As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usar o Easy DKIM determinístico (DEED) no Amazon SES
O Deterministic Easy DKIM (DEED) oferece uma solução para gerenciar configurações de DKIM em várias. Regiões da AWS Ao simplificar o gerenciamento de DNS e garantir a assinatura DKIM consistente, o DEED ajuda você a otimizar suas operações de envio de e-mails em várias regiões, mantendo práticas robustas de autenticação de e-mails.
## O que é Easy DKIM determinístico (DEED)?
[O Deterministic Easy DKIM (DEED) é um recurso que gera tokens DKIM consistentes em todos, Regiões da AWS com base em um domínio principal configurado com o Easy DKIM.](send-email-authentication-dkim-easy.md) Isso permite replicar identidades diferentes Regiões da AWS que herdam e mantêm automaticamente a mesma configuração de assinatura DKIM de uma identidade principal que está atualmente configurada com o Easy DKIM. Com o DEED, você só precisa publicar registros DNS uma vez para a identidade principal, e as identidades de réplica usarão os mesmos registros DNS para verificar a propriedade do domínio e gerenciar a assinatura DKIM.
Ao simplificar o gerenciamento de DNS e garantir a assinatura DKIM consistente, o DEED ajuda você a otimizar suas operações de envio de e-mails em várias regiões, mantendo as práticas recomendadas de autenticação de e-mails.
Terminologia usada ao falar sobre o DEED:
+ **Identidade principal**: uma identidade verificada configurada com o Easy DKIM que serve como origem da configuração do DKIM para uma identidade de réplica.
+ **Identidade de réplica**: uma cópia de uma identidade principal que compartilha a mesma configuração DNS e a mesma configuração de assinatura DKIM.
+ **Região principal**: a Região da AWS em que a identidade principal é configurada.
+ **Região de réplica**: a Região da AWS em que uma identidade de réplica é configurada.
+ **Identidade DEED**: qualquer identidade usada como identidade principal ou de réplica. Quando uma identidade é criada, ela é inicialmente tratada como uma identidade normal (não DEED). No entanto, depois que uma réplica é criada, a identidade passa a ser considerada uma identidade DEED.
Os principais benefícios de usar o DEED incluem:
+ **Gerenciamento simplificado de DNS**: publique registros DNS somente uma vez para a identidade principal.
+ **Operações multirregionais facilitadas**: simplifique o processo de expansão das operações de envio de e-mails para novas regiões.
+ **Redução da sobrecarga administrativa**: gerencie as configurações DKIM centralmente por meio da identidade principal.
## Como funciona o Easy DKIM determinístico (DEED)
Quando você cria uma identidade de réplica, o Amazon SES replica automaticamente a chave de assinatura DKIM da identidade principal para a identidade da réplica. Quaisquer rotações de chave do DKIM subsequentes ou alterações no comprimento de chave feitas na identidade principal são propagadas automaticamente para todas as identidades de réplica.
O processo inclui o seguinte fluxo:
1. Crie uma identidade principal Região da AWS usando o Easy DKIM.
1. Configure os registros DNS necessários para a identidade principal.
1. Crie identidades de réplica em outras Regiões da AWS, especificando o nome de domínio da identidade principal e a região de assinatura do DKIM.
1. O Amazon SES replica automaticamente a configuração DKIM da identidade principal para as réplicas.
Considerações importantes:
+ Não é possível criar uma réplica de uma identidade que já é uma réplica.
+ A identidade principal deve ter o [Easy DKIM](send-email-authentication-dkim-easy.md) habilitado, então não é possível criar réplicas de identidades BYODKIM ou assinadas manualmente.
+ As identidades principais não podem ser excluídas até que todas as identidades de réplica sejam excluídas.
## Configurar uma identidade de réplica usando o DEED
Esta seção fornecerá exemplos que mostram como criar e verificar uma identidade de réplica usando o DEED junto com as permissões necessárias.
**Topics**
+ [Criar uma identidade de réplica](#creating-replica-identity)
+ [Verificar a configuração de identidades de réplica](#verifying-replica-identity)
+ [Permissões necessárias para usar o DEED](#required-permissions)
### Criar uma identidade de réplica
Para criar uma identidade de réplica:
1. No Região da AWS local em que você deseja criar uma identidade de réplica, abra o console do SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
(No console do SES, as identidades de réplica são chamadas de *Identidades globais*.)
