在 Amazon SES 中使用 Deterministic Easy DKIM(DEED) - Amazon Simple Email Service
什么是 DEED?DEED 的工作原理设置副本身份最佳实践问题排查

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon SES 中使用 Deterministic Easy DKIM(DEED)

Deterministic Easy DKIM (DEED) 为管理多个 DKIM 配置提供了一种解决方案。 AWS 区域通过简化 DNS 管理并确保一致的 DKIM 签名,DEED 帮助您简化多区域电子邮件发送操作,同时保持强大的电子邮件身份验证实践。

什么是 Deterministic Easy DKIM(DEED)?

Deterministic Easy DKIM (DEED) 是一项功能,它 AWS 区域 基于配置了 Easy DKIM 的父域在所有域中生成一致的 DKIM 令牌。这使您可以复制不同身份 AWS 区域 ,这些身份会自动继承和维护与当前使用 Easy DKIM 配置的父身份相同的 DKIM 签名配置。使用 DEED,您只需要为父身份发布一次 DNS 记录,副本身份将使用相同的 DNS 记录来验证域所有权和管理 DKIM 签名。

通过简化 DNS 管理并确保一致的 DKIM 签名,DEED 帮助您简化多区域电子邮件发送操作,同时保持最佳的电子邮件身份验证实践。

讨论 DEED 时使用的术语:

  • 父身份:一个配置了 Easy DKIM 的已验证身份,用作副本身份 DKIM 配置的源。

  • 副本身份:父身份的副本,共享相同的 DNS 设置和 DKIM 签名配置。

  • 父区域:设置父身份的 AWS 区域 。

  • 副本区域:设置副本身份的 AWS 区域 。

  • DEED 身份:任何用作父身份或副本身份的身份。(当创建新身份时,它最初被视为常规(非 DEED)身份。但是,一旦创建了副本,该身份就被视为 DEED 身份。)

使用 DEED 的主要好处包括:

  • 简化的 DNS 管理:仅为父身份发布一次 DNS 记录。

  • 更轻松的多区域操作:简化将电子邮件发送操作扩展到新区域的过程。

  • 减少管理开销:从父身份集中管理 DKIM 配置。

Deterministic Easy DKIM(DEED)的工作原理

当您创建副本身份时,Amazon SES 会自动将 DKIM 签名密钥从父身份复制到副本身份。对父身份进行的任何后续 DKIM 密钥轮换或密钥长度更改都会自动传播到所有副本身份。

该过程涉及以下工作流程:

  1. AWS 区域 使用 Easy DKIM 在中创建家长身份。

  2. 设置父身份所需的 DNS 记录。

  3. 在其他中创建副本身份 AWS 区域,指定父身份的域名和 DKIM 签名区域。

  4. Amazon SES 自动将父级的 DKIM 配置复制到副本身份。

重要注意事项:

  • 您不能创建已经是副本的身份的副本。

  • 父身份必须启用 Easy DKIM:您不能创建 BYODKIM 或手动签名身份的副本。

  • 在删除所有副本身份之前,无法删除父身份。

使用 DEED 设置副本身份

本节将提供示例,向您展示如何使用 DEED 创建和验证副本身份以及所需的必要权限。

创建副本身份

要创建副本身份:

  1. 在要创建副本身份的 AWS 区域 位置中,打开 SES 控制台,网址为https://console.aws.amazon.com/ses/

    (在 SES 控制台中,副本身份被称为全局身份。)

  2. 在导航窗格中,选择身份

  3. 选择创建身份

  4. 身份类型下选择,并输入您要复制并作为父身份的配置了 Easy DKIM 的现有身份的域名。

  5. 展开高级 DKIM 设置并选择 Deterministic Easy DKIM

  6. 父区域下拉菜单中,选择一个父区域,其中存在与您为全局(副本)身份输入的名称相同的、经过 Easy DKIM 签名的身份。(您的副本区域默认为您登录 SES 控制台时所在的区域。)

  7. 确保已启用 DKIM 签名

  8. (可选)向您的域身份添加一个或多个标签

  9. 查看配置并选择创建身份

使用 AWS CLI:

要基于配置了 Easy DKIM 的父身份创建副本身份,您需要指定父级的域名、您要创建副本身份的区域以及父级的 DKIM 签名区域,如本例所示:

aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'

在上述示例中:

  1. example.com替换为正在复制的父域身份。

  2. us-west-2替换为要创建副本域身份的区域。

  3. AWS_SES_US_EAST_1替换为父级的 DKIM 签名区域,该区域代表其 Easy DKIM 签名配置,该配置将被复制到副本身份。

    注意

    AWS_SES_缀表示 DKIM 是使用 Easy DKIM 为父身份配置US_EAST_1的,也是它的 AWS 区域 创建位置。

验证副本身份配置

创建副本身份后,您可以验证它是否已使用父身份的 DKIM 签名配置正确配置。

要验证副本身份,请执行以下操作:

  1. 在创建副本身份 AWS 区域 的位置,打开 SES 控制台,网址为https://console.aws.amazon.com/ses/

  2. 在导航窗格中,选择身份,然后从身份表中选择要验证的身份。

  3. 身份验证选项卡下,DKIM 配置字段将指示状态,而父区域字段将指示该身份使用 DEED 进行 DKIM 签名配置的区域。

使用 AWS CLI:

使用 get-email-identity 命令,指定副本的域名和区域:

aws sesv2 get-email-identity --email-identity example.com --region us-west-2

响应将在 SigningAttributesOrigin 参数中包含父区域的值,表示副本身份已成功配置了父身份的 DKIM 签名配置:

{
  "DkimAttributes": {
    "SigningAttributesOrigin": "AWS_SES_US_EAST_1"
  }
}

使用 DEED 所需的权限

要使用 DEED,您需要:

  1. 在副本区域创建电子邮件身份的标准权限。

  2. 从父区域复制 DKIM 签名密钥的权限。

DKIM 复制的示例 IAM 策略

以下策略允许从父身份到指定副本区域的 DKIM 签名密钥复制:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowDKIMReplication",
      "Effect": "Allow",
      "Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
      "Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
      "Condition": {
        "ForAllValues:StringEquals": {
           "ses:ReplicaRegion": ["us-west-2", "eu-west-1"]
        }
      }
    }
  ]
}

最佳实践

推荐以下最佳实践:

  • 规划您的父区域和副本区域:仔细考虑您选择的父区域,因为它将是副本区域中使用的 DKIM 配置的真实来源。

  • 使用一致的 IAM 策略:确保您的 IAM 策略允许在所有目标区域进行 DKIM 复制。

  • 保持父身份活跃:请记住,您的副本身份继承了父身份的 DKIM 签名配置,由于这种依赖性,在删除所有副本身份之前,您无法删除父身份。

问题排查

如果您遇到 DEED 问题,请考虑以下事项:

  • 验证错误:确保您具有 DKIM 复制所需的必要权限。

  • 复制延迟:允许一些时间让复制完成,尤其是在创建新副本身份时。

  • DNS 问题:验证父身份的 DNS 记录是否正确设置和传播。