View a markdown version of this page

Eingangsendpunkte - Amazon Simple Email Service
Konfiguration von Ingress-EndpunktenTLS-RichtliniemTLS-AuthentifizierungEinen Ingress-Endpunkt (Konsole) erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eingangsendpunkte

Ein Eingangsendpunkt ist die wichtigste Infrastrukturkomponente in Mail Manager, die Ihre E-Mails empfängt, weiterleitet und verwaltet. Dabei werden von Ihnen konfigurierte Richtlinien und Regeln verwendet, um festzulegen, welche E-Mails abgelehnt, welche zugelassen werden sollen und auf welche reagiert werden soll.

Jeder Eingangsendpunkt hat seine eigene Datenverkehrsrichtlinie, mit der festgelegt wird, welche E-Mails blockiert oder zugelassen werden sollen, und einen eigenen Regelsatz zur Ausführung von Aktionen an den E-Mails, die Sie zulassen. Wenn Sie also mehrere Eingangsendpunkte erstellen, können Sie jeden einzelnen delegieren, um bestimmte Arten von E-Mails zu verwalten und weiterzuleiten. Diese Granularität hilft Ihnen beim Aufbau eines E-Mail-Managementsystems, das auf Ihre Geschäftsanforderungen zugeschnitten ist.

Erforderlicher Workflow zur Erstellung eines Eingangsendpunkts

Zum Zeitpunkt der Erstellung Ihres Eingangsendpunkts müssen Sie ihm eine Verkehrsrichtlinie und einen Regelsatz zuweisen, die bereits erstellt wurden. Daher sollte der Arbeitsablauf für die Erstellung eines Eingangsendpunkts in der folgenden Reihenfolge ablaufen:

  1. Erstellen Sie zunächst eine Verkehrsrichtlinie, um festzulegen, welche E-Mail Sie blockieren oder zulassen möchten. Details hierzu finden Sie unter Erstellen von Verkehrsrichtlinien und Richtlinienerklärungen in der SES-Konsole.

  2. Erstellen Sie als Nächstes einen Regelsatz für die Ausführung von Aktionen an der E-Mail, die Sie zulassen. Details hierzu finden Sie unter Regelsätze und Regeln in der SES-Konsole erstellen.

  3. Erstellen Sie abschließend Ihren Eingangsendpunkt und weisen Sie ihm die Verkehrsrichtlinie und den Regelsatz zu, den Sie gerade erstellt haben, oder alle anderen, die Sie zuvor erstellt haben.

Sobald Sie Ihren Eingangsendpunkt erstellt haben, müssen Sie ihn mit der Umgebung konfigurieren, die Sie für den E-Mail-Empfang verwenden, unabhängig davon, ob es sich dabei um die Konfiguration eines lokalen SMTP-Clients oder eines webbasierten DNS-Domain-Hosts handelt. Dies wird weiter unten unter erörtert. Empfangen von E-Mails über die öffentlichen Endpunkte

Konfiguration Ihrer Umgebung für die Verwendung eines Ingress-Endpunkts

SES unterstützt sowohl öffentliche Endpunkte als auch Amazon Virtual Private Cloud (VPC) -Endpunkte, damit Eingangsendpunkte eingehende E-Mails annehmen können. In den folgenden Abschnitten wird erklärt, wie Sie Ihren Eingangsendpunkt so konfigurieren, dass er eine dieser Optionen verwendet.

Empfangen von E-Mails über die öffentlichen Endpunkte

Verwenden des „A“ -Datensatzes

Wenn Sie einen Eingangsendpunkt erstellen, wird ein A-Eintrag für den Endpunkt generiert und sein Wert wird auf dem Übersichtsbildschirm des Eingangsendpunkts in der SES-Konsole angezeigt. Wie Sie den Wert dieses Datensatzes verwenden, hängt von der Art des von Ihnen erstellten Endpunkts und Ihrem Anwendungsfall ab:

  • Offener Endpunkt — An Ihre Domain gesendete E-Mails werden direkt an Ihren Eingangsendpunkt weitergeleitet — eine Authentifizierung ist nicht erforderlich.

    • Kopieren Sie den Wert des „A“ -Eintrags und fügen Sie ihn entweder direkt in die SMTP-Konfiguration eines SMTP-Clients vor Ort oder in einen MX-Eintrag für Ihre Domain in Ihrer DNS-Konfiguration ein.

