翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon SES E メール受信の設定
このセクションでは、メールを受信できるように Amazon SES を設定する前に、行うべき前提条件について説明します。[Eメール受信の概念とユースケース](receiving-email-concepts.md) Amazon SESの動作方法の概念を理解し、E メール受信、フィルタリング、処理をどのように実行するかについての概念を理解するを読むことが重要です。
*ルールセット*、*受信ルール*、および*IP アドレスフィルタリング*を作成し、Eメールの受信を設定する前に、まず次の設定の前提条件を完了する必要があります。
+ DNS レコードを発行して Amazon SES でドメインを検証し、それを所有していることを証明します。
+ MX レコードを発行して Amazon SES でドメインの E メールを受信できるようにします。
+ 受信ルールアクションを実行するために、他の AWS リソースにアクセスするアクセス許可を Amazon SES に付与します。
ドメイン ID を作成して検証する場合、DNS 設定にレコードを発行して検証プロセスを完了しますが、これだけではEメールの受信を使用できません。メール受信に特有で、カスタムメール送信元ドメインを指定するために MX レコードを発行する必要もあります。このレコードは、SES がドメインのEメールを受信できるようにするために、ドメインの DNS 設定で使用されます。受信ルールで選択したアクションは、Amazon SES がそれらのアクションに必要なそれぞれの AWS サービスを使用するアクセス許可を持っている場合を除き、機能しないため、アクセス許可を付与する必要があります。
**Topics**
+ [Amazon SES による E メール受信のためのドメインの検証](receiving-email-verification.md)
+ [Amazon SES による E メール受信のための MX レコードの公開](receiving-email-mx-record.md)
+ [Amazon SES に対する E メール受信に関するアクセス許可の付与](receiving-email-permissions.md)
# Amazon SES による E メール受信のためのドメインの検証
Amazon SES での E メールの送受信に使用するドメインに関しては、まず、ご自身がそのドメインを所有していることを証明する必要があります。検証の手順には、SES でのドメイン検証の開始と、DNS レコード (ご使用の検証方法によって CNAME または TXT のどちらか) を DNS プロバイダーに発行することが含まれます。
コンソールを使用して、ドメインを [Easy DKIM](send-email-authentication-dkim-easy.md) (簡易 DKIM) または [Bring Your Own DKIM (BYODKIM)](send-email-authentication-dkim-bring-your-own.md) (自分の DKIM を使用する) のいずれかで確認し、簡単に DNS レコードをコピーして DNS プロバイダーに発行できます。これを行う方法については、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」で説明しています。必要に応じて、SES の [https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainDkim.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainDkim.html) または [https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainIdentity.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainIdentity.html) API を使用できます。
ドメインまたは E メールアドレスが検証されていることは、SES コンソールの [[検証済み ID]](view-verified-domains.md) 表でステータスを確認するか、SES の [https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityVerificationAttributes.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityVerificationAttributes.html) または [https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html) API を使用することで簡単に確認できます。
# Amazon SES による E メール受信のための MX レコードの公開
*メールエクスチェンジャレコード* (*MX レコード* ) は、ドメインに送信された E メールを受け入れることができるメールサーバーを指定する設定です。
Amazon SES で受信メールを管理するには、MX レコードをドメインの DNS 設定に追加する必要があります。作成する MX レコードは、Amazon SES を使用する AWS リージョンの E メールを受信するエンドポイントを指します。例えば、米国西部 (オレゴン) リージョンのエンドポイントは *inbound-smtp.us-west-2.amazonaws.com* です。エンドポイントの詳細なリストについては、「[SES のリージョンとエンドポイント](regions.md#region-endpoints)」を参照してください。
**注記**
E メールを受信する Amazon SES のエンドポイントは、IMAP または POP3 E メールサーバーではありません。これらの URL を E メールクライアントの受信メールサーバーとして使用することはできません。 E メールクライアントを使用して送信と受信の両方が可能なソリューションが必要な場合は、[Amazon WorkMail](https://aws.amazon.com/workmail) の使用を検討してください。
次の手順には、MX レコードを作成するための一般的なステップが含まれています。*MX レコードを作成する具体的な手順は、DNS またはホスティングプロバイダーによって異なります。*ドメインの DNS 設定への MX レコードの追加の詳細については、プロバイダのドキュメントを参照してください。
**注記**
**ドメインの DNS 設定に MX レコードを追加するには**
1. (前提条件) これらの手順を完了するには、ドメインの DNS レコードを変更する必要があります。DNS レコードにアクセスできない場合、またはアクセスに問題がある場合は、システム管理者に連絡してください。
1. DNS プロバイダーの管理コンソールにサインインします。
1. 新しい MX レコードを作成します。
1. MX レコードの **[Name]** (名前) にドメインを入力します。たとえば、Amazon SES でドメイン *example.com* に送信される E メールを管理する場合は、次のように入力します。
```
example.com.
