表示され、[ARecord] フィールドに値が表示されるまでページを更新します。「A」レコード値をコピーして、「パブリックエンドポイント設定」で説明されているとおり、DNS 設定または SMTP クライアントに貼り付けます。

  12. コンソールの [全般的な詳細] コンテナのすぐ上には、「inp」というプレフィックスが付けられている、ラベルのない値の高い数字が表示されています (ページ上部のパンくずリストにも表示されています)。例えば、inp-1abc2de3fghi4jkl5mnop6qr と表示されています。これは、イングレスエンドポイント ID と呼ばれ、この値は、イングレスサーバーにログインするためのユーザー名として使用されます。(エンドポイントに接続するには、この値を承認済みの送信者と共有する必要があります)。

  13. 既に作成済みのイングレスエンドポイントは、[イングレスエンドポイント] ページで表示して管理できます。削除すべきイングレスエンドポイントがある場合は、そのイングレスエンドポイントのラジオボタンをオンにして、[削除] をクリックします。

  14. イングレスエンドポイントを編集するには、イングレスエンドポイント名を選択して概要ページを開きます。

    • エンドポイントのアクティブステータスまたは TLS ポリシー (サポートされている設定の場合) を変更するには、「一般詳細の編集」を選択してから、変更を保存」を選択します。

    • いずれかの [ルールセット] または [トラフィックポリシー][編集] を選択し、[変更を保存] をクリックすると、別のルールセットまたはトラフィックポリシーを選択できます。