    • Unterstützter Port: 25

    • Unterstützt STARTTLS: Ja

  • Authentifizierter Endpunkt — E-Mails, die an Ihre Domain gesendet werden, müssen von autorisierten Absendern stammen, mit denen Sie Ihre SMTP-Anmeldeinformationen geteilt haben, z. B. von Ihren lokalen E-Mail-Servern.

    • Kopieren Sie den Wert des „A“ -Eintrags und fügen Sie ihn zusammen mit Ihrem Benutzernamen und Passwort direkt in die SMTP-Konfiguration eines SMTP-Clients vor Ort ein.

    • Unterstützte Ports: 25, 587 (RFC 2476)

    • Unterstützt STARTTLS: Ja

  • mTLS-Endpunkt — An Ihre Domain gesendete E-Mails müssen von Clients stammen, die ein TLS-Client-Zertifikat vorlegen, das von einer der Zertifizierungsstellen (CAs) im Trust Store des Eingangsendpunkts signiert wurde. Siehe Gegenseitige TLS-Authentifizierung (mTLS) für Eingangsendpunkte.

    • Kopieren Sie den Wert des „A“ -Eintrags und fügen Sie ihn direkt in die SMTP-Konfiguration eines SMTP-Clients vor Ort ein.

    • Unterstützter Port: 25

    • Unterstützt STARTTLS: Ja

Wenn Sie in Ihrer Konfiguration einen MX-Eintrag verwenden, denken Sie daran, dass zwar jeder DNS-Anbieter über unterschiedliche Verfahren und Schnittstellen für die Konfiguration von Einträgen verfügt, die wichtigsten Informationen, die Sie in Ihre DNS-Einstellungen eingeben müssen, jedoch im folgenden Beispiel aufgeführt sind:

Alle an recipient@marketing.example.com gesendeten E-Mails werden an Ihren Eingangsendpunkt gesendet, da Sie den A-Eintrag des Eingangsendpunkts als Wert für einen MX-Eintrag in den DNS-Einstellungen Ihrer Domain eingegeben haben:

  • Domäne — marketing.example.com

  • MX-Eintragswert890123abcdef.ghijk.mail-manager-smtp.amazonaws.com (Dies ist der „A“ -Datensatzwert, der von Ihrem Eingangsendpunkt kopiert wurde.)

  • Priorität10

Verbindung zum authentifizierten Endpunkt herstellen

Für die autorisierten Absender, mit denen Sie Ihre SMTP-Anmeldeinformationen geteilt haben, um eine Verbindung zu Ihrem authentifizierten Endpunkt herzustellen, müssen die folgenden Protokolle für den Benutzernamen und das Passwort befolgt werden, um eine erfolgreiche Verbindung zum Server herzustellen:

  • Benutzername — Dies ist die ID des Eingangsendpunkts und muss in Base64 codiert sein. (Siehe Schritt 11. in den Konsolenprozeduren erfahren Sie, wie Sie die Eingangs-Endpunkt-ID finden.)

  • Passwort — Dieses Passwort wird bei der Erstellung des Eingangsendpunkts verwendet und muss in Base64 codiert sein.

Das folgende Beispiel zeigt einen typischen Austausch zwischen SMTP-AUTH-Server und -Client, der eine Verbindung herstellt:

S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful

Dieses Beispiel enthält die folgenden Eigenschaften:

Empfangen von E-Mails über Amazon VPC-Endpunkte

Zusätzlich zu öffentlichen Eingangsendpunkten können Sie VPC-Endpunkte mit SES-Eingangsendpunkten für die sichere, private E-Mail-Aufnahme innerhalb Ihrer privaten Netzwerkinfrastruktur verwenden.

Konfigurationsunterschiede im Vergleich zur Verwendung von Endpunkten für öffentliche Eingänge

  • Der A-Eintrag, der normalerweise für öffentliche Endpunkte verfügbar ist, wird nicht bereitgestellt.

  • Sie müssen mithilfe der von Ihrem VPC-Endpunkt bereitgestellten DNS-Namen eine Verbindung zum Eingangsendpunkt herstellen.

  • Alle Verbindungen verwenden private Netzwerke innerhalb Ihrer VPC.