```
**注記**
DNS プロバイダーによっては、以下のことが該当します。1) ドメイン拡張子の末尾に `.` は必要ない場合があります。2) **[名前]** フィールドは **[ホスト]**、**[ドメイン]**、または **[メールドメイン]** として参照できる場合があります。
1. [**Type (タイプ)**] で [**MX**] を選択します。
**注記**
DNS プロバイダの中には、[**Type (タイプ)**] フィールドを [**Record Type (レコードタイプ)**] などの名前として参照するものがあります。
1. [**値**] に以下の値を入力します。
```
10 inbound-smtp.region.amazonaws.com
```
前の例では、*region* を、Amazon SES で使用する AWS リージョンの E メールを受信するエンドポイントのアドレスに置き換えます。例えば、米国東部 (バージニア北部) リージョンを使用している場合は、*リージョン*を`us-east-1` に置き換えます。メール受信用のエンドポイントの完全なリストについては、「[SES のリージョンとエンドポイント](regions.md#region-endpoints)」を参照してください。
**注記**
一部の DNS プロバイダーの管理コンソールには、レコードの [**値**] とレコードの [**Priority (優先度)**] に別々のフィールドがあります。 DNS プロバイダーがこのような場合は、**優先度**値に `10` を入力し、受信メールのエンドポイント URL を**値**に入力します。
**重要**
MX レコードを作成する具体的な手順は、DNS またはホスティングプロバイダによって異なります。ドメインの DNS 設定への MX レコードの追加の詳細については、プロバイダーのドキュメントを参照するか、プロバイダーにお問い合わせください。
## さまざまなプロバイダーの MX レコードを作成するための手順
ドメインの MX レコードを作成する手順は、使用している DNS プロバイダーによって異なります。このセクションには、いくつかの一般的な DNS プロバイダーに関するドキュメントへのリンクが含まれています。これは、プロバイダーの完全なリストではありません。以下にプロバイダーが示されていない場合は、Amazon SES で使用することができると考えられます。このリストに含まれているからといって、他社の製品やサービスを支持または推奨するものではありません。
| DNS/ホスティングプロバイダー名 | ドキュメントのリンク |
| --- | --- |
| Amazon Route 53 | [Amazon Route 53 コンソールを使用して、レコードを作成する](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) |
| GoDaddy | [MX レコードを追加する](https://www.godaddy.com/help/add-an-mx-record-19234) (外部リンク) |
| DreamHost | [MX レコードを変更するにはどうすればよいですか?](https://help.dreamhost.com/hc/en-us/articles/215035328) (外部リンク) |
| Cloudflare | [E メールレコードのセットアップ](https://developers.cloudflare.com/dns/manage-dns-records/how-to/email-records/) (外部リンク) |
| HostGator | [MX レコードの変更 - Windows](https://www.hostgator.com/help/article/changing-mx-records-windows) (外部リンク) |
| Namecheap | [メールサービスに必要な MX レコードを設定するには、どうすればよいですか?](https://www.namecheap.com/support/knowledgebase/article.aspx/322/2237/how-can-i-set-up-mx-records-required-for-mail-service) (外部リンク) |
| Names.co.uk | [ドメインの DNS 設定の変更](https://www.names.co.uk/support/domains/1156-changing_your_domains_dns_settings.html) (外部リンク) |
| Wix | [Wix アカウントの MX レコードの追加または更新](https://support.wix.com/en/article/adding-or-updating-mx-records-in-your-wix-account) (外部リンク) |
# Amazon SES に対する E メール受信に関するアクセス許可の付与
Amazon Simple Storage Service (Amazon S3) バケットへの E メールの送信や AWS Lambda 関数の呼び出しなど、SES で E メールを受信したときに実行できるタスクには、特別なアクセス許可が必要です。このセクションには、いくつかの一般的なユースケースのサンプルポリシーを含みます。
