Einschalten der E-Mail-Ereignisprotokollierung Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für die Protokollierung von E-Mail-Ereignissen Ausschalten der E-Mail-Ereignisprotokollierung Serviceübergreifende Confused-Deputy-Prävention

Die Protokollierung von E-Mail-Ereignissen aktivieren

Sie aktivieren die Protokollierung von E-Mail-Ereignissen in der WorkMail Amazon-Konsole, um E-Mail-Nachrichten für Ihre Organisation nachzuverfolgen. Die E-Mail-Ereignisprotokollierung verwendet eine AWS Identity and Access Management serviceverknüpfte Rolle (SLR), um Berechtigungen zur Veröffentlichung der E-Mail-Ereignisprotokolle auf Amazon zu erteilen. CloudWatch Weitere Informationen zu serviceverknüpften IAM-Rollen finden Sie unter. Verwendung von serviceverknüpften Rollen für Amazon WorkMail

In den CloudWatch Ereignisprotokollen können Sie CloudWatch Suchtools und Messwerte verwenden, um Nachrichten nachzuverfolgen und E-Mail-Probleme zu beheben. Weitere Informationen zu den Ereignisprotokollen, an die Amazon WorkMail sendet CloudWatch, finden Sie unterÜberwachung der WorkMail E-Mail-Ereignisprotokolle von Amazon. Weitere Informationen zu CloudWatch Logs finden Sie im Amazon CloudWatch Logs-Benutzerhandbuch.

Themen

Einschalten der E-Mail-Ereignisprotokollierung
Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für die Protokollierung von E-Mail-Ereignissen
Ausschalten der E-Mail-Ereignisprotokollierung
Serviceübergreifende Confused-Deputy-Prävention

Einschalten der E-Mail-Ereignisprotokollierung

Folgendes passiert, wenn Sie die E-Mail-Ereignisprotokollierung mit den Standardeinstellungen Amazon aktivieren WorkMail:

Erstellt eine AWS Identity and Access Management serviceverknüpfte Rolle —AmazonWorkMailEvents.
Erzeugt eine CloudWatch Protokollgruppe —/aws/workmail/emailevents/organization-alias.
Legt die CloudWatch Protokollspeicherung auf 30 Tage fest.

So schalten Sie E-Mail-Ereignisprotokollierung ein

Öffnen Sie die WorkMail Amazon-Konsole unter https://console.aws.amazon.com/workmail/.

Ändern Sie gegebenenfalls die AWS Region. Öffnen Sie in der Leiste oben im Konsolenfenster die Liste Region auswählen und wählen Sie eine Region aus. For more information, see Regions and endpoints in the Allgemeine Amazon Web Services-Referenz.
Wählen Sie im Navigationsbereich Organizations und dann den Namen Ihrer Organisation aus.
Wählen Sie im Navigationsbereich die Option Protokollierungseinstellungen aus.
Wählen Sie die Registerkarte Einstellungen für das E-Mail-Flussprotokoll aus.
Wählen Sie im Abschnitt Einstellungen für das E-Mail-Flussprotokoll die Option Bearbeiten aus.
Stellen Sie den Schieberegler E-Mail-Ereignisse aktivieren auf die Position Ein.
Führen Sie eine der folgenden Aktionen aus:
- (Empfohlen) Wählen Sie „Standardeinstellungen verwenden“.
- (Optional) Deaktivieren Sie die Option Standardeinstellungen verwenden und wählen Sie eine Zielprotokollgruppe und eine IAM-Rolle aus den angezeigten Listen aus.
  
  Anmerkung
  Wählen Sie diese Option nur, wenn Sie bereits eine Protokollgruppe und eine benutzerdefinierte IAM-Rolle mit dem erstellt haben. AWS CLI Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für die Protokollierung von E-Mail-Ereignissen.
Wählen Sie Ich autorisiere Amazon WorkMail , mithilfe dieser Konfiguration Protokolle in meinem Konto zu veröffentlichen.
Wählen Sie Speichern.

Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für die Protokollierung von E-Mail-Ereignissen

Wir empfehlen, die Standardeinstellungen zu verwenden, wenn Sie die E-Mail-Ereignisprotokollierung für Amazon aktivieren WorkMail. Wenn Sie eine benutzerdefinierte Überwachungskonfiguration benötigen, können Sie die verwenden, AWS CLI um eine dedizierte Protokollgruppe und eine benutzerdefinierte IAM-Rolle für die E-Mail-Ereignisprotokollierung zu erstellen.