Arten von Eingangsendpunkten, die über VPC-Endpunkte unterstützt werden

SES unterstützt zwei Arten von Eingangspunkten über VPC-Endpunkte:

  • Eingangsendpunkt öffnen — E-Mails, die an Ihre Domain gesendet werden, werden direkt über den VPC-Endpunkt weitergeleitet, ohne dass eine Absenderauthentifizierung erforderlich ist.

    Anforderungen an die Konfiguration:

    • Erstellen Sie einen privaten Open-Ingress-Endpunkt, indem Sie ihn einer VPC-Endpunkt-ID zuordnen, die Sie besitzen.

    • Unterstützte Ports: 25, 587

    • Unterstützt STARTTLS: Ja

  • Authentifizierter Eingangsendpunkt — E-Mails, die an Ihre Domain gesendet werden, müssen von autorisierten Absendern stammen, mit denen Sie Ihre SMTP-Anmeldeinformationen geteilt haben, z. B. von Ihren lokalen E-Mail-Servern.

    Anforderungen an die Konfiguration:

    • Erstellen Sie einen privaten authentifizierten Eingangsendpunkt, indem Sie ihn einer VPC-Endpunkt-ID zuordnen, die Sie besitzen.

    • Unterstützte Ports: 25, 587

    • Unterstützt STARTTLS: Ja

    • Die Authentifizierung verwendet denselben Base64-codierten Benutzernamen und Passwortmechanismus wie bei öffentlich authentifizierten Endpunkten.

VPC-Endpunktanforderungen

Um einen VPC-Endpunkt mit einem SES-Ingress-Endpunkt zu verwenden, müssen die folgenden Anforderungen erfüllt sein:

  • Der VPC-Endpunkt muss aktiv und verfügbar sein.

  • Der VPC-Endpunkt muss demselben AWS Konto gehören wie der Eingangsendpunkt (kontoübergreifender Zugriff wird nicht unterstützt).

  • Der VPC-Endpunkt muss für den entsprechenden Dienstnamen basierend auf dem Typ des Eingangsendpunkts erstellt werden:

    • Eingangsendpunkt öffnencom.amazonaws.region.mail-manager-smtp.open

    • Authentifizierter Eingangsendpunktcom.amazonaws.region.mail-manager-smtp.auth

    • FIPS-Endpunkt für offenen Eingangszugriffcom.amazonaws.region.mail-manager-smtp.open.fips

    • FIPS-authentifizierter Eingangsendpunktcom.amazonaws.region.mail-manager-smtp.auth.fips

Wichtige Hinweise zur Konfiguration

  • One-to-one Beziehung — Jeder VPC-Endpunkt kann nur einem einzelnen Eingangsendpunkt zugeordnet werden. Sie können denselben VPC-Endpunkt nicht für mehrere Eingangsendpunkte verwenden.

  • Keine VPC-Endpunktrichtlinien — Im Gegensatz zu anderen AWS Diensten unterstützen VPC-Endpunkte, die mit Eingangsendpunkten verwendet werden, keine VPC-Endpunktrichtlinien. SES überprüft automatisch, ob der Besitzer des VPC-Endpunkts und der Eigentümer des Eingangsendpunkts dasselbe Konto sind. AWS

  • Nur privates DNS — Alle vom VPC-Endpunkt bereitgestellten DNS-Namen sind private DNS-Namen, auf die nur innerhalb Ihrer VPC zugegriffen werden kann.

  • Validierung zum Zeitpunkt der Erstellung — SES führt während der Ressourcenerstellung eine Validierung durch, um sicherzustellen, dass der VPC-Endpunkt alle Anforderungen erfüllt.

  • Die TLS-Richtlinie muss mit VPC VPC-Endpunktdienst übereinstimmen — Beim Erstellen eines privaten Eingangsendpunkts muss der TLS-Richtlinienwert dem VPC-Endpunktdiensttyp entsprechen. Ein Eingangsendpunkt mit einer FIPS TLS-Richtlinie muss einen FIPS-VPC-Endpunktdienst verwenden, und ein Eingangsendpunkt mit einer REQUIRED oder OPTIONAL TLS-Richtlinie muss einen Nicht-FIPS-VPC-Endpunktdienst verwenden. Sie können nicht gemischt werden.

