本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 租户
本章解释如何使用 Amazon SES 租户管理在您的 SES 账户内隔离、监控和管理跨多个租户的电子邮件发送。此功能可帮助独立软件供应商 (ISVs)、代表多个下游实体发送电子邮件的企业和组织维护单独的信誉档案,并防止一个租户的问题影响其他租户。
## 什么是租户管理?
租户管理是一项允许您在 SES 账户内创建称为“租户”的隔离容器的功能。每个租户可以拥有自己的电子邮件身份、配置集、模板和声誉指标,确保电子邮件活动在不同客户或业务部门之间完全分离。
租户管理解决了以前一个客户的不良电子邮件实践可能暂停整个 SES 账户,影响所有其他客户的挑战。通过租户隔离,您可以独立管理多个电子邮件流,同时保持集中监督和控制。
租户作为一个逻辑容器,将相关的 SES 资源分组在一起。当您代表特定租户发送电子邮件时,SES 跟踪声誉指标,并在租户级别执行策略。这种隔离确保一个租户的高退回率或投诉率不会影响其他租户发送的电子邮件的可交付性。
租户管理特别适用于:
+ **独立软件供应商 (ISVs)** 代表多个客户发送电子邮件。
+ **企业**管理跨不同业务部门的电子邮件通信。
+ **服务提供商**需要按客户端或应用程序隔离电子邮件声誉。
+ **组织**需要按租户遵守不同的监管要求。
## 租户管理的工作原理
租户声誉管理通过为您的电子邮件发送资源创建逻辑容器来工作。您将特定资源分配给每个租户,包括已验证身份(域名和电子邮件地址)、配置集和模板。当代表租户发送电子邮件时,您在 API 调用或 SMTP 标头中指定租户,SES 验证所使用的资源是否与该租户正确关联。
### 资源关联
您的 SES 账户中的资源可以通过两种方式与租户关联:
+ **专用分配**:资源专门由特定租户使用。
+ **共享分配**:资源可供多个租户使用。
当您将资源与租户关联时,该租户获得使用该资源进行电子邮件发送的权限。对于每个发送请求,SES 验证指定租户是否有权使用请求中的身份、配置集和模板。如果资源未正确关联,发送请求将失败。
### 声誉监控和执行
SES 持续监控每个租户的关键声誉指标,包括退回率、投诉率(包括来自邮箱提供商反馈循环(FBL)系统的投诉)和第三方反馈信号。当这些指标超过定义的阈值时,SES 创建“声誉调查发现”,分类为:
+ **低严重性警告**:如果不解决,可能影响可交付性的小问题。
+ **高严重性警告**:可能影响可交付性的严重问题,可能触发执行。
基于这些调查发现,SES 可以通过您配置的声誉策略自动暂停有问题的租户。提供三种执行级别:
+ **标准**(推荐):当检测到高严重性声誉调查发现时,自动暂停租户发送。这提供了平衡的保护,同时最小化中断。
+ **严格**:当检测到任何声誉调查发现(包括低严重性问题)时,自动暂停租户发送。提供最大保护,但可能导致更频繁的暂停。
+ **无**:禁用租户的自动暂停。所有声誉调查发现仍然被记录和可见,但不采取自动执行操作。
当租户的指标触发一个声誉调查发现,该发现满足您所选策略下的执行阈值时,系统自动将租户的发送状态更新为“已暂停”,而不影响其他租户的发送能力。当租户被暂停时,任何使用该租户发送电子邮件的尝试都将失败,直到您审查问题并手动重新启用发送。此外,您可以在需要时手动暂停租户的发送能力,并在准备恢复发送时取消暂停。
## 设置租户
**Topics**
+ [创建租户](#creating-tenants)
+ [将资源分配给租户](#assigning-resources-to-tenant)
+ [配置声誉策略](#configuring-reputation-policies)
### 创建租户
**使用控制台:**
1. 登录 AWS 管理控制台并打开 SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中,选择**租户**。
1. 选择**创建租户**。
1. 在**租户名称**中,输入您的租户的唯一名称。
1. 选择**创建租户**。
**使用 AWS CLI:**
```
aws sesv2 create-tenant \
--tenant-name "MyTenant" \
--region us-east-1
```
### 将资源分配给租户
创建租户后,您必须分配至少一个已验证身份和一个配置集,然后租户才能发送电子邮件。
**使用控制台:**
1. 在 SES 控制台中,导航到**租户**页面。
1. 选择要配置的租户。
1. 在**租户设置**部分,您可以使用**身份**和**配置集**卡片来分配这些资源。或者,您可以向下滚动到选项卡部分,并使用**身份**和**配置集**选项卡执行相同操作。