1. No painel de navegação, escolha **Identidades**.
1. Escolha **Create identity (Criar identidade)**.
1. Selecione **Domínio** em **Tipo de identidade** e insira o nome de domínio de uma identidade existente configurada com o Easy DKIM que você deseja replicar e tratar como principal.
1. Expanda **Configurações avançadas do DKIM** e selecione **Easy DKIM determinístico**.
1. No menu suspenso **Região principal**, selecione uma região principal na qual resida uma identidade assinada pelo Easy DKIM com o mesmo nome que você inseriu para sua identidade global (réplica). (Sua região de réplica é padronizada como a região em que você se conectou ao console do SES.)
1. Habilite a opção **Assinaturas DKIM**.
1. (Opcional) Adicione uma ou mais **Etiquetas** à identidade do seu domínio.
1. Revise a configuração e selecione **Criar identidade**.
Usando o AWS CLI:
Para criar uma identidade de réplica com base em uma identidade principal configurada com o Easy DKIM, é necessário especificar o nome de domínio da identidade principal, a região em que deseja criar a identidade de réplica e a região de assinatura DKIM da identidade principal, conforme mostrado neste exemplo:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
No exemplo anterior:
1. *example.com*Substitua pela identidade do domínio principal que está sendo replicada.
1. *us-west-2*Substitua pela região em que a identidade do domínio de réplica será criada.
1. *AWS\$1SES\$1US\$1EAST\$11*Substitua pela região de assinatura DKIM do pai, que representa sua configuração de assinatura Easy DKIM, que será replicada para a identidade da réplica.
**nota**
O `AWS_SES_` prefixo indica que o DKIM foi configurado para a identidade principal usando o Easy DKIM e `US_EAST_1` é Região da AWS onde ele foi criado.
### Verificar a configuração de identidades de réplica
Depois de criar a identidade de réplica, é possível verificar se ela foi configurada corretamente com a configuração de assinatura DKIM da identidade principal.
**Para verificar identidade de réplica:**
1. No Região da AWS local em que você criou a identidade da réplica, abra o console do SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, escolha **Identidades** e selecione a identidade que deseja verificar na tabela **Identidades**.
1. Na guia **Autenticação**, o campo **Configuração do DKIM** indicará o status e o campo **Região principal** indicará a região que está sendo usada para a configuração de assinatura DKIM da identidade utilizando o DEED.
Usando o AWS CLI:
Use o comando `get-email-identity` especificando o nome de domínio e a região da réplica:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
A resposta incluirá o valor da região principal no parâmetro `SigningAttributesOrigin`, significando que a identidade de réplica foi configurada com êxito com a configuração de assinatura DKIM da identidade principal:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### Permissões necessárias para usar o DEED
Para usar o DEED, você precisa de:
1. Permissões padrão para criar identidades de e-mail na região de réplica.
1. Permissão para replicar a chave de assinatura DKIM da região principal.
#### Exemplo de política do IAM para replicação do DKIM
A política a seguir permite a replicação da chave de assinatura DKIM de uma identidade principal para regiões de réplica especificadas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## Práticas recomendadas
As seguintes práticas são recomendadas:
+ **Planeje suas regiões principal e de réplica**: pense na região principal que deseja escolher, pois ela será a fonte da verdade para a configuração DKIM usada nas regiões de réplica.
+ **Use políticas do IAM consistentes**: garanta que suas políticas do IAM permitam a replicação do DKIM em todas as regiões pretendidas.
+ **Mantenha as identidades principais ativas**: lembre-se de que suas identidades de réplica herdam a configuração de assinatura DKIM da identidade principal. Devido a essa dependência, você não pode excluir uma identidade principal até que todas as identidades de réplica sejam excluídas.
## Solução de problemas
Se você encontrar problemas com o DEED, considere o seguinte:
+ **Erros de verificação**: garanta que você tem as permissões necessárias para a replicação do DKIM.
+ **Atrasos na replicação**: aguarde algum tempo para que a replicação seja concluída, principalmente ao criar identidades de réplica.
+ **Problemas de DNS**: verifique se os registros DNS da identidade principal estão configurados e propagados corretamente.