Über einen VPC-Endpunkt eine Verbindung zu Ihrem Ingress-Endpunkt herstellen

Nachdem Sie Ihren VPC-Endpunkt und Ihren Ingress-Endpunkt konfiguriert haben:

  1. Rufen Sie die für Ihren VPC-Endpunkt generierten DNS-Namen ab.

  2. Konfigurieren Sie Ihre SMTP-Clients oder E-Mail-Server so, dass sie diese DNS-Namen für die Verbindung verwenden.

  3. Wenn Sie einen authentifizierten Endpunkt verwenden, konfigurieren Sie Ihre SMTP-Clients mit den entsprechenden Base64-codierten Anmeldeinformationen, die für Ihren authentifizierten Eingangsendpunkt verwendet werden.

TLS-Richtlinie für Eingangsendpunkte

Die TLS-Richtlinie für einen Eingangsendpunkt steuert, ob SMTP-Clients, die eine Verbindung herstellen, beim Senden von E-Mails an Ihren Endpunkt die TLS-Verschlüsselung verwenden müssen. Sie können beim Erstellen eines Eingangsendpunkts mithilfe der CreateIngressPoint API eine TLS-Richtlinie angeben und diese später mithilfe der API ändern. UpdateIngressPoint Die Standard-TLS-Richtlinie hängt von Ihrer Region ab: Sie FIPS ist die Standardrichtlinie in den USA und Kanada und REQUIRED die Standardrichtlinie in allen anderen Regionen.

Alle Ingress-Endpunktverbindungen verwenden opportunistisches TLS über den Befehl STARTTLS. Die Verbindung beginnt als Klartext und wird auf TLS aktualisiert, wenn der Client, der die Verbindung herstellt, dies unterstützt. Implizites TLS (TLS Wrapper), bei dem die Verbindung verschlüsselt beginnt, wird nicht unterstützt.

Die folgenden TLS-Richtlinienwerte sind verfügbar:

  • FIPS — Erfordert TLS-Verschlüsselung mit FIPS-validierten kryptografischen Modulen. Dies ist die Standardeinstellung in den Regionen USA und Kanada und nur in diesen Regionen verfügbar.

  • ERFORDERLICH — SMTP-Clients, die eine Verbindung herstellen, müssen TLS-Verschlüsselung verwenden. Verbindungen, die kein TLS verwenden, werden abgelehnt. Dies ist die Standardeinstellung in Regionen außerhalb der USA und Kanada.

  • OPTIONAL — TLS-Verschlüsselung wird unterstützt, ist aber nicht erforderlich. SMTP-Clients, die eine Verbindung herstellen, können E-Mails mit oder ohne TLS senden.

Verfügbarkeit nach Eingangsendpunkttyp

Nicht alle TLS-Richtlinienwerte sind für jede Kombination aus Eingangsendpunkttyp und Netzwerkkonfiguration gültig:

  • FIPS — Kann mit allen Eingangsendpunkttypen (offen, authentifiziert und mTLS) in öffentlichen Netzwerken und mit offenen und authentifizierten Eingangsendpunkten in privaten Netzwerken verwendet werden, jedoch nur in den Regionen USA und Kanada. Einmal festgelegt, FIPS kann er nicht durch ein Update auf einen anderen Wert geändert werden. Wenn Sie eine andere TLS-Richtlinie benötigen, müssen Sie einen neuen Eingangsendpunkt erstellen.

  • ERFORDERLICH — Kann mit allen Eingangs-Endpunkttypen in allen Regionen verwendet werden. Für authentifizierte Endpunkte und mTLS-Eingangsendpunkte in öffentlichen Netzwerken kann dies jedoch nur bei der Erstellung festgelegt werden — es REQUIRED kann nicht durch ein Update geändert werden. Kann bei offenen Eingangsendpunkten (öffentlich oder privat) und authentifizierten Eingangsendpunkten in privaten Netzwerken bei der Erstellung festgelegt und durch ein Update geändert REQUIRED werden. Beachten Sie, dass REQUIRED dies nicht für authentifizierte oder mTLS-Eingangsendpunkte in öffentlichen Netzwerken in den Regionen USA und Kanada verfügbar ist, wo FIPS stattdessen verwendet wird.

  • OPTIONAL — Kann mit offenen Eingangsendpunkten in öffentlichen und privaten Netzwerken und mit authentifizierten Eingangsendpunkten in privaten Netzwerken verwendet werden. OPTIONAList nicht für mTLS-Eingangsendpunkte und nicht für authentifizierte Eingangsendpunkte in öffentlichen Netzwerken verfügbar.