**注意**
任何尝试删除与租户关联的身份或配置集的操作都将失败。您必须首先从租户中移除这些关联,然后才能删除关联的资源。
1. (可选)您可以通过选择**标签**选项卡为您的租户分配一个或多个标签。
**使用 AWS CLI:**
```
# Assign an identity to a tenant
aws sesv2 create-tenant-resource-association \
--tenant-name "MyTenant" \
--resource-arn "arn:aws:ses:us-east-1:123456789012:identity/example.com" \
--region us-east-1
# Assign a configuration set to a tenant
aws sesv2 create-tenant-resource-association \
--tenant-name "MyTenant" \
--resource-arn "arn:aws:ses:us-east-1:123456789012:configuration-set/MyConfigSet" \
--region us-east-1
```
### 配置声誉策略
声誉策略确定基于声誉指标何时自动暂停租户的电子邮件发送。当您创建租户时,SES 自动分配*标准*声誉策略。如果您想更改为其他策略,请使用以下步骤。
**使用控制台:**
1. 在 SES 控制台中,导航到**租户**页面。
1. 选择要配置的租户。
1. 在**租户设置**部分,您可以使用**声誉策略**卡片来分配策略。或者,您可以向下滚动到选项卡部分,并使用**声誉策略**选项卡执行相同操作。
1. 选择以下策略之一:
+ **标准(推荐)**:当检测到高严重性调查发现时暂停发送。
+ **严格**:当检测到任何调查发现(包括低严重性)时暂停发送。
+ **无**:无论调查发现如何,都不自动暂停发送。*与此级别相关的风险如 [信任与安全](#integration-with-aws-trust-safety) 中所述。*
**使用 AWS CLI:**
```
update-reputation-entity-policy \
--reputation-entity-type "RESOURCE" \
--reputation-entity-reference "arn:aws:ses:us-east-1:123456789012:tenant/tenantId" \
--reputation-entity-policy "arn:aws:ses:us-east-1:aws:reputation-policy/standard"
```
## 通过租户发送电子邮件
当通过租户发送电子邮件时,您必须在 API 调用或 SMTP 标头中指定租户,并确保所有使用的资源都与该租户关联。
**Topics**
+ [对租户使用 SendEmail API](#using-sendemail-api-with-tenants)
+ [正在通过租户使用 SMTP](#using-smtp-with-tenants)
### 对租户使用 SendEmail API
**AWS CLI 示例**:
```
aws sesv2 send-email \
--tenant-name "MyTenant" \
--from-email-address "sender@example.com" \
--destination "ToAddresses=recipient@example.com" \
--content "Simple={Subject={Data='Test Subject',Charset=utf-8},Body={Text={Data='Test email body',Charset=utf-8}}}" \
--configuration-set-name "MyConfigSet"
```
**AWS Python 软件开发工具包示例:**
```
import boto3
client = boto3.client('sesv2')
response = client.send_email(
FromEmailAddress='sender@example.com',
Destination={
'ToAddresses': ['recipient@example.com']
},
Content={
'Simple': {
'Subject': {
'Data': 'Test email'
},
'Body': {
'Text': {
'Data': 'This is a test email sent using a tenant.'
