如何将我的 AWS SES 验证域限制为仅特定的 VPC IP 范围?
How can I restrict my AWS SES verified domain to only a specific VPC IP range?
我有一个经过验证的域,可以与我创建的 IAM 用户一起使用。
邮件发送成功。
我想锁定它,所以我首先创建了一个 VPC 端点,它允许来自整个 VPC 的 SMTP 流量。这也没有问题。
最后,我想只允许通过这个端点发送电子邮件,因此我想要 SES 授权策略接受从本地 VPC 范围(例如 10.204.0.0/16)发送的电子邮件。这是为了改善任何泄露的凭据,因此不良行为者无法仅仅因为他们具有一些 SES 访问权限就发送冒充我们域的电子邮件。
我无法按 aws:SourceIp 过滤,因为这仅适用于 public 个 IP 地址。
因此,这是否可能,或者我是否必须考虑泄露的凭据可能允许外部参与者作为我们的已验证域发送的可能性(尽管这种可能性不大)?
Amazon SES 可以使用 SMTP 凭据,这实质上意味着 SES 连接到互联网并且理论上 public 本质上是。
虽然您可以限制 IAM 用户和角色使用 Amazon SES API,但是您无法限制某人连接到 any of the Amazon SES endpoints 滥用您的 SMTP 服务器使用被盗凭据。这就是 SMTP 协议的设计工作方式 - 使用凭据。
它不知道 VPC IP 范围。
虽然您无法阻止泄露的凭据被使用,但您可以 monitor your Amazon SES sending activity 并且或许可以使用 CloudWatch 警报来注意到任何可疑行为,以便在发生泄露时做出更积极的反应。
首先要积极主动地防止泄漏 - 一次在 locked-down AWS Parameter Store, only giving one main IAM SMTP user the permission to carry out the ses:SendRawEmail 操作中存储 SMTP 凭据等。
结合高级别监控、严格限制什么应用程序在什么时间访问 SMTP 凭据、IAM SMTP 用户的不断轮换以及 SMTP 凭据和一般安全意识应该有望防止您的凭据泄露如果最坏的情况真的发生了,上述行动应该可以减少检测时间和爆炸半径。
感谢您尝试 apply security at all layers & preparing for security events!
您可以限制发送电子邮件 - 删除所有 SMTP 凭据并通过 API 通过特定的 IAM 用户发送电子邮件,您在该用户上附加了具有所需限制的适当策略
我有一个经过验证的域,可以与我创建的 IAM 用户一起使用。
邮件发送成功。
我想锁定它,所以我首先创建了一个 VPC 端点,它允许来自整个 VPC 的 SMTP 流量。这也没有问题。
最后,我想只允许通过这个端点发送电子邮件,因此我想要 SES 授权策略接受从本地 VPC 范围(例如 10.204.0.0/16)发送的电子邮件。这是为了改善任何泄露的凭据,因此不良行为者无法仅仅因为他们具有一些 SES 访问权限就发送冒充我们域的电子邮件。
我无法按 aws:SourceIp 过滤,因为这仅适用于 public 个 IP 地址。
因此,这是否可能,或者我是否必须考虑泄露的凭据可能允许外部参与者作为我们的已验证域发送的可能性(尽管这种可能性不大)?
Amazon SES 可以使用 SMTP 凭据,这实质上意味着 SES 连接到互联网并且理论上 public 本质上是。
虽然您可以限制 IAM 用户和角色使用 Amazon SES API,但是您无法限制某人连接到 any of the Amazon SES endpoints 滥用您的 SMTP 服务器使用被盗凭据。这就是 SMTP 协议的设计工作方式 - 使用凭据。
它不知道 VPC IP 范围。
虽然您无法阻止泄露的凭据被使用,但您可以 monitor your Amazon SES sending activity 并且或许可以使用 CloudWatch 警报来注意到任何可疑行为,以便在发生泄露时做出更积极的反应。
首先要积极主动地防止泄漏 - 一次在 locked-down AWS Parameter Store, only giving one main IAM SMTP user the permission to carry out the ses:SendRawEmail 操作中存储 SMTP 凭据等。
结合高级别监控、严格限制什么应用程序在什么时间访问 SMTP 凭据、IAM SMTP 用户的不断轮换以及 SMTP 凭据和一般安全意识应该有望防止您的凭据泄露如果最坏的情况真的发生了,上述行动应该可以减少检测时间和爆炸半径。
感谢您尝试 apply security at all layers & preparing for security events!
您可以限制发送电子邮件 - 删除所有 SMTP 凭据并通过 API 通过特定的 IAM 用户发送电子邮件,您在该用户上附加了具有所需限制的适当策略