Regeln für die Änderung der TLS-Richtlinie

Die folgenden Regeln gelten, wenn die TLS-Richtlinie auf einem vorhandenen Eingangsendpunkt aktualisiert wird:

  • FIPSkann nach der Erstellung nicht geändert werden.

  • Bei offenen Eingangsendpunkten und authentifizierten Eingangsendpunkten in privaten Netzwerken können Sie zwischen und wechseln. REQUIRED OPTIONAL

  • Für mTLS-Eingangsendpunkte und authentifizierte Eingangsendpunkte in öffentlichen Netzwerken kann die TLS-Richtlinie nach der Erstellung nicht geändert werden.

Gegenseitige TLS-Authentifizierung (mTLS) für Eingangsendpunkte

Für die gegenseitige TLS-Authentifizierung (mTLS) müssen SMTP-Clients, die eine Verbindung herstellen, ein TLS-Client-Zertifikat vorlegen, das von einer der Zertifizierungsstellen (CAs) im Trust Store des Eingangsendpunkts signiert wurde. Nur Clients mit vertrauenswürdigen Zertifikaten können E-Mails an Ihren Endpunkt senden.

Wichtig

Die mTLS-Authentifizierung ist nur für öffentliche Eingangsendpunkte verfügbar. Amazon VPC-Endpunkte unterstützen keine mTLS-Authentifizierung.

Um einen mTLS-Eingangsendpunkt zu erstellen, wählen Sie MTLS als Eingangsendpunkttyp und geben Sie im API-Parameter ein TlsAuthConfiguration enthaltendes a TrustStore an. IngressPointConfiguration CreateIngressPoint

Konfiguration des Vertrauensspeichers

Der Trust Store definiert, welche Client-Zertifikate von Ihrem Eingangsendpunkt akzeptiert werden. Dies umfasst die folgenden Felder:

  • CAContent(erforderlich) — Ein Zertifikatspaket der Zertifizierungsstelle (CA) im PEM-Format. Dieses Paket enthält die CA-Zertifikate, die zur Validierung von Client-Zertifikaten verwendet werden. Sie können mehrere CA-Zertifikate bis zu 500 KB in einem einzigen Paket zusammenfassen.

  • CrlContent(optional) — Eine Zertifikatssperrliste (CRL) im PEM-Format. Falls angegeben, werden Client-Zertifikate, die auf der CRL erscheinen, abgelehnt, auch wenn sie von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden. Bis zu 500 KB.

  • KmsKeyArn(optional) — Der ARN eines vom AWS KMS Kunden verwalteten Schlüssels (CMK), der zur Verschlüsselung der Trust Store-Daten verwendet wird. Wenn nicht angegeben, wird ein AWS verwalteter Schlüssel verwendet. Bei Verwendung eines CMK muss die Schlüsselrichtlinie SES die Verwendung des Schlüssels ermöglichen. Siehe KMS-Schlüsselrichtlinie für vom Kunden verwaltete Schlüssel (CMK) für den MTLs Trust Store.

Abgelaufene Zertifikate gelten als ungültig und werden in Verbindungen nicht akzeptiert. SES filtert außerdem abgelaufene CA-Zertifikate und Sperrlisten für abgelaufene Zertifikate (CRLs) aus Ihrem Trust Store heraus. Wenn eine CRL abläuft, wird das mit dieser CRL verknüpfte CA-Zertifikat ebenfalls aus dem Trust Store entfernt, was bedeutet, dass von dieser CA signierte Clients keine Verbindung mehr herstellen können, bis Sie eine aktualisierte CRL angeben.

Verwendung von Client-Zertifikatsattributen in Regelbedingungen

Wenn ein Client mit einem gültigen Zertifikat eine Verbindung zu einem mTLS-Eingangsendpunkt herstellt, werden die Zertifikatsattribute (wie die Felder Common Name, Seriennummer und Alternativer Betreffname) für die Verwendung in Regelbedingungen als Zeichenfolgenausdrücke zur Verfügung gestellt. Auf diese Weise können Sie E-Mails basierend auf der Identität des verbindenden Clients weiterleiten, filtern oder bearbeiten. Die vollständige Liste der verfügbaren Attribute finden Sie in der Referenz zu den Regelbedingungen.

Einen Ingress-Endpunkt in der SES-Konsole erstellen

Das folgende Verfahren zeigt Ihnen, wie Sie die Ingress-Endpunktseite in der SES-Konsole verwenden, um Eingangsendpunkte zu erstellen und die bereits erstellten zu verwalten.

