本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon SES 設定 VPC 端點
<a name="send-email-set-up-vpc-endpoints"></a>

許多 Amazon SES 客戶都有已訂定的公司政策，限制其內部系統連線到公用網際網路的能力。這些政策可防止使用公有 Amazon SES 端點。

如果您有類似的政策，則可以使用 Amazon Virtual Private Cloud 在這些限制的範圍內工作。使用 Amazon VPC，您可以將 AWS 資源部署到存在於 隔離區域中的虛擬網路 AWS 雲端。如需 Amazon VPC 的詳細資訊，請參閱《Amazon VPC 使用者指南》[https://docs.aws.amazon.com/vpc/latest/userguide/](https://docs.aws.amazon.com/vpc/latest/userguide/)。

您可以透過 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints)以安全和可擴展的方式直接從 [Amazon VPC](https://aws.amazon.com/vpc/) 連線至 SES。當您使用界面 VPC 端點時，它可提供更安全的狀態，因為您不需要開啟輸出流量防火牆，以及提供使用 [Amazon VPC 端點](https://aws.amazon.com/blogs/architecture/reduce-cost-and-increase-security-with-amazon-vpc-endpoints/)的其他好處。

使用 VPC 端點時，SES 的流量不會透過網際網路傳輸，也不會離開 Amazon 網路，以便將您的 VPC 安全地連接到 SES，不會造成網路流量的可用性風險或頻寬限制。您可以在多帳戶基礎架構中集中管理 SES，無須使用網際網路閘道即可將其作為服務提供給您的帳戶。

**限制**  
SES 在下列可用區域中不支援 SMTP VPC 端點：`use1-az2`、`use1-az3`、`use1-az5`、`usw1-az2`、`usw2-az4`、`apne2-az4`、 `cac1-az3`和 `cac1-az4`。
VPC 內使用的 SMTP 端點僅限於目前正用於您帳户的 AWS 區域 。

您也可以將 VPC 端點與 Mail Manager 輸入端點搭配使用，以便在私有網路基礎設施內進行安全的私有電子郵件擷取。請參閱 Mail Manager 章節[透過 Amazon VPC 端點接收電子郵件](eb-ingress.md#eb-ingress-vpc-endpoint)中的 。

## 在 Amazon VPC 中設定 SES 的演練範例
<a name="send-email-set-up-vpc-endpoints-walkthrough"></a>

### 先決條件
<a name="send-email-set-up-vpc-endpoints-prereqs"></a>

在完成本節中程序前，請先完成下列步驟：
+ 擁有現有的虛擬私有雲端 (VPC) 或建立新的 VPC。如需程序的詳細資訊，請參閱[開始使用 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html)。
+ 在您的 VPC 中啟動 Amazon EC2 執行個體測試將用於後續步驟中 VPC 端點的連線能力。如需詳細資訊，請參閱[預設 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#launching-into)。
**注意**  
雖然 SES 的 VPC 端點可以與任何資源搭配使用，但為了便於測試方法，此範例將要求您使用 EC2 執行個體做為資源。由於 Amazon EC2 預設會限制透過連接埠 25 的電子郵件流量，因此對於 SMTP 端點，您必須使用 TCP 25 以外的其他連接埠，例如 TCP 465、587、2465 或 2587，如需詳細資訊，請參閱[使用連接埠 25 傳送的電子郵件限制](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html#port-25-throttle)。對於 API 端點，請使用連接埠 443。

### 在 Amazon VPC 中設定 SES
<a name="send-email-set-up-vpc-endpoints-procedure"></a>

設定要搭配 SES 使用的 VPC 端點的程序包含幾個不同步驟。首先，您必須建立允許執行個體與所選連接埠通訊的安全群組 (Amazon SES)，然後為 Amazon SES 建立 VPC 端點，最後測試與 VPC 端點的連線，以確保正確設定。

#### 步驟 1：建立安全群組
<a name="send-email-set-up-vpc-endpoints-procedure-step-1"></a>

 在此步驟中，您可建立安全群組，讓 Amazon EC2 執行個體與您將要建立的 VPC 界面端點通訊。

**建立安全群組**

1. 在 Amazon EC2 主控台的導覽窗格中，在 **Network & Security (網路與安全)** 下，選擇 **Security Groups (安全群組)**。

