Exportation du contenu de la boîte

Utilisez l'action d'StartMailboxExportJobAPI dans Amazon WorkMail API Reference pour exporter le contenu de la WorkMail boîte aux lettres Amazon vers un compartiment Amazon Simple Storage Service (Amazon S3). Cette action exporte tous les e-mails et les éléments du calendrier de la boîte aux lettres spécifiée vers un.zip fichier du compartiment Amazon S3, au format MIME. Les autres éléments, tels que les contacts et les tâches, ne sont pas exportés.

Le temps nécessaire à la fin de la tâche d'exportation de la boîte aux lettres dépend de la taille et du nombre d'éléments de la boîte aux lettres. Étant donné que la tâche d'exportation de la boîte aux lettres s'effectue sur une certaine période, elle ne représente pas un instantané du contenu de la boîte aux lettres à un moment donné. Pour voir l'état d'une tâche d'exportation, utilisez les actions d'ListMailboxExