Exportación de contenido de buzones de correo

Utilice la acción de la API StartMailboxExportJob indicada en la Referencia de la API de Amazon WorkMail para exportar el contenido del buzón de correo de Amazon WorkMail a un bucket de Amazon Simple Storage Service (Amazon S3). Esta acción exporta todos los mensajes de correo electrónico y elementos de calendario del buzón especificado a un archivo .zip en el bucket de Amazon S3, en formato MIME. Otros elementos, como los contactos y las tareas, no se exportan.

El tiempo que tarda en finalizar el trabajo de exportación del buzón de correo depende del tamaño y del número de elementos del buzón. Dado que el trabajo de exportación del buzón de correo tiene lugar en un periodo de tiempo, no representa una instantánea del contenido del buzón en un único momento. Para ver el estado de un trabajo de exportación, utilice las acciones de la API DescribeMailboxExportJob o ListMailboxExportJobs indicadas en la Referencia de la API de Amazon WorkMail.

Al completarse un trabajo de exportación de buzón de correo, el archivo .zip del bucket de Amazon S3 se cifra utilizando la clave maestra de cliente (CMK) simétrica de AWS Key Management Service (AWS KMS) que usted proporcione. Dado que el cifrado de AWS KMS está integrado en Amazon S3, los datos descifrados son visibles para el usuario que los descargue, siempre que este tenga acceso a la CMK de AWS KMS.

Requisitos previos

Para exportar el contenido de buzones de correo se debe satisfacer los siguientes requisitos previos:

• Capacidad para programar.

• Una cuenta de administrador de Amazon WorkMail.

• Un bucket de Amazon S3 que no permita el acceso público. Para obtener más información, consulte Uso del bloqueo de acceso público de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service y en la Guía del usuario de Amazon Simple Storage Service.

• Una CMK de AWS KMS simétrica. Para obtener más información, consulte Introducción en la Guía para desarrolladores de AWS Key Management Service.

• Un rol de AWS Identity and Access Management (IAM) con una política que concede permiso para escribir en el bucket de Amazon S3 y cifrar los archivos enviados con la CMK de AWS KMS. Para obtener más información, consulte Cómo WorkMail funciona Amazon con IAM.

Ejemplos de políticas de IAM y creación de roles

En el siguiente ejemplo se muestra una política de IAM que concede permiso para escribir en el bucket de Amazon S3 y cifrar los archivos enviados con la CMK de AWS KMS. Para utilizar esta política de ejemplo en el siguiente procedimiento de Ejemplo: Exportación del contenido de un buzón de correo, guarde la política como un archivo JSON con el nombre de archivo mailbox-export-policy.json.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/S3-PREFIX*"
                }
            }
        }
    ]
}

En el siguiente ejemplo se muestra una política de confianza de IAM que se vincula al rol de IAM creado. Para utilizar esta política de ejemplo en el siguiente procedimiento de Ejemplo: Exportación del contenido de un buzón de correo, guarde la política como un archivo JSON con el nombre de archivo mailbox-export-trust-policy.json.

No necesita utilizar las condiciones aws:SourceArn y aws:SourceAccount al mismo tiempo. Por ejemplo, puede eliminar aws:SourceArn de la política si necesita utilizar el mismo rol para exportar mensajes de diferentes organizaciones de Amazon WorkMail bajo la misma cuenta de AWS. Para obtener más información sobre las claves de condición, consulte las Claves de contexto de condición global de AWS en la Guía del usuario de administración de identidades y accesos de AWS.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

Puede utilizar la AWS CLI para crear el rol de IAM en su cuenta ejecutando los siguientes comandos.

aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1

aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

Para obtener más información sobre AWS CLI, consulte la Guía del usuario de AWS Command Line Interface.

Ejemplo: Exportación del contenido de un buzón de correo

Después de crear el rol de IAM y las políticas en la sección anterior, complete los siguientes pasos para exportar el contenido de su buzón de correo. Debe tener su ID de organización de Amazon WorkMail y su ID de usuario (ID de entidad), a los que puede acceder en la consola de Amazon WorkMail o mediante la API de Amazon WorkMail.

Ejemplo: Para exportar el contenido del buzón de correo

1. Utilice la AWS CLI para iniciar el trabajo de exportación del buzón de correo.

   aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name AWSDOC-EXAMPLE-BUCKET --s3-prefix S3-PREFIX

2. Utilice la AWS CLI para monitorear el estado del trabajo de exportación del buzón de correo de su organización de Amazon WorkMail.

   aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56

   O bien, puede utilizar el ID del trabajo generado por el comando start-mailbox-export-job para monitorear solo el estado de ese trabajo de exportación de buzón de correo.

   aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID

Cuando el estado del trabajo de exportación del buzón es COMPLETED, los elementos del buzón de correo exportados están disponibles en un archivo .zip en el bucket de Amazon S3 especificado.

A continuación se muestra un ejemplo del registro de salida del buzón de correo exportado:

{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}   
        

nota

totalNonExportableItems son elementos no compatibles como notas y contactos.

Consideraciones

Se aplican las siguientes consideraciones al exportar trabajos de buzón de correo para Amazon WorkMail:

• Puede ejecutar hasta 10 trabajos de exportación de buzón de correo simultáneos para una organización de Amazon WorkMail determinada.

• Puede ejecutar un trabajo de exportación de buzón de correo para un buzón de correo determinado con una frecuencia de una vez cada 24 horas.

• Los siguientes recursos deben estar todos en la misma región de AWS:

  • Organización de Amazon WorkMail

  • CMK de AWS KMS

  • Bucket de Amazon S3