1. 選擇**建立安全群組**。

1. 在 **Basic details (基本詳細資料)** 下，執行下列動作：
   + 在 **Security group name (安全群組名稱)** 中，輸入識別該安全群組的唯一名稱。
   + 針對 **Description (描述)**，輸入說明安全群組目的的一些文字。
   + 針對 **VPC**，選擇要使用 Amazon SES 的 VPC。

1. 在 **Inbound rules (入站規則)** 下，選擇 **Add rule (新增規則)**。

1. 對於新的 **傳入規則**，請執行下列動作：
   + 針對 **Type (類型)**，請選擇 **Custom TCP (自訂 TCP)**。
   + 在 **Port range (連接埠範圍)** 中，輸入您要用來傳送電子郵件的連接埠號碼。對於 SMTP 端點，您可以使用下列任何連接埠號碼：**465**、**2465**、 **587**或 **2587**。針對 API 端點，請使用連接埠 443。
   + 在 **Source type (來源類型)**中，選擇 **Custom (自訂)**。
   + 對於 **來源**，請輸入私有 IP CIDR 範圍或其他安全群組 ID，以便使用 VPC 端點與 SES 服務通訊。
   +  (針對您要允許存取的每個 CIDR 範圍或安全群組重複步驟 4 - 5。)

1. 完成後，請選擇 **Create security group (建立安全群組)**。

#### 步驟 2：建立 VPC 端點
<a name="send-email-set-up-vpc-endpoints-procedure-step-2"></a>

在 Amazon VPC 中，*VPC 端點*可讓您將 VPC 連線至支援 AWS 的服務。在此範例中，您可以設定 Amazon VPC，讓您的 Amazon EC2 安全群組可連線到 Amazon SES。

**建立 VPC 端點**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在 **PrivateLink 和 Lattice** 下，選擇**端點**。

1. 選擇 **Create Endpoint** (建立端點) 來開啟 **Create Endpoint** (建立端點) 頁面。

1. (選用) 在 **Endpoint setting** (端點設定) 面板中，在 **Name tag** (名稱標籤) 欄位中建立標籤。

1. 在 **服務目錄** 中，選取 **AWS 服務**。

1. 在**服務**面板中，針對 SMTP 端點，在搜尋列中篩選 *smtp*，然後選取其選項按鈕。對於 API 端點，請在搜尋列中篩選*電子郵件*。您也可以透過搜尋*電子郵件影片*來使用 FIPS 端點。

1. 在 **VPC** 面板中，按一下搜尋列，然後從清單方塊中選取 VPC (請參閱 [先決條件](#send-email-set-up-vpc-endpoints-prereqs))。

1. 在 **Subnets** (子網路) 面板中，選取 *Availability Zones* (可用區域) 和 *Subnet IDs* (子網路 ID)。
**注意**  
Amazon SES 在下列*可用區域中*不支援 SMTP VPC `usw2-az4`端點：`use1-az2`、`use1-az3`、`use1-az5`、`usw1-az2`、`apne2-az4`、、 `cac1-az3`和 `cac1-az4`。

1. 在 **Security group** (安全群組) 面板中，選取您稍早建立的安全群組。

1. (選用) 在 **標籤** 面板中，您可以建立一個或多個標籤。

1. 選擇**建立端點**。Amazon VPC 建立端點時，請等候約 5 分鐘。端點準備好可以使用時，**Status** (狀態) 欄中的值會變更為 *Available* (可用)。

#### (選用) 步驟 3：測試與 VPC 端點的連線
<a name="send-email-set-up-vpc-endpoints-procedure-step-3"></a>

當您完成設定 VPC 端點的程序時，您可以測試連線，以確保已正確設定 VPC 端點。您可以使用大多數作業系統隨附的命令列工具來測試連線。

**測試與 VPC 端點的連線**

1. 在與剛才建立電子郵件-smpt VPC 端點相同的 VPC 中啟用 Amazon EC2 執行個體。

   如需有關連線至 Linux 執行個體的資訊，請參閱《*Amazon EC2 使用者指南*》中的[連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。

   如需有關連線至 Windows 執行個體的資訊，請參閱《*Amazon EC2 使用者指南*》中的[入門教學](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)課程。

1. 傳送測試電子郵件。對於 SMTP 端點，請使用 SES SMTP 界面。對於 API 端點，請使用 SES CLI 或 API。
**注意**  
您必須先驗證電子郵件地址或網域，才能透過 Amazon SES 傳送電子郵件。如需驗證身分的詳細資訊，請參閱[在 Amazon SES 中建立和驗證身分](creating-identities.md)。