So erstellen und verwalten Sie Ingress-Endpoints mithilfe der Konsole

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter https://console.aws.amazon.com/ses/.

  2. Wählen Sie im linken Navigationsbereich unter Mail Manager die Option Ingress Endpoints aus.

  3. Wählen Sie auf der Seite Ingress-Endpoints die Option Ingress-Endpoint erstellen aus.

  4. Geben Sie auf der Seite Neuen Eingangsendpunkt erstellen einen eindeutigen Namen für Ihren Eingangsendpunkt ein.

  5. Wählen Sie aus, ob es sich um einen offenen, authentifizierten oder mTLS-Endpunkt handeln soll.

    • Wenn Sie Authentifiziert wählen, wählen Sie entweder SMTP-Passwort und geben Sie ein Passwort ein (das mit autorisierten Absendern geteilt werden soll) oder Geheim und wählen Sie eines Ihrer Geheimnisse aus Secret ARN aus. Wenn Sie ein zuvor erstelltes Geheimnis auswählen, muss es die in den folgenden Schritten angegebenen Richtlinien für die Erstellung eines neuen Geheimnisses enthalten.

    • Wenn Sie mTLS wählen, müssen Sie eine Trust-Store-Konfiguration angeben, die Ihr CA-Zertifikatspaket enthält. Optional können Sie auch eine Zertifikatssperrliste und einen AWS KMS Schlüssel angeben. Siehe Gegenseitige TLS-Authentifizierung (mTLS) für Eingangsendpunkte.

    • Sie haben die Möglichkeit, ein neues Geheimnis zu erstellen, indem Sie Create new wählen. Daraufhin wird die AWS Secrets Manager Konsole geöffnet, in der Sie mit der Erstellung eines neuen Schlüssels fortfahren können:

    1. Wählen Sie unter Geheimtyp die Option Anderer Geheimtyp aus.

    2. Geben Sie im Feld Schlüssel/Wert-Paar password den Schlüssel und Ihr aktuelles Passwort als Wert ein.

      Anmerkung

      Für Schlüssel müssen Sie nur Folgendes eingeben password (alles andere führt dazu, dass die Authentifizierung fehlschlägt).

    3. Wählen Sie unter Verschlüsselungsschlüssel die Option Neuen Schlüssel hinzufügen aus, um einen vom Kunden verwalteten KMS-Schlüssel (CMK) zu erstellen. Die AWS KMS Konsole wird geöffnet.

    4. Wählen Sie auf der Seite „Vom Kunden verwaltete Schlüssel“ die Option Schlüssel erstellen aus.

    5. Behalten Sie die Standardwerte auf der Seite Schlüssel konfigurieren bei und wählen Sie Weiter.

    6. Geben Sie im Feld Alias einen Namen für Ihren Schlüssel ein (optional können Sie eine Beschreibung und ein Tag hinzufügen), gefolgt von Weiter.

    7. Wählen Sie unter Schlüsseladministratoren, gefolgt von Weiter, alle Benutzer (außer Ihnen selbst) oder Rollen aus, denen Sie die Verwaltung des Schlüssels gestatten möchten.

    8. Wählen Sie unter Hauptbenutzer gefolgt von Weiter alle Benutzer (außer Ihnen selbst) oder Rollen aus, denen Sie die Verwendung des Schlüssels gestatten möchten.

    9. Kopieren Sie den JSON-Texteditor und fügen Sie ihn auf der "statement" Ebene KMS-CMK-Richtlinie in den JSON-Texteditor für Schlüsselrichtlinien ein, indem Sie ihn als zusätzliche Anweisung hinzufügen, die durch ein Komma getrennt ist. Ersetzen Sie die Region und die Kontonummer durch Ihre eigene.

    10. Wählen Sie Finish (Abschließen).

    11. Wählen Sie den Tab Ihres Browsers aus, auf dem die Seite Neues Geheimnis AWS Secrets Manager speichern geöffnet ist, und klicken Sie auf das Aktualisierungssymbol (kreisförmiger Pfeil) neben dem Feld Verschlüsselungsschlüssel. Klicken Sie dann in das Feld und wählen Sie Ihren neu erstellten Schlüssel aus.

