本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Amazon SES 中使用確定性 Easy DKIM (DEED)
確定性 Easy DKIM (DEED) 提供跨多個 管理 DKIM 組態的解決方案 AWS 區域。透過簡化 DNS 管理並確保一致的 DKIM 簽署,DEED 可協助您簡化多區域電子郵件傳送操作,同時維持強大的電子郵件身分驗證實務。
## 什麼是確定性 Easy DKIM (DEED)?
確定性 Easy DKIM (DEED) 是一種功能, AWS 區域 可根據使用 [Easy DKIM 設定的父系網域,在所有 中產生一致的 DKIM](send-email-authentication-dkim-easy.md) 字符。這可讓您複寫不同 中的身分 AWS 區域 ,以自動繼承和維護與目前使用 Easy DKIM 設定之父系身分相同的 DKIM 簽署組態。使用 DEED,您只需發佈父身分的 DNS 記錄一次,複本身分將使用相同的 DNS 記錄來驗證網域擁有權和管理 DKIM 簽署。
透過簡化 DNS 管理並確保一致的 DKIM 簽署,DEED 可協助您簡化多區域電子郵件傳送操作,同時維持最佳的電子郵件身分驗證實務。
討論 DEED 時使用的術語:
+ **父系身分** – 使用 Easy DKIM 設定的已驗證身分,做為複本身分的 DKIM 組態來源。
+ **複本身分** – 共用相同 DNS 設定和 DKIM 簽署組態的父身分複本。
+ **父區域** – AWS 區域 設定父身分的 。
+ **複本區域** – AWS 區域 設定複本身分的 。
+ **DEED 身分** – 用作父身分或複本身分的任何身分。(建立新身分時,一開始會將其視為一般 (非 DEED) 身分。 不過,建立複本後,身分就會被視為 DEED 身分。)
使用 DEED 的主要優點包括:
+ **簡化 DNS 管理** – 僅發佈父系身分的 DNS 記錄一次。
+ **更輕鬆的多區域操作** – 簡化將電子郵件傳送操作擴展到新區域的程序。
+ **降低管理開銷** – 從父系身分集中管理 DKIM 組態。
## 確定性 Easy DKIM (DEED) 的運作方式
當您建立複本身分時,Amazon SES 會自動將 DKIM 簽署金鑰從父身分複寫至複本身分。對父身分所做的任何後續 DKIM 金鑰輪換或金鑰長度變更都會自動傳播到所有複本身分。
此程序涉及下列工作流程:
1. AWS 區域 使用 Easy DKIM 在 中建立父系身分。
1. 設定父系身分所需的 DNS 記錄。
1. 在其他 中建立複本身分 AWS 區域,指定父身分的網域名稱和 DKIM 簽署區域。
1. Amazon SES 會自動將父系的 DKIM 組態複寫至複本身分。
重要考量:
+ 您無法建立已經是複本之身分的複本。
+ 父身分必須啟用 [Easy DKIM](send-email-authentication-dkim-easy.md) - 您無法建立 BYODKIM 複本或手動簽署的身分。
+ 在刪除所有複本身分之前,無法刪除父身分。
## 使用 DEED 設定複本身分
本節將提供範例,示範如何使用 DEED 以及必要的許可來建立和驗證複本身分。
**Topics**
+ [建立複本身分](#creating-replica-identity)
+ [驗證複本身分組態](#verifying-replica-identity)
+ [使用 DEED 所需的許可](#required-permissions)
### 建立複本身分
若要建立複本身分:
1. 在您要建立複本身分 AWS 區域 的 中,開啟位於 https://[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) 的 SES 主控台。
(在 SES 主控台中,複本身分稱為*全域身分*。)
1. 在導覽窗格中,選擇**身分**。
1. 選擇 **Create identity** (建立身分)。
1. 選取**身分類型**下的**網域**,然後輸入您要複寫並做為父系的 Easy DKIM 所設定之現有身分的網域名稱。
1. 展開**進階 DKIM 設定**,然後選取**確定性 Easy DKIM**。
1. 從**父區域**下拉式功能表中,選取父區域,其中具有與您為全域 (複本) 身分輸入之相同名稱的 Easy DKIM 簽署身分所在的父區域。(您的複本區域預設為您登入 SES 主控台的區域。)
1. 確保已啟用 **DKIM 簽章**。
1. (選用) 將一或多個**標籤**新增至您的網域身分。
1. 檢閱組態,然後選擇**建立身分**。
使用 AWS CLI:
若要根據使用 Easy DKIM 設定的父系身分建立複本身分,您需要指定父系的網域名稱、要建立複本身分的區域,以及父系的 DKIM 簽署區域,如此範例所示:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
在上述範例中:
1. 將 *example.com* 取代為複寫的父系網域身分。
1. 將 *us-west-2* 取代為要建立複本網域身分的區域。
1. 將 *AWS\$1SES\$1US\$1EAST\$11* 取代為父系的 DKIM 簽署區域,代表其將複寫至複本身分的 Easy DKIM 簽署組態。
**注意**
`AWS_SES_` 字首表示已使用 Easy DKIM 為父系身分設定 DKIM,且 `US_EAST_1`是其建立 AWS 區域 所在的 。
### 驗證複本身分組態
建立複本身分之後,您可以驗證其已使用父身分的 DKIM 簽署組態正確設定。
**若要驗證複本身分:**
1. 在您 AWS 區域 建立複本身分的 中,開啟位於 https://[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) 的 SES 主控台。
1. 在導覽窗格中,選擇**身分**,然後從身分資料表中選取您要驗證**的身分**。
1. 在**身分驗證**索引標籤下,**DKIM 組態**欄位會指出狀態,而**父區域**欄位會指出使用 DEED 進行身分 DKIM 簽署組態的區域。
使用 AWS CLI:
使用 `get-email-identity`命令指定複本的網域名稱和區域:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
回應會在 `SigningAttributesOrigin` 參數中包含父區域的值,表示複本身分已成功使用父身分的 DKIM 簽署組態設定:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### 使用 DEED 所需的許可
若要使用 DEED,您需要:
1. 在複本區域中建立電子郵件身分的標準許可。
1. 從父區域複寫 DKIM 簽署金鑰的許可。
#### DKIM 複寫的 IAM 政策範例
下列政策允許 DKIM 簽署金鑰從父身分複寫到指定的複本區域:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## 最佳實務
建議使用下列最佳實務:
+ **規劃您的父系和複本區域** – 考慮您選擇的父系區域,因為它將成為複本區域中所用 DKIM 組態的真實來源。
+ **使用一致的 IAM 政策** – 確保您的 IAM 政策允許跨所有預期區域的 DKIM 複寫。
+ **保持父身分為作用中** – 請記住,您的複本身分會繼承父身分的 DKIM 簽署組態,因為此相依性,您必須先刪除所有複本身分,才能刪除父身分。
## 疑難排解
如果您遇到 DEED 問題,請考慮下列事項:
+ **驗證錯誤** – 確保您具有 DKIM 複寫的必要許可。
+ **複寫延遲** – 複寫需要一些時間才能完成,尤其是在建立新的複本身分時。
+ **DNS 問題** – 確認父身分的 DNS 記錄已正確設定並傳播。