翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon SES で Deterministic Easy DKIM (DEED) を使用する
<a name="send-email-authentication-dkim-deed"></a>

Deterministic Easy DKIM (DEED) は、複数の DKIM 設定を管理するためのソリューションを提供します AWS リージョン。DNS 管理を簡素化し、一貫した DKIM 署名を維持することで、DEED は堅牢な E メール認証手法を維持しながら、マルチリージョンの E メール送信オペレーションを効率化するために役立ちます。

## Deterministic Easy DKIM (DEED) とは
<a name="what-is-deed"></a>

Deterministic Easy DKIM (DEED) は、Easy DKIM で設定された親ドメイン AWS リージョン に基づいて、すべての で一貫した DKIM トークンを生成する機能です。 [Amazon SES のEasy DKIM](send-email-authentication-dkim-easy.md)これにより、Easy DKIM で現在設定 AWS リージョン されている親 ID と同じ DKIM 署名設定を自動的に継承および維持する異なる に ID をレプリケートできます。DEED では、親 ID に対して DNS レコードを 1 回発行するだけで、レプリカ ID は同じ DNS レコードを使用してドメインの所有権を検証し、DKIM 署名を管理します。

DNS 管理を簡素化し、一貫した DKIM 署名を維持することで、DEED は、E メール認証のベストプラクティスを維持しながら、マルチリージョンの E メール送信オペレーションを効率化するために役立ちます。

DEED に関して使用される用語:
+ **親 ID** – レプリカ ID の DKIM 設定のソースとして機能する、Easy DKIM で設定された検証済み ID。
+ **レプリカ ID** – 同じ DNS 設定と DKIM 署名設定を共有する親 ID のコピー。
+ **親リージョン** – 親 ID が設定されている AWS リージョン 。
+ **レプリカリージョン** – レプリカ ID が設定されている AWS リージョン 。
+ **DEED ID** – 親 ID またはレプリカ ID として使用されるあらゆる ID (新しい ID が作成されると、最初は通常の (非 DEED) ID として扱われます。ただし、レプリカが作成されると、その ID は DEED ID と見なされます)。

DEED を使用する主な利点は次のとおりです。
+ **DNS 管理の簡素化** – 親 ID に対して DNS レコードを 1 回だけ発行します。
+ **より簡単なマルチリージョンオペレーション** – E メール送信オペレーションを新しいリージョンに拡張するプロセスを簡素化します。
+ **管理オーバーヘッドの削減** – DKIM 設定を親 ID から一元管理します。

## Deterministic Easy DKIM (DEED) の仕組み
<a name="how-deed-works"></a>

レプリカ ID を作成すると、Amazon SES は親 ID からレプリカ ID に DKIM 署名キーを自動的にレプリケートします。親 ID に加えられた、それ以降の DKIM キーローテーションまたはキーの長さの変更は、すべてのレプリカ ID に自動的に伝播されます。

このプロセスには、以下のワークフローが含まれます。

1. Easy DKIM AWS リージョン を使用して に親 ID を作成します。

1. 親 ID に必要な DNS レコードを設定します。

1. 他の にレプリカ ID を作成し AWS リージョン、親 ID のドメイン名と DKIM 署名リージョンを指定します。

1. Amazon SES は、親の DKIM 設定をレプリカ ID に自動的にレプリケートします。

重要な考慮事項:
+ 既にレプリカである ID のレプリカを作成することはできません。
+ 親 ID では [Easy DKIM](send-email-authentication-dkim-easy.md) が有効になっている必要があります。BYODKIM のレプリカまたは手動で署名された ID のレプリカを作成することはできません。
+ 親 ID は、すべてのレプリカ ID が削除されるまで削除できません。

## DEED を使用したレプリカ ID の設定
<a name="setting-up-replica-identity"></a>

このセクションでは、DEED を使用してレプリカ ID を作成および検証する方法と、必要なアクセス許可の例を示します。

**Topics**
+ [レプリカ ID の作成](#creating-replica-identity)
+ [レプリカ ID 設定の検証](#verifying-replica-identity)
+ [DEED を使用するために必要なアクセス許可](#required-permissions)

### レプリカ ID の作成
<a name="creating-replica-identity"></a>

レプリカ ID を作成するには:

1. レプリカアイデンティティを作成する AWS リージョン で、[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) で SES コンソールを開きます。

   (SES コンソールでは、レプリカ ID は*グローバル ID *と呼ばれます)。

1. ナビゲーションペインで、**[ID]** を選択します。

1. [**ID の作成**] を選択します。

1. **[ID タイプ]** で **[ドメイン]** を選択し、Easy DKIM で設定された、レプリケートして親として機能する既存の ID のドメイン名を入力します。

