Activación del registro de eventos de correo electrónico Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico Desactivación del registro de eventos de correo electrónico Prevención de la sustitución confusa entre servicios

Habilitar el registro de eventos por correo electrónico

Habilitas el registro de eventos de correo electrónico en la WorkMail consola de Amazon para rastrear los mensajes de correo electrónico de tu organización. El registro de eventos de correo electrónico utiliza un rol AWS Identity and Access Management vinculado a un servicio (SLR) para conceder permisos para publicar los registros de eventos de correo electrónico en Amazon. CloudWatch Para obtener más información sobre los roles vinculados a servicios de IAM, consulte Uso de roles vinculados a servicios para Amazon WorkMail.

En los registros de CloudWatch eventos, puedes usar herramientas de CloudWatch búsqueda y métricas para realizar un seguimiento de los mensajes y solucionar problemas relacionados con el correo electrónico. Para obtener más información sobre los registros de eventos a los que Amazon WorkMail envía CloudWatch, consultaSupervisión de los registros de eventos de WorkMail correo electrónico de Amazon. Para obtener más información sobre CloudWatch los registros, consulta la Guía del usuario de Amazon CloudWatch Logs.

Temas

Activación del registro de eventos de correo electrónico
Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico
Desactivación del registro de eventos de correo electrónico
Prevención de la sustitución confusa entre servicios

Activación del registro de eventos de correo electrónico

Cuando activas el registro de eventos por correo electrónico con la configuración predeterminada, Amazon, ocurre lo WorkMail siguiente:

Crea un rol AWS Identity and Access Management vinculado a un servicio —. AmazonWorkMailEvents
Crea un grupo de CloudWatch registros —. /aws/workmail/emailevents/organization-alias
Establece la retención de CloudWatch registros en 30 días.

Para activar el registro de eventos de correo electrónico

Abre la WorkMail consola de Amazon en https://console.aws.amazon.com/workmail/.

Si es necesario, cambia la AWS región. En la barra situada en la parte superior de la ventana de la consola, abra la lista Seleccione una región y elija una región. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.
En el panel de navegación, elija Organizaciones y, a continuación, elija el nombre de su organización.
En el panel de navegación, seleccione Configuración de registro.
Seleccione la pestaña de configuración del registro del flujo de correo electrónico.
En la sección de configuración del registro del flujo de correo electrónico, selecciona Editar.
Mueva el control deslizante Activar eventos de correo a la posición de encendido.
Realice una de las acciones siguientes:
- (Recomendado) Elija Usar configuración predeterminada.
- (Opcional) Desactive la opción Usar configuración predeterminada y seleccione un Grupo de registro de destino y un Rol de IAM en las listas que aparecen.
  
  nota
  Elija esta opción solo si ya ha creado un grupo de registro y un rol de IAM personalizado utilizando la opción AWS CLI. Para obtener más información, consulte Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico.
Selecciona Autorizo WorkMail a Amazon a publicar registros en mi cuenta con esta configuración.
Seleccione Guardar.

Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico

Recomendamos utilizar la configuración predeterminada al habilitar el registro de eventos por correo electrónico para Amazon WorkMail. Si necesita una configuración de supervisión personalizada, puede utilizarla AWS CLI para crear un grupo de registro dedicado y una función de IAM personalizada para el registro de eventos de correo electrónico.

Para crear un grupo de registro y un rol de IAM personalizados para el registro de eventos de correo electrónico

Usa el siguiente AWS CLI comando para crear un grupo de registros en la misma AWS región que tu WorkMail organización de Amazon. Para obtener más información, consulte create-log-groupla Referencia de AWS CLI comandos.
```
aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
```

Cree un archivo que contenga la siguiente política:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Utilice el siguiente AWS CLI comando para crear una función de IAM y adjunte este archivo como documento de política de funciones. Para obtener más información, consulte create-role en la Referencia de comandos de la AWS CLI .
```
aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
```
nota
Si es un usuario de políticas WorkMailFullAccess administradas, debe incluir el término workmail en el nombre del rol. Esta política administrada solo le permite configurar el registro de eventos de correo electrónico con roles con workmail en el nombre. Para obtener más información, consulte Otorgar permisos a un usuario para transferir un rol a un AWS servicio en la Guía del usuario de IAM.

Cree un archivo que contenga la política del rol de IAM que creó en el paso anterior. Como mínimo, la política debe conceder permisos al rol para crear secuencias de registro e incluir eventos de registro en el grupo de registros que creó en el paso 1.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
        }
    ]
}

Utilice el siguiente AWS CLI comando para adjuntar el archivo de política al rol de IAM. Para obtener más información, consulte put-role-policyla Referencia de AWS CLI comandos.
```
aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
```

Desactivación del registro de eventos de correo electrónico

Desactiva el registro de eventos por correo electrónico desde la WorkMail consola de Amazon. Si ya no necesitas usar el registro de eventos por correo electrónico, te recomendamos que elimines también el grupo de CloudWatch registro relacionado y la función vinculada al servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios para Amazon WorkMail.

Para desactivar el registro de eventos de correo electrónico

Abre la WorkMail consola de Amazon en https://console.aws.amazon.com/workmail/.

Si es necesario, cambia la AWS región. En la barra situada en la parte superior de la ventana de la consola, abra la lista Seleccione una región y elija una región. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.
En el panel de navegación, elija Organizaciones y, a continuación, elija el nombre de su organización.
En el panel de navegación, seleccione Monitoreo.
En la sección Configuración, elija Editar.
Mueva el control deslizante Habilitar eventos de correo a la posición desactivado.
Seleccione Guardar.

Prevención de la sustitución confusa entre servicios

El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama).

El servicio de llamadas puede manipularse para utilizar sus permisos y utilizar los recursos de otro cliente a los que, de otro modo, no tendría permiso para acceder.

Para evitarlo, AWS proporciona herramientas que te ayudan a proteger los datos de todos los servicios cuyos directores de servicio tengan acceso a los recursos de tu cuenta.

Recomendamos utilizar las claves de contexto de condición aws:SourceAccountglobal aws:SourceArny las claves de contexto en las políticas de recursos para limitar los permisos que CloudWatch Logs y Amazon S3 conceden a los servicios que generan registros. Si usa ambas claves de contexto de condición global, los valores deben usar el mismo ID de cuenta cuando se usen en la misma declaración de política.

Los valores de aws:SourceArn deben ser los ARN de las fuentes de entrega que generan registros.

La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de aws:SourceArn con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utilice la clave de condición de contexto global aws:SourceArn con comodines (*) para las partes desconocidas del ARN.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registrar llamadas a WorkMail la API de Amazon con AWS CloudTrail

Habilitar el registro de auditoría