**Topics**
+ [S3 バケットへの配信アクションの IAM ロールのアクセス許可の設定](#receiving-email-permissions-s3-iam-role)
+ [S3 バケットへの書き込みアクセス許可を SES に付与する](#receiving-email-permissions-s3)
+ [SES に AWS KMS キーを使用するアクセス許可を付与する](#receiving-email-permissions-kms)
+ [SES に AWS Lambda 関数を呼び出すアクセス許可を付与する](#receiving-email-permissions-lambda)
+ [別の AWS アカウントに属する Amazon SNS トピックに発行するアクセス許可を SES に付与する](#receiving-email-permissions-sns)
## S3 バケットへの配信アクションの IAM ロールのアクセス許可の設定
この IAM ロールには、以下の点が適用されます。
+ これは、[S3 バケットアクションへの配信](receiving-email-action-s3.md) 用にのみ使用可能です。
+ SES [E メールの受信](regions.md#region-receive-email) が利用できないリージョンに配置されている S3 バケットに書き込む場合は、これを使用する必要があります。
S3 バケットに書き込みを行う場合は、[S3 バケットアクションへの配信](receiving-email-action-s3.md) の関連リソースにアクセスするアクセス許可を IAM ロールに付与できます。また、[次のセクション](#receiving-email-permissions-s3-iam-role-trust)で説明するとおり、IAM 信頼ポリシーを介してアクションを実行するには、そのロールを引き受けるアクセス許可も SES に付与する必要があります。
このアクセス許可ポリシーは、IAM ロールのインラインポリシーエディタに貼り付ける必要があります。「[S3 バケットアクションへの配信](receiving-email-action-s3.md)」を参照して、**IAM role** 項目に記載されているステップに従ってください。(次の例には、SNS トピック通知や S3 アクションのカスタマーマネージドキーを使用する場合のオプションのアクセス許可も含まれています)。
**注記**
「[S3 バケットへの書き込みアクセス許可を SES に付与する](#receiving-email-permissions-s3)」に示すように、S3 バケットポリシーで SES サービスのみを許可することで、IAM ロールを指定せずに S3 アクションを設定するオプションがあります。これは、クロスアカウントシナリオでも機能します。
S3 アクションに IAM ロールを指定すると、SES はそのロールを PutObject オペレーションに対して引き受けます。ここで指定した IAM アクセス許可は、同じアカウントの使用に十分なものです。ただし、クロスアカウントを使用する場合は、バケット内の PutObject に対して IAM ロールを許可する追加のバケットポリシーが必要です。これは、「[バケット所有者がクロスアカウントバケットのアクセス許可を付与する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html)」で説明されているように、クロスアカウントバケットのアクセス許可を付与するバケット所有者によって指定されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:my-topic"
},
{
"Sid": "KMSAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:us-east-1::111122223333:key/key-id"
}
]
}
```
------
上のポリシー例に、以下の変更を加えます。
+ *amzn-s3-demo-bucket* は、書き込み先の S3 バケット名に置き換えます。
+ *region* を、受信ルールを作成した AWS リージョン に置き換えます。
+ *111122223333* を自分の AWS アカウント ID に置き換えます。
+ *my-topic* は、通知の発行先の SNS トピック名に置き換えます。
+ *key-id* は、KMS キーの ID に置き換えます。
### S3 アクションの IAM ロールの信頼ポリシー
このロールを SES が引き受けることができるように、次の信頼ポリシーを IAM ロールの*信頼関係*に追加する必要があります。
