本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon SES 设置 VPC 端点
<a name="send-email-set-up-vpc-endpoints"></a>

很多 Amazon SES 客户制定了公司策略，以限制其内部系统连接到公有 Internet。这些策略禁止使用公有 Amazon SES 端点。

如果您有类似的策略，您可以使用 Amazon Virtual Private Cloud 以确保不超出这些限制。借助 Amazon VPC，您可以将 AWS 资源部署到位于隔离区域中的虚拟网络中 AWS Cloud。有关 Amazon VPC 的更多信息，请参阅 [Amazon VPC 用户指南](https://docs.aws.amazon.com/vpc/latest/userguide/)。

您可以通过安全且可扩缩的方式，通过 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints)直接从 [Amazon VPC](https://aws.amazon.com/vpc/) 连接到 SES。当您使用接口 VPC 端点时，它提供更好的安全态势，因为您无需打开出站流量防火墙，同时还提供使用 [Amazon VPC 端点](https://aws.amazon.com/blogs/architecture/reduce-cost-and-increase-security-with-amazon-vpc-endpoints/)的其他好处。

使用 VPC 端点时，流向 SES 的流量不会通过互联网传输，也从不会离开 Amazon 网络，以便在不存在可用性风险或网络流量带宽限制的情况下安全地将您的 VPC 连接到 SES。您可以在多账户基础设施中集中管理 SES，并将其作为服务提供给您的账户，而无需使用互联网网关。

**限制**  
SES 不支持以下可用区域中的 SMTP VPC 终端节点：`use1-az2``use1-az3`、`use1-az5`、`usw1-az2`、、`usw2-az4`、`apne2-az4`、`cac1-az3`、和`cac1-az4`。
VPC 中使用的 SMTP 端点仅限于当前用于您账户的 AWS 区域 。

您还可以将 VPC 端点与 Mail Manager 入口端点一起使用，以便在您的私有网络基础设施内安全、私有地摄取电子邮件。请参阅 Mail Manager 章节中的 [通过 Amazon VPC 端点接收电子邮件](eb-ingress.md#eb-ingress-vpc-endpoint)。

## 在 Amazon VPC 中设置 SES 的演练示例
<a name="send-email-set-up-vpc-endpoints-walkthrough"></a>

### 先决条件
<a name="send-email-set-up-vpc-endpoints-prereqs"></a>

在完成本节中的过程之前，您必须完成以下步骤：
+ 拥有现有的虚拟私有云（VPC）或创建新的 VPC。有关过程，请参阅[开始使用 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html)。
+ 在您的 VPC 中启动 Amazon EC2 实例，以测试与在后续步骤中创建的 VPC 端点的连接。有关更多信息，请参阅[默认 VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#launching-into)。
**注意**  
虽然适用于 SES 的 VPC 端点可以与任何资源一起使用，但为了简化测试方法，本示例将让您使用 EC2 实例作为资源。[由于 Amazon EC2 默认限制通过端口 25 的电子邮件流量，因此对于 SMTP 终端节点，您必须使用 TCP 25 以外的不同端口，例如 TCP 465、587、2465 或 2587，有关更多信息，请参阅限制使用端口 25 发送电子邮件。](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html#port-25-throttle)对于 API 端点，请使用端口 443。

### 在 Amazon VPC 中设置 SES
<a name="send-email-set-up-vpc-endpoints-procedure"></a>

设置与 SES 一起使用的 VPC 端点的过程包括几个单独的步骤。首先，您必须创建一个允许实例与所选端口通信的安全组，然后为 Amazon SES 创建 VPC 终端节点，最后，测试与 VPC 终端节点的连接以确保其配置正确。

#### 步骤 1：创建安全组
<a name="send-email-set-up-vpc-endpoints-procedure-step-1"></a>

 在此步骤中，您创建一个安全组，允许 Amazon EC2 实例与您将要创建的 VPC 接口端点通信。

**创建安全组**

1. 在 Amazon EC2 控制台的导航窗格中的**网络和安全性**下，选择**安全组**。

1. 选择**创建安全组**。

1. 在**基本详细信息**下面，执行以下操作：
   + 在**安全组名称**中，输入标识安全组的唯一名称。
   + 在**描述**中，输入一些描述安全组用途的文本。
   + 在 **VPC** 中，选择要在其中使用 Amazon SES 的 VPC。

1. 在**入站规则**下面，选择**添加规则**。

1. 在新的**入站规则**中，请执行以下操作：
   + 在**类型**中，选择**自定义 TCP**。
   + 在**端口范围**中，输入要用于发送电子邮件的端口号。对于 SMTP 终端节点，您可以使用以下任意端口号：**465**、**587****2465**、或**2587**。对于 API 端点，请使用端口 443。
   + 在**源类型**，选择**自定义**。
   + 对于**源**，输入私有 IP CIDR 范围或其他安全组 IDs ，其中包含将使用 VPC 终端节点与 SES 服务通信的资源。
   +  （对您希望从中进行访问的每个 CIDR 范围或安全组重复步骤 4 - 5。）

1. 完成后，选择**创建安全组**。

#### 步骤 2：创建 VPC 端点
<a name="send-email-set-up-vpc-endpoints-procedure-step-2"></a>

在 Amazon VP *C 中，VPC 终端节点*允许您将自己的 VPC 连接到支持的 AWS 服务。在此示例下，您配置 Amazon VPC，以便 Amazon EC2 安全组可以连接到 Amazon SES。

**创建 VPC 端点**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在 “**PrivateLink 和莱迪思**” 下，选择 “**端点**”。

1. 选择**创建端点**，打开**创建端点**页面。

1. （可选）在**端点设置**面板中，在**命名标签**字段中创建一个标签。

1. 在**服务类别**中，请选择 **AWS 服务**。

1. 在 “**服务**” 面板中，对于 SMTP 端点，筛选搜索栏中的 *smt* p，然后选择其单选按钮。对于 API 端点，请在搜索栏中筛选*电子邮件*。您也可以通过搜索*电子邮件*提示来使用 FIPS 端点。

1. 在 **VPC** 面板中，在搜索栏内单击，然后从列表框中选择 VPC（参见 [先决条件](#send-email-set-up-vpc-endpoints-prereqs)）。

1. 在**子网**面板中，选择*可用区和**子网 IDs*。
**注意**  
Amazon SES 不支持以下*可用区域*中的 SMTP VPC 终端节点：`use1-az2``use1-az3`、`use1-az5`、`usw1-az2`、`usw2-az4`、、`apne2-az4`、`cac1-az3`、和`cac1-az4`。

1. 在 **Security groups**（安全组）面板中，选择以前创建的安全组。

1. （可选）在**标签**面板中，可以创建一个或多个标签。

1. 选择**创建端点**。在 Amazon VPC 创建端点时，请等待大约 5 分钟。在端点可供使用时，**状态**列中的值将变为*可用*。

#### （可选）步骤 3：测试到 VPC 端点的连接
<a name="send-email-set-up-vpc-endpoints-procedure-step-3"></a>

在完成配置 VPC 端点的过程后，您可以测试连接以确保正确配置了 VPC 端点。您可以使用大多数操作系统附带的命令行工具以测试连接。

**测试到 VPC 端点的连接**

1. 在您刚刚在其中创建 email-smtp VPC 端点的同一个 VPC 中启动 Amazon EC2 实例。

   有关连接到 Linux 实例的信息，请参阅《Amazon EC2 用户指南》**中的[连接到您的 Linux 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。

   有关连接到 Windows 实例的信息，请参阅《Amazon EC2 用户指南》**中的[入门教程](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 发送测试电子邮件。对于 SMTP 端点，请使用 SES SMTP 接口。对于 API 端点，请使用 SES CLI 或 API。
**注意**  
您必须先验证电子邮件地址或域，然后才能通过 Amazon SES 发送电子邮件。有关验证身份的更多信息，请参阅 [在 Amazon SES 中创建和验证身份](creating-identities.md)。