Um eine benutzerdefinierte Protokollgruppe und eine IAM-Rolle für die E-Mail-Ereignisprotokollierung zu erstellen

Verwenden Sie den folgenden AWS CLI Befehl, um eine Protokollgruppe in derselben AWS Region wie Ihre WorkMail Amazon-Organisation zu erstellen. Weitere Informationen finden Sie create-log-groupin der AWS CLI Befehlsreferenz.
```
aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
```

Erstellen Sie eine Datei mit der folgenden Richtlinie:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Verwenden Sie den folgenden AWS CLI Befehl, um eine IAM-Rolle zu erstellen und diese Datei als Rollenrichtlinien-Dokument anzuhängen. Weitere Informationen finden Sie unter create-role in der AWS CLI -Befehlsreferenz.
```
aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
```
Anmerkung
Wenn Sie ein Benutzer mit WorkMailFullAccess verwalteten Richtlinien sind, müssen Sie den Begriff workmail in den Rollennamen aufnehmen. Diese verwaltete Richtlinie erlaubt Ihnen nur das Konfigurieren der E-Mail-Ereignisprotokollierung zur Verwendung von Rollen, die workmail im Namen enthalten. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Gewähren von Benutzerberechtigungen zur AWS Übergabe einer Rolle an einen Dienst.

Erstellen Sie eine Datei, die die Richtlinie für die IAM-Rolle enthält, die Sie im vorherigen Schritt erstellt haben. Die Richtlinie muss der Rolle mindestens die Berechtigungen zum Erstellen von Protokoll-Streams und zum Platzieren von Protokollereignissen in der in Schritt 1 erstellten Protokollgruppe gewähren.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
        }
    ]
}

Verwenden Sie den folgenden AWS CLI Befehl, um die Richtliniendatei an die IAM-Rolle anzuhängen. Weitere Informationen finden Sie put-role-policyin der AWS CLI Befehlsreferenz.
```
aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
```

Ausschalten der E-Mail-Ereignisprotokollierung

Schalten Sie die Protokollierung von E-Mail-Ereignissen von der WorkMail Amazon-Konsole aus. Wenn Sie die E-Mail-Ereignisprotokollierung nicht mehr verwenden müssen, empfehlen wir Ihnen, auch die zugehörige CloudWatch Protokollgruppe und die mit dem Dienst verknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle für Amazon WorkMail.

So deaktivieren Sie E-Mail-Ereignisprotokollierung

Öffnen Sie die WorkMail Amazon-Konsole unter https://console.aws.amazon.com/workmail/.

Ändern Sie gegebenenfalls die AWS Region. Öffnen Sie in der Leiste oben im Konsolenfenster die Liste Region auswählen und wählen Sie eine Region aus. For more information, see Regions and endpoints in the Allgemeine Amazon Web Services-Referenz.
Wählen Sie im Navigationsbereich Organizations und dann den Namen Ihrer Organisation aus.
Wählen Sie im Navigationsbereich Monitoring (Überwachung) aus.
Wählen Sie im Abschnitt Protokolleinstellungen die Option Bearbeiten aus.
Stellen Sie den Schieberegler E-Mail-Ereignisse aktivieren auf die Position Aus.
Wählen Sie Speichern.

Serviceübergreifende Confused-Deputy-Prävention

Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service).

Der anrufende Service kann so manipuliert werden, dass er seine Berechtigungen nutzt, um auf die Ressourcen eines anderen Kunden zu reagieren, für den er sonst keine Zugriffsberechtigung hätte.

Um dies zu verhindern, werden Tools AWS bereitgestellt, mit denen Sie Ihre Daten für alle Dienste schützen können, deren Dienstprinzipale Zugriff auf Ressourcen in Ihrem Konto erhalten haben.

Wir empfehlen, die Kontextschlüssel aws:SourceArnund die aws:SourceAccountglobalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die CloudWatch Logs und Amazon S3 den Services gewähren, die Protokolle generieren. Wenn Sie beide Kontextschlüssel für globale Bedingungen verwenden, müssen die Werte dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden.

Die Werte von aws:SourceArn müssen die ARNs der Bereitstellungsquellen sein, die Protokolle generieren.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels aws:SourceArn mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel aws:SourceArn mit Platzhaltern (*) für die unbekannten Teile des ARN.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Protokollierung Amazon WorkMail Amazon-API-Aufrufen mit AWS CloudTrail

Audit-Protokollierung aktivieren