**注記**
この信頼ポリシーを手動で追加する必要があるのは、[S3 バケットアクションへの配信](receiving-email-action-s3.md) ワークフローの **IAM role** 項目で指定されたステップを使用して SES コンソールから IAM ロールを作成しなかった場合のみです。*コンソールから IAM ロールを作成する場合、この信頼ポリシーは自動的に生成されてロールに適用されるため、このステップは不要になります。*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESAssume",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
]
}
```
------
上のポリシー例に、以下の変更を加えます。
+ *region* を、受信ルールを作成した AWS リージョン に置き換えます。
+ *111122223333* を自分の AWS アカウント ID に置き換えます。
+ Amazon S3 バケットアクションへの配信を含むレシピルールを含むルールセットの名前で *rule\$1set\$1name* の部分を置き換えます。
+ Amazon S3 バケットアクションへの配信を含むレシピルールの名前で *receipt\$1rule\$1name* の部分を置き換えます。
## S3 バケットへの書き込みアクセス許可を SES に付与する
次のポリシーを S3 バケットに適用すると、SES [E メール受信](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_inbound_endpoints)が利用可能なリージョンに存在する限り、このバケットへの書き込みアクセス許可が SES に付与されます。*E メール受信*リージョン外のバケットに書き込む場合は、「[S3 バケットへの配信アクションの IAM ロールのアクセス許可の設定](#receiving-email-permissions-s3-iam-role)」を参照してください。入力メールを Amazon S3 に転送する受信ルールを作成することに関する詳細については、「[S3 バケットアクションへの配信](receiving-email-action-s3.md)」を参照してください。
S3 バケットの添付ポリシーの詳細については、*Amazon Simple Storage Service ユーザーガイド* の「[バケットポリシーとユーザーポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) 」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowSESPuts",
"Effect":"Allow",
"Principal":{
"Service":"ses.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
]
}
```
------
上のポリシー例に、以下の変更を加えます。
+ *amzn-s3-demo-bucket* は、書き込み先の S3 バケット名に置き換えます。
+ *region* を、受信ルールを作成した AWS リージョンに置き換えます。
+ *111122223333* を自分の AWS アカウント ID に置き換えます。
+ Amazon S3 バケットアクションへの配信を含むレシピルールを含むルールセットの名前で *rule\$1set\$1name* の部分を置き換えます。
+ Amazon S3 バケットアクションへの配信を含むレシピルールの名前で *receipt\$1rule\$1name* の部分を置き換えます。
## SES に AWS KMS キーを使用するアクセス許可を付与する
SES で E メールを暗号化するためには、受信ルールの設定時に指定した AWS KMS キーを使用するためのアクセス許可を SES に付与する必要があります。ご使用のアカウントのデフォルトKMSキー (**aws/ses** ) を使用するか、ご自身で作成するカスタマー管理のキーを使用することができます。デフォルトの KMS キーを使用する場合、キーの使用についての SES へのアクセス許可の付与に関する追加のステップを実行する必要はありません。カスタマーマネージドキーを使用する場合は、キーのポリシーにステートメントを追加して、キー使用のアクセス許可を SES に付与する必要があります。
SES がドメインで E メールを受信する際にカスタマーマネージドキーを使用できるように、次のポリシーステートメントをキーポリシーとして使用します。
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
```
上のポリシー例に、以下の変更を加えます。
+ *region* を、受信ルールを作成した AWS リージョンに置き換えます。
+ *111122223333* を自分の AWS アカウント ID に置き換えます。
+ E メール受信に関連付けたレシピルールを含むルールセットの名前で *rule\$1set\$1name* の部分を置き換えます。
+ E メール受信に関連付けたレシピルールの名前で *rule\$1set\$1name* の部分を置き換えます。
