Amazon SES で Deterministic Easy DKIM (DEED) を使用する - Amazon Simple Email Service
DEED とはDEED の仕組みレプリカ ID の設定ベストプラクティストラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SES で Deterministic Easy DKIM (DEED) を使用する

Deterministic Easy DKIM (DEED) は、複数の DKIM 設定を管理するためのソリューションを提供します AWS リージョン。DNS 管理を簡素化し、一貫した DKIM 署名を維持することで、DEED は堅牢な E メール認証手法を維持しながら、マルチリージョンの E メール送信オペレーションを効率化するために役立ちます。

Deterministic Easy DKIM (DEED) とは

Deterministic Easy DKIM (DEED) は、Easy DKIM で設定された親ドメイン AWS リージョン に基づいて、すべての で一貫した DKIM トークンを生成する機能です。 Amazon SES のEasy DKIMこれにより、Easy DKIM で現在設定 AWS リージョン されている親 ID と同じ DKIM 署名設定を自動的に継承して維持する異なる に ID をレプリケートできます。DEED では、親 ID に対して DNS レコードを 1 回発行するだけで、レプリカ ID は同じ DNS レコードを使用してドメインの所有権を検証し、DKIM 署名を管理します。

DNS 管理を簡素化し、一貫した DKIM 署名を維持することで、DEED は、E メール認証のベストプラクティスを維持しながら、マルチリージョンの E メール送信オペレーションを効率化するために役立ちます。

DEED に関して使用される用語:

  • 親 ID – レプリカ ID の DKIM 設定のソースとして機能する、Easy DKIM で設定された検証済み ID。

  • レプリカ ID – 同じ DNS 設定と DKIM 署名設定を共有する親 ID のコピー。

  • 親リージョン – 親 ID が設定されている AWS リージョン 。

  • レプリカリージョン – レプリカ ID が設定されている AWS リージョン 。

  • DEED ID – 親 ID またはレプリカ ID として使用されるあらゆる ID (新しい ID が作成されると、最初は通常の (非 DEED) ID として扱われます。ただし、レプリカが作成されると、その ID は DEED ID と見なされます)。

DEED を使用する主な利点は次のとおりです。

  • DNS 管理の簡素化 – 親 ID に対して DNS レコードを 1 回だけ発行します。

  • より簡単なマルチリージョンオペレーション – E メール送信オペレーションを新しいリージョンに拡張するプロセスを簡素化します。

  • 管理オーバーヘッドの削減 – DKIM 設定を親 ID から一元管理します。

Deterministic Easy DKIM (DEED) の仕組み

レプリカ ID を作成すると、Amazon SES は親 ID からレプリカ ID に DKIM 署名キーを自動的にレプリケートします。親 ID に加えられた、それ以降の DKIM キーローテーションまたはキーの長さの変更は、すべてのレプリカ ID に自動的に伝播されます。

このプロセスには、以下のワークフローが含まれます。

  1. Easy DKIM AWS リージョン を使用して に親 ID を作成します。

  2. 親 ID に必要な DNS レコードを設定します。

  3. 他の にレプリカ ID を作成し AWS リージョン、親 ID のドメイン名と DKIM 署名リージョンを指定します。

  4. Amazon SES は、親の DKIM 設定をレプリカ ID に自動的にレプリケートします。

重要な考慮事項:

  • 既にレプリカである ID のレプリカを作成することはできません。

  • 親 ID では Easy DKIM が有効になっている必要があります。BYODKIM のレプリカまたは手動で署名された ID のレプリカを作成することはできません。

  • 親 ID は、すべてのレプリカ ID が削除されるまで削除できません。

DEED を使用したレプリカ ID の設定

このセクションでは、DEED を使用してレプリカ ID を作成および検証する方法と、必要なアクセス許可の例を示します。

レプリカ ID の作成

レプリカ ID を作成するには:

  1. レプリカアイデンティティ AWS リージョン を作成する で、https://console.aws.amazon.com/ses/ で SES コンソールを開きます。