1. **[DKIM の詳細設定]** を展開し、**[Deterministic Easy DKIM]** を選択します。

1. **[親リージョン]** ドロップダウンメニューから、グローバル (レプリカ) ID に入力したのと同じ名前の Easy DKIM で署名された ID が存在する親リージョンを選択します (デフォルトでは、レプリカリージョンは SES コンソールにサインインしたリージョンになります)。

1. **DKIM 署名**が有効になっていることを確認します。

1. (オプション) ドメイン ID に 1 つ以上の**タグ**を追加します。

1. 設定を確認して、**[ID の作成]** を選択します。

の使用 AWS CLI:

Easy DKIM で設定された親 ID に基づいてレプリカ ID を作成するには、次の例に示すように、親のドメイン名、レプリカ ID を作成するリージョン、および親の DKIM 署名リージョンを指定する必要があります。

```
aws sesv2 create-email-identity --email-identity {{example.com}} --region {{us-west-2}} --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "{{AWS_SES_US_EAST_1}}"}'
```

前の例では、以下のようになっています。

1. {{example.com}} を、レプリケートされる親ドメイン ID に置き換えます。

1. {{us-west-2}} を、レプリカドメイン ID が作成されるリージョンに置き換えます。

1. {{AWS\_SES\_US\_EAST\_1}} を、レプリカ ID にレプリケートされる Easy DKIM 署名設定を表す親の DKIM 署名リージョンに置き換えます。
**注記**  
`AWS_SES_` プレフィックスは、DKIM が Easy DKIM を使用して親 ID 用に設定されたことを示し、 `US_EAST_1`は作成された AWS リージョン です。

### レプリカ ID 設定の検証
<a name="verifying-replica-identity"></a>

レプリカ ID を作成したら、親 ID の DKIM 署名設定で正しく設定されていることを検証できます。

**レプリカ ID を検証するには:**

1. レプリカアイデンティティを AWS リージョン 作成した で、[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) で SES コンソールを開きます。

1. ナビゲーションペインで **[ID]** を選択し、**[ID]** 表から、検証する ID を選択します。

1. **[認証]** タブで、**[DKIM の設定]** フィールドにはステータスが表示され、**[親リージョン]** フィールドには DEED を利用した ID の DKIM 署名設定に使用されているリージョンが表示されます。

の使用 AWS CLI:

`get-email-identity` コマンドを使用して、レプリカのドメイン名とリージョンを指定します。

```
aws sesv2 get-email-identity --email-identity {{example.com}} --region {{us-west-2}}
```

レスポンスには、親 ID の DKIM 署名設定でレプリカ ID が正常に設定されたことを示す `SigningAttributesOrigin` パラメータの親リージョンの値が含まれます。

```
{
  "DkimAttributes": {
    "SigningAttributesOrigin": "AWS_SES_US_EAST_1"
  }
}
```

### DEED を使用するために必要なアクセス許可
<a name="required-permissions"></a>

DEED を使用するには、以下が必要です。

1. レプリカリージョンで E メール ID を作成するための標準アクセス許可。

1. 親リージョンから DKIM 署名キーをレプリケートするアクセス許可。

#### DKIM レプリケーションの IAM ポリシーの例
<a name="example-iam-policy"></a>

次のポリシーでは、親 ID から指定されたレプリカリージョンへの DKIM 署名キーのレプリケーションを許可します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowDKIMReplication",
      "Effect": "Allow",
      "Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
      "Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
      "Condition": {
        "ForAllValues:StringEquals": {
           "ses:ReplicaRegion": ["us-east-1", "us-east-1"]
        }
      }
    }
  ]
}
```

------

## ベストプラクティス
<a name="deed-best-practices"></a>

次のベストプラクティスが推奨されます。
+ **親リージョンとレプリカリージョンを計画する** – 選択する親リージョンはレプリカリージョンで使用される DKIM 設定の信頼できるソースとなるため、検討が必要です。
+ **一貫した IAM ポリシーを使用する** – IAM ポリシーで、意図したすべてのリージョンで DKIM レプリケーションが許可されていることを確認します。
+ **親 ID をアクティブにしておく** – レプリカ ID は親 ID の DKIM 署名設定を継承することに注意してください。この依存関係により、すべてのレプリカ ID が削除されるまで親 ID を削除することはできません。

## トラブルシューティング
<a name="troubleshooting"></a>

DEED で問題が発生した場合は、次の点を考慮してください。
+ **検証エラー** – DKIM レプリケーションに必要なアクセス許可があることを確認します。
+ **レプリケーションの遅延** – レプリケーションが完了するまでにしばらく時間がかかります (特に新しいレプリカ ID を作成する場合)。
+ **DNS の問題** – 親 ID の DNS レコードが正しく設定され、伝播されていることを確認します。