を使用してサーバー側の暗号化が有効になっている S3 バケット AWS KMS に暗号化メッセージを送信する場合は、ポリシーアクション を追加する必要があります`"kms:Decrypt"`。前の例を使用してこのアクションをポリシーに追加すると、次のように表示されます。
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
```
AWS KMS キーへのポリシーのアタッチの詳細については、 *AWS Key Management Service デベロッパーガイド*の[「 でのキーポリシーの使用 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。
## SES に AWS Lambda 関数を呼び出すアクセス許可を付与する
SES が AWS Lambda 関数を呼び出せるようにするには、SES コンソールで受信ルールを作成するときに関数を選択できます。これにより、SES は自動的に必要なアクセス許可を関数に追加します。
または、`AddPermission` API の AWS Lambda オペレーションを使用して、関数へのポリシーをアタッチします。次の `AddPermission` API コールでは、Lambda 関数を呼び出すアクセス許可を SES に付与しています。Lambda 関数へのポリシーの添付に関する詳細については、[AWS Lambda デベロッパーガイド](https://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html)の*「AWS Lambda のアクセス許可」*を参照ください。
```
{
"Action": "lambda:InvokeFunction",
"Principal": "ses.amazonaws.com",
"SourceAccount": "111122223333",
"SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name",
"StatementId": "GiveSESPermissionToInvokeFunction"
}
```
上のポリシー例に、以下の変更を加えます。
+ *region* を、受信ルールを作成した AWS リージョンに置き換えます。
+ *111122223333* を自分の AWS アカウント ID に置き換えます。
+ *rule\$1set\$1name* は、Lambda 関数を作成した受信ルールを含むルールセットの名前に置き換えます。
+ *receipt\$1rule\$1name* は、Lambda 関数を含む受信ルールの名前に置き換えます。
## 別の AWS アカウントに属する Amazon SNS トピックに発行するアクセス許可を SES に付与する
別の AWS アカウントのトピックに通知を発行するには、Amazon SNS トピックにポリシーをアタッチする必要があります。SNS トピックは、ドメインおよび受信ルールセットと、同じリージョンに存在する必要があります。
次のポリシーは、別の AWS アカウントの Amazon SNS トピックに発行するアクセス許可を SES に付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "444455556666",
"AWS:SourceArn": "arn:aws:ses:us-east-1:777788889999:receipt-rule-set/rule_set_name:receipt-rule/rule_name"
}
}
}
]
}
```
------
上のポリシー例に、以下の変更を加えます。
+ *topic\$1region* を、Amazon SNS トピック AWS リージョン が作成された に置き換えます。
+ *sns\$1topic\$1account\$1id* は、Amazon SNS トピックを所有する AWS アカウント の ID に置き換えます。
+ *topic\$1name* は、通知の発行先となる Amazon SNS トピックの名前に置き換えます。
+ *aws\$1account\$1id* は、E メールを受信するように設定した AWS アカウント のID に置き換えます。
+ *receipt\$1region* を、受信ルールを作成した AWS リージョン に置き換えます。
+ *rule\$1set\$1name* は、Amazon SNS トピックへの発行アクションを作成した受信ルールを含む、ルールセットの名前に置き換えます。
+ *receipt\$1rule\$1name* は、Amazon SNS トピックへの発行アクションを含む受信ルールの名前に置き換えます。
Amazon SNS トピックでサーバー側の暗号化 AWS KMS に を使用する場合は、 AWS KMS キーポリシーにアクセス許可を追加する必要があります。アクセス許可を追加するには、次のポリシーを AWS KMS キーポリシーにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------