    (SES コンソールでは、レプリカ ID はグローバル ID と呼ばれます)。

  2. ナビゲーションペインで、[ID] を選択します。

  3. [ID の作成] を選択します。

  4. [ID タイプ][ドメイン] を選択し、Easy DKIM で設定された、レプリケートして親として機能する既存の ID のドメイン名を入力します。

  5. [DKIM の詳細設定] を展開し、[Deterministic Easy DKIM] を選択します。

  6. [親リージョン] ドロップダウンメニューから、グローバル (レプリカ) ID に入力したのと同じ名前の Easy DKIM で署名された ID が存在する親リージョンを選択します (デフォルトでは、レプリカリージョンは SES コンソールにサインインしたリージョンになります)。

  7. DKIM 署名が有効になっていることを確認します。

  8. (オプション) ドメイン ID に 1 つ以上のタグを追加します。

  9. 設定を確認して、[ID の作成] を選択します。

の使用 AWS CLI:

Easy DKIM で設定された親 ID に基づいてレプリカ ID を作成するには、次の例に示すように、親のドメイン名、レプリカ ID を作成するリージョン、および親の DKIM 署名リージョンを指定する必要があります。

aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'

前の例では、以下のようになっています。

  1. example.com を、レプリケートされる親ドメイン ID に置き換えます。

  2. us-west-2 を、レプリカドメイン ID が作成されるリージョンに置き換えます。

  3. AWS_SES_US_EAST_1 を、レプリカ ID にレプリケートされる Easy DKIM 署名設定を表す親の DKIM 署名リージョンに置き換えます。

    注記

    AWS_SES_ プレフィックスは、DKIM が Easy DKIM を使用して親 ID 用に設定されたことを示し、 US_EAST_1は作成された AWS リージョン です。

レプリカ ID 設定の検証

レプリカ ID を作成したら、親 ID の DKIM 署名設定で正しく設定されていることを検証できます。

レプリカ ID を検証するには:

  1. レプリカアイデンティティを AWS リージョン 作成した で、https://console.aws.amazon.com/ses/ で SES コンソールを開きます。

  2. ナビゲーションペインで [ID] を選択し、[ID] 表から、検証する ID を選択します。

  3. [認証] タブで、[DKIM の設定] フィールドにはステータスが表示され、[親リージョン] フィールドには DEED を利用した ID の DKIM 署名設定に使用されているリージョンが表示されます。

の使用 AWS CLI:

get-email-identity コマンドを使用して、レプリカのドメイン名とリージョンを指定します。

aws sesv2 get-email-identity --email-identity example.com --region us-west-2

レスポンスには、親 ID の DKIM 署名設定でレプリカ ID が正常に設定されたことを示す SigningAttributesOrigin パラメータの親リージョンの値が含まれます。

{
  "DkimAttributes": {
    "SigningAttributesOrigin": "AWS_SES_US_EAST_1"
  }
}

DEED を使用するために必要なアクセス許可

DEED を使用するには、以下が必要です。

  1. レプリカリージョンで E メール ID を作成するための標準アクセス許可。

  2. 親リージョンから DKIM 署名キーをレプリケートするアクセス許可。

DKIM レプリケーションの IAM ポリシーの例

次のポリシーでは、親 ID から指定されたレプリカリージョンへの DKIM 署名キーのレプリケーションを許可します。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowDKIMReplication",
      "Effect": "Allow",
      "Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
      "Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
      "Condition": {
        "ForAllValues:StringEquals": {
           "ses:ReplicaRegion": ["us-west-2", "eu-west-1"]
        }
      }
    }
  ]
}

ベストプラクティス

次のベストプラクティスが推奨されます。

  • 親リージョンとレプリカリージョンを計画する – 選択する親リージョンはレプリカリージョンで使用される DKIM 設定の信頼できるソースとなるため、検討が必要です。

  • 一貫した IAM ポリシーを使用する – IAM ポリシーで、意図したすべてのリージョンで DKIM レプリケーションが許可されていることを確認します。

  • 親 ID をアクティブにしておく – レプリカ ID は親 ID の DKIM 署名設定を継承することに注意してください。この依存関係により、すべてのレプリカ ID が削除されるまで親 ID を削除することはできません。

トラブルシューティング

DEED で問題が発生した場合は、次の点を考慮してください。

  • 検証エラー – DKIM レプリケーションに必要なアクセス許可があることを確認します。

  • レプリケーションの遅延 – レプリケーションが完了するまでにしばらく時間がかかります (特に新しいレプリカ ID を作成する場合)。

  • DNS の問題 – 親 ID の DNS レコードが正しく設定され、伝播されていることを確認します。