Postfachinhalt exportieren - Amazon WorkMail
VoraussetzungenBeispiele für IAM-Richtlinien und RollenerstellungBeispiel: Postfachinhalt exportierenÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Postfachinhalt exportieren

Verwenden Sie die StartMailboxExportJobAPI-Aktion in der Amazon WorkMail API-Referenz, um WorkMail Amazon-Postfachinhalte in einen Amazon Simple Storage Service (Amazon S3) -Bucket zu exportieren. Diese Aktion exportiert alle E-Mail-Nachrichten und Kalendereinträge aus dem angegebenen Postfach in eine.zip Datei im Amazon S3 S3-Bucket im MIME-Format. Andere Elemente, wie Kontakte und Aufgaben, werden nicht exportiert.

Die Zeit, die benötigt wird, bis der Postfachexport abgeschlossen ist, hängt von der Größe und Anzahl der Elemente im Postfach ab. Da der Postfachexportauftrag über einen bestimmten Zeitraum erfolgt, stellt er keine Momentaufnahme des Postfachinhalts zu einem einzelnen Zeitpunkt dar. Um den Status eines Exportauftrags zu sehen, verwenden Sie die DescribeMailboxExportJoboder ListMailboxExportJobsAPI-Aktionen in der WorkMail Amazon-API-Referenz.

Wenn ein Postfachexportauftrag abgeschlossen ist, wird die.zip Datei im Amazon S3 S3-Bucket mit dem von Ihnen angegebenen symmetrischenAWS Key Management Service (AWS KMS) Kundenmasterschlüssel (CMK) verschlüsselt. Da dieAWS KMS Verschlüsselung in Amazon S3 integriert ist, sind die entschlüsselten Daten für den Benutzer sichtbar, der sie herunterlädt, sofern der Benutzer Zugriff auf dasAWS KMS CMK hat.

Voraussetzungen

Es folgen die Voraussetzungen für den Export von Postfachinhalten:

  • Die Fähigkeit zu programmieren.

  • Ein WorkMail Amazon-Administratorkonto.

  • Ein Amazon S3 S3-Bucket, der keinen öffentlichen Zugriff ermöglicht. Weitere Informationen finden Sie unter Verwenden von Amazon S3 Block Public Access im Amazon Simple Storage Service-Benutzerhandbuch und im Amazon Simple Storage Service-Benutzerhandbuch.

  • Ein symmetrischesAWS KMS CMK. Weitere Informationen finden Sie unter Erste Schritte im AWS Key Management Service Entwicklerhandbuch.

  • EineAWS Identity and Access Management (IAM) -Rolle mit einer Richtlinie, die die Berechtigung gewährt, in den Amazon S3 S3-Bucket zu schreiben und die gesendeten Dateien mit demAWS KMS CMK zu verschlüsseln. Weitere Informationen finden Sie unter So WorkMail arbeitet Amazon mit IAM.

Beispiele für IAM-Richtlinien und Rollenerstellung

Das folgende Beispiel zeigt eine IAM-Richtlinie, die die Berechtigung gewährt, in den Amazon S3 S3-Bucket zu schreiben und die gesendeten Dateien mit demAWS KMS CMK zu verschlüsseln. Um diese Beispielrichtlinie im folgendenBeispiel: Postfachinhalt exportieren Verfahren zu verwenden, speichern Sie die Richtlinie als JSON-Datei mit dem Dateinamenmailbox-export-policy.json.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/S3-PREFIX*"
                }
            }
        }
    ]
}

Das nachfolgende Beispiel zeigt eine IAM-Vertrauensrichtlinie, die der von Ihnen erstellten IAM-Rolle angefügt ist. Um diese Beispielrichtlinie im folgendenBeispiel: Postfachinhalt exportieren Verfahren zu verwenden, speichern Sie die Richtlinie als JSON-Datei mit dem Dateinamenmailbox-export-trust-policy.json.

Sie müssen dieaws:SourceAccount Bedingungenaws:SourceArn und nicht gleichzeitig verwenden. Sie können beispielsweiseaws:SourceArn aus der Richtlinie entfernen, wenn Sie dieselbe Rolle verwenden müssen, um Nachrichten von verschiedenen WorkMail Amazon-Organisationen unter demselbenAWS Konto zu exportieren. Weitere Informationen zu Kontext-Schlüsseln für Bedingungen finden Sie unter AWSGlobale -Bedingungskontextschlüssel im AWSIdentity and Access Management Management-Benutzerhandbuch.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

Sie können die verwendenAWS CLI, um die IAM-Rolle in Ihrem Konto zu erstellen, indem Sie die folgenden Befehle ausführen.

aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1
aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

Weitere Informationen zur AWS CLI finden Sie im AWS Command Line Interface User Guide.

Beispiel: Postfachinhalt exportieren

Nachdem Sie die IAM-Rolle und die Richtlinien im vorherigen Abschnitt erstellt haben, führen Sie die folgenden Schritte aus, um Ihren Postfachinhalt zu exportieren. Sie benötigen Ihre WorkMail Amazon-Organisations-ID und Benutzer-ID (Entitäts-ID), auf die Sie in der WorkMail Amazon-Konsole oder mithilfe der WorkMail Amazon-API zugreifen können.

Beispiel: Um Postfachinhalte zu exportieren

  1. Verwenden Sie dieAWS CLI, um den Postfachexportjob zu starten.

    aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name AWSDOC-EXAMPLE-BUCKET --s3-prefix S3-PREFIX

  2. Verwenden Sie dieAWS CLI, um den Status der Postfach-Exportaufträge für Ihre WorkMail Amazon-Organisation zu überwachen.

    aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56

    Verwenden Sie alternativ die durch denstart-mailbox-export-job Befehl generierte Job-ID, um nur den Status dieses Postfachexportauftrags zu überwachen.

    aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID

Wenn der Status des Postfachexportauftrags ABGESCHLOSSEN ist, sind die exportierten Postfachelemente in einer.zip Datei im angegebenen Amazon S3 S3-Bucket verfügbar.

Im Folgenden sehen Sie ein Beispiel für das Ausgabeprotokoll des exportierten Postfachs:


{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}
Anmerkung

totalNonExportableElemente wie Notizen und Kontakte werden nicht unterstützt.

Überlegungen

Die folgenden Überlegungen gelten beim Export von Postfachaufträgen für Amazon WorkMail:

  • Sie können für eine bestimmte WorkMail Amazon-Organisation bis zu 10 Postfach-Exportaufträge gleichzeitig ausführen.

  • Sie können einen Postfachexportjob für ein bestimmtes Postfach bis zu einmal alle 24 Stunden ausführen.

  • Die folgenden Ressourcen müssen sich alle in derselbenAWS Region befinden:

    • WorkMail Amazon-Organisation

    • AWS KMSCMK

    • Amazon-S3-Bucket