}
}
}
},
ConfigurationSetName='MyConfigurationSet',
TenantName='MyTenant'
)
```
### 正在通过租户使用 SMTP
当使用 SMTP 通过租户发送电子邮件时,在电子邮件标头中包含租户信息:
```
X-SES-TENANT: MyTenant
```
此标头告诉 SES 哪个租户应用于电子邮件发送操作,允许 SES 应用适当的资源验证和声誉跟踪。
## 管理租户状态
**Topics**
+ [查看租户状态和指标](#viewing-tenant-status-and-metrics)
+ [暂停和取消暂停租户](#pausing-and-unpausing-tenants)
### 查看租户状态和指标
**使用控制台:**
1. 在 SES 控制台中,导航到**租户**页面。
1. 选择一个租户以查看其详细信息。
1. **租户状态**框显示:
**发送状态:**。
+ **已启用**:租户可以发送电子邮件。
+ **已暂停**:您或 SES 自动策略已暂停此租户的发送。
+ **强制执行**:SES 由于严重的声誉问题已暂停发送。
+ **已恢复**:发送在暂停后被重新激活。
**声誉状态:**
+ **未检测到调查发现**:没有影响可交付性的问题。
+ **低严重性警告**:如果不解决,可能影响可交付性的小问题。
+ **高严重性警告**:可能影响可交付性的严重问题。
1. 向下滚动到**资源**选项卡下的**发送统计信息**以查看所选日期范围内的投递、退回和投诉指标。
**使用 AWS CLI:**
```
# Get tenant details
aws sesv2 get-tenant --tenant-name "MyTenant"
```
### 暂停和取消暂停租户
您可以在需要时手动暂停租户的发送能力,并在准备恢复发送时取消暂停。
**使用控制台:**
1. 在 SES 控制台中,导航到**租户**页面。
1. 选择您要暂停或取消暂停的租户旁边的复选框。
1. 选择**暂停发送**或**恢复发送**。
1. 确认该操作。
**使用 AWS CLI:**
要暂停租户:
```
# Pause a tenant
aws sesv2 update-reputation-entity-customer-managed-status \
--reputation-entity-type RESOURCE
--reputation-entity-reference "arn:aws:ses:us-east-1:593442965613:tenant/tenantId"
--sending-status DISABLED
```
要取消暂停租户,请执行以下操作:
```
# Unpause a tenant
aws sesv2 update-reputation-entity-customer-managed-status \
--reputation-entity-type RESOURCE
--reputation-entity-reference "arn:aws:ses:us-east-1:593442965613:tenant/tenantId"
--sending-status ENABLED
```
## 处理声誉调查发现
**Topics**
+ [查看声誉调查发现](#viewing-reputation-findings)
+ [了解声誉调查发现](#understanding-reputation-findings)
+ [正在解决声誉问题](#resolving-reputation-issues)
### 查看声誉调查发现
**使用控制台:**
1. 在 SES 控制台中,导航到**租户**页面。
1. 选择您要检查的租户。
1. 导航至**声誉调查发现**表。
1. 查看任何有效调查发现,包括其类型、严重性、检测日期和解决问题的指导。
**使用 AWS CLI:**
```
aws sesv2 list-recommendations \
--filter='{ "RESOURCE_ARN":"arn:aws:ses:us-east-1:012345678901:tenant/tenantId"}'
```
该响应包括所有有效调查发现的详细信息:
```
{
"Recommendations": [
{
"ResourceArn": "arn:aws:ses:us-east-1:012345678901:tenant/{tenant-name}/{tenant-id}",
"Type": "BOUNCE",
"Description": "The bounce rate exceeded 15.0% based on a representative volume of 664 emails from July 11, 2025 at 14:41 (UTC) to July 11, 2025 at 16:26 (UTC).",
"Status": "OPEN",
"CreatedTimestamp": "2025-07-11T16:16:14.029000+00:00",
"LastUpdatedTimestamp": "2025-07-11T16:37:14.145000+00:00",
"Impact": "HIGH"
}
]
}
```
### 了解声誉调查发现
声誉调查发现可让您深入了解租户电子邮件发送实践中潜在问题。每项调查发现包括:
+ **影响**:严重性级别(高或低)。
+ **调查发现类型**:退回率、投诉率、来自邮箱提供商的第三方反馈以及 IP 阻止列表列表。
+ **年龄**:自首次检测日期以来的时间。
+ **描述**:关于问题的上下文(例如触发调查发现的具体速率)。
+ **最后检查**:最近状态更新的日期。
+ **解决问题**:链接到 SES 开发人员指南中的相关部分,提供帮助解决问题的指导。
常见的调查发现包括:
+ **高退回率**:当退回率超过配置的阈值时。
+ **投诉活动**:当从邮箱提供商收到的垃圾邮件报告超过阈值时。
+ **第三方反馈**:来自邮箱提供商的负面信号。
+ **屏蔽名单露面** — 发送时 IPs 会出现在信誉屏蔽名单上。
### 正在解决声誉问题
当您收到声誉调查发现时,重要的是调查根本原因并迅速采取纠正措施:
1. **解决根本原因**:建议您的租户改进列表卫生、更新电子邮件内容或修复技术问题。
1. **审查发送实践**:确保您的租户遵守电子邮件最佳实践。
1. **监控指标**:观察退回率和投诉率的改进。
1. **与受影响方沟通**:通知相关利益相关者关于问题和解决步骤。
## 监控和分析
**Topics**
+ [设置 CloudWatch 指标](#cloud-watch-metrics)
+ [设置 EventBridge 通知](#setting-up-eventbridge-notifications)
### 设置 CloudWatch 指标
SES 会向 Amazon 发布租户特定的指标。 CloudWatch每个租户可使用以下指标:
+ **发送**:租户发送的电子邮件总数。
+ **退回**:租户的退回电子邮件数量。
+ **投诉**:租户的投诉电子邮件数量。
**在以下位置访问租户指标 CloudWatch:**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在导航窗格中,选择**指标**。
1. 选择 **AWS/SES** 命名空间。
1. 选择**按 TenantId**和**TenantName**查看租户特定的指标。
### 设置 EventBridge 通知
默认情况下,当检测到租户信誉发现或租户状态发生变化时,SES 会将事件发送到 EventBridge 默认事件总线。
您可以在默认事件总线上创建规则,以识别要发送 EventBridge到一个或多个指定目标的特定事件。
提供以下详细类型:
**有关租户发送状态更改:**
+ `Sending Status Enabled`:租户已启用,可以发送电子邮件。
+ `Sending Status Disabled`:租户已被暂停,无法发送电子邮件。
**有关声誉调查发现:**
+ `Advisor Recommendation Status Open`
+ `Advisor Recommendation Status Closed`
**设置 EventBridge 规则**
1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 选择 **Create rule**(创建规则)。
1. 为您的规则输入名称和描述。
1. 对于 **Define pattern**(定义模式),选择 **Event pattern**(事件模式)。
1. 选择 **Pre-defined pattern by service**(服务预定义的模式)。
1. 选择 **SES** 作为服务名称。
1. 有关**事件类型**,选择**发送状态已启用**或**发送状态已禁用**。
1. 配置事件模式以匹配您感兴趣的特定事件。
1. 选择您的目标(例如 AWS Lambda 函数、亚马逊 SNS 主题或亚马逊 SQS 队列)。
1. 根据需要配置任何其他设置。
1. 选择**创建**。
**信誉调查结果的 EventBridge 规则模式示例:**
```
{
"detail-type": "Advisor Recommendation Status Open",
"source": "aws.ses",
"account": "012345678901",
"time": "2023-11-15T17:00:59Z",
"region": "us-east-1",
"resources": [
"arn:aws:ses:us-east-1:012345678901:tenant/{tenant-name}/{tenant-id}"
],
"detail": {
"version": "1.0.0",
"data": "The bounce rate exceeded 15.0% based on a representative volume of 197 emails from July 11, 2025 at 14:43 (UTC) to July 11, 2025 at 16:13 (UTC).",
"metadata":{"impact":"HIGH","type":"BOUNCE"}
}
}
```
**发送状态更改的 EventBridge 规则模式示例:**
```
{
"detail-type": "Sending Status Disabled",
"source": "aws.ses",
"account": "012345678901",
"time": "2025-07-24T12:44:28Z",
"region": "us-east-1",
"resources": [