    12. Geben Sie auf der Seite Geheimen Schlüssel konfigurieren einen Namen in das Feld Geheimer Name ein.

    13. Wählen Sie unter Ressourcenberechtigungen die Option Berechtigungen bearbeiten aus.

    14. Kopieren Sie den JSON-Texteditor und fügen Sie ihn Secrets-Ressourcenrichtlinie in den JSON-Texteditor für Ressourcenberechtigungen ein. Ersetzen Sie die Region und die Kontonummer durch Ihre eigenen. (Achten Sie darauf, jeglichen Beispielcode im Editor zu löschen.)

    15. Wählen Sie Speichern gefolgt von Weiter.

    16. Konfigurieren Sie optional die Rotation gefolgt von Weiter.

    17. Überprüfe und speichere dein neues Geheimnis, indem du Speichern auswählst.

    18. Wählen Sie die Registerkarte Ihres Browsers aus, auf der die SES-Seite Create new ingress endpoint geöffnet ist, wählen Sie Liste aktualisieren und wählen Sie dann Ihr neu erstelltes Geheimnis in Secret ARN aus.

  6. Wählen Sie einen Regelsatz aus, der die Regelaktionen enthält, die Sie für die E-Mail ausführen möchten, die Sie zulassen.

  7. Wählen Sie eine Verkehrsrichtlinie aus, um festzulegen, welche E-Mail Sie blockieren oder zulassen möchten.

  8. Wählen Sie aus, ob es sich um ein öffentliches oder ein privates Netzwerk handeln soll.

    • Wählen Sie für ein öffentliches Netzwerk entweder IPv4die reine Adressierung oder die Dualstack - (IPv4 und IPv6) Adressierung.

    • Wählen Sie für ein privates Netzwerk einen VPC-Endpunkt aus, den Sie mit autorisierten Absendern in demselben Konto geteilt haben, z. B. mit IAM-Benutzern oder -Rollen, oder geben Sie ihn ein. Optional können Sie einen neuen VPC-Endpunkt erstellen, indem Sie VPC-Endpunkt erstellen wählen, um die Amazon VPC-Konsole zu öffnen.

  9. Wählen Sie eine TLS-Richtlinie für Ihren Eingangsendpunkt aus. Die Standardeinstellung hängt von Ihrer Region ab. TLS-Richtlinie Einzelheiten zu verfügbaren Werten und Einschränkungen finden Sie unter.

  10. Wählen Sie Ingress-Endpunkt erstellen aus.

  11. In den allgemeinen Details wird „Bereitstellung“ angezeigt, während Ihr Eingangsendpunkt erstellt wird. Aktualisieren Sie die Seite, bis „Aktiv“ angezeigt wird und das Feld einen Wert enthält. ARecord Kopieren Sie den Datensatzwert „A“ und fügen Sie ihn in Ihre DNS-Konfiguration oder Ihren SMTP-Client ein, wie unter beschrieben. Konfiguration öffentlicher Endgeräte

  12. Direkt über dem Container „Allgemeine Details“ auf der Konsole befindet sich eine große, unbeschriftete Zahl mit dem Präfix „inp“ (ebenfalls im Breadcrumb-Trail oben auf der Seite repliziert), z. B. inp-1abc2de3fghi4jkl5mnop6qr. Dies wird als Eingangsendpunkt-ID bezeichnet. Ihr Wert wird als Benutzername für die Anmeldung bei Ihrem Ingress-Server verwendet. (Sie müssen dies Ihren autorisierten Absendern mitteilen, um eine Verbindung zu Ihrem Endpunkt herzustellen.)

  13. Sie können die Ingress-Endpoints, die Sie bereits erstellt haben, auf der Seite Ingress-Endpoints anzeigen und verwalten. Wenn es einen Eingangsendpunkt gibt, den Sie entfernen möchten, wählen Sie das entsprechende Optionsfeld und anschließend Löschen aus.

  14. Um einen Eingangsendpunkt zu bearbeiten, wählen Sie seinen Namen aus, um die zugehörige Übersichtsseite zu öffnen:

    • Sie können den aktiven Status oder die TLS-Richtlinie des Endpunkts (für unterstützte Konfigurationen) ändern, indem Sie unter Allgemeine Details Bearbeiten und anschließend Änderungen speichern auswählen.

    • Sie können einen anderen Regelsatz oder eine andere Verkehrsrichtlinie auswählen, indem Sie entweder im Regelsatz oder in der Verkehrsrichtlinie Bearbeiten und anschließend Änderungen speichern auswählen.