"arn:aws:ses:us-east-1:012345678901:tenant/{tenant-name}/{tenant-id}"
],
"detail": {
"version": "1.0.0",
"data": {
"origin": "CUSTOMER_MANAGED",
"record": {
"status": "DISABLED",
"cause": "Status manually updated.",
"lastUpdatedTimestamp": [2025, 7, 24, 12, 44, 28, 995000000]
}
}
}
}
```
字段描述:
+ **source**:标识生成事件的服务。对于 SES 事件,此值为 `aws.ses`。
+ **detail-type**:状态更改事件的类型(参见上面的事件类型)。
+ **resources**:包含受影响租户 ARN 的数组。
+ **deta.data.origin** — 状态变更的来源(例如,“CUSTOMER\_MANAGED” 或 “”)。AWS\_MANAGED
+ **detail.data.record.status**:租户的新状态(ENABLED、DISABLED 或 REINSTATED)。
+ **detail.data.record.cause**:状态更改原因的描述。
+ **详情.data.record。 lastUpdatedTimestamp **— 更新状态的时间戳。
您可以使用这些事件来监控租户状态更改并在应用程序中自动化响应。例如,您可能希望在租户被禁用时触发警报,或随时间跟踪租户运行状况指标。
## 与 AWS 信任与安全集成
当 T AWS rust & Safety 检测到通常会导致账户级执法的问题时,租户系统会启用更有针对性的响应。信任与安全可以仅暂停有问题的租户,而允许合规的租户继续发送,而不是暂停您的整个账户。
这种租户级别的执行减少了声誉问题的影响,并有助于维护您其他电子邮件流的业务连续性。
当 SES 因影响租户声誉的高严重性问题而禁用发送并将您的账户置于审核之下时,您将收到通知。Su AWS pport Center 将为您开启一个案例,以便您可以与 Trust & Safety 合作解决问题并恢复对受影响租户的发送。
**注意**
作为账户所有者,监控您所有租户的声誉指标是您的责任。虽然租户功能在租户级别隔离了声誉跟踪,但它们的综合发送活动仍会影响您的整体账户声誉——养成不良发送实践的租户可能会使您的整个账户面临风险。因此,必须确保所有租户保持良好的电子邮件发送实践,以保护您账户的声誉。
## 最佳实践
遵循以下最佳实践以有效管理 Amazon SES 中的租户声誉:
+ **从标准策略开始**:对于大多数租户,标准声誉策略在保护和操作稳定性之间提供了良好的平衡。
+ **在强制执行之前进行监控** — 新租户入职时,请考虑暂时使用 “无” 策略,同时监控他们的发送模式(例如使用 EventBridge),然后再启用自动强制执行。
+ **设置 EventBridge 通知**-针对信誉发现创建警报,以便在自动暂停发生之前采取主动行动。
+ **定期审查租户指标**:即使在没有任何声誉调查发现的情况下,也监控租户级别的发送统计数据,以识别新出现的模式。
+ **教育您的租户**:提供关于 [电子邮件最佳实践](best-practices.md) 的指南,以帮助租户保持良好的发送声誉。
+ **应用适当的策略**:对高风险租户或有声誉问题历史的租户应用严格策略。
+ **快速响应调查发现**:当检测到调查发现时,立即调查根本原因并采取适当的纠正措施。
+ **资源规划**:设计您的租户结构以匹配您的业务需求。租户可以代表多个客户 (ISVs)、业务部门、 client/application 类型和监管要求。
## 限制
使用租户管理时,请注意以下限制:
+ **区域范围**:租户是特定于区域的,不会在 AWS 区域之间自动复制。如果您从多个区域发送电子邮件,您需要在每个区域单独配置和监控租户声誉。
+ **配额限制**:默认情况下,账户最多可以创建 10000 个租户。您可以通过 AWS 服务配额控制台请求增加,对于符合条件的账户,自动批准最多可达 300000 个租户。
+ **配置集要求**:当代表租户发送时,您必须指定与该租户关联的配置集,或者使用具有与该租户关联的默认配置集的身份。
+ **指标计算周期**:声誉指标基于最近的发送活动计算,通常根据指标类型在 24 小时到 7 天的滚动周期内进行。
+ **最低发送量**:一些声誉调查发现需要最低代表性的电子邮件量才能触发。
+ **重新启用宽限期**:在重新启用已暂停的租户后,他们会进入“已恢复”状态,在此状态下,活动的声誉调查发现会被暂时忽略,以允许租户恢复。租户将保持此状态,直到所有活动的调查发现得到解决。
+ **跨账户限制**-租户不能跨多个 AWS 账户。每个账户独立管理自己的一组租户。
+ **无租户嵌套**:租户不能包含其他租户——它们是扁平结构。
## 定价
根据电子邮件数量,每月每个租户会收取额外费用。有关详细定价信息,请参阅 [SES 定价页面](https://aws.amazon.com/ses/pricing/)。
CloudWatch 与租户指标一起使用时,作为基本监控的一部分,将免费提供每个租户的标准 CloudWatch 指标。自定义仪表板、警报或详细监控等其他 CloudWatch 功能可能会产生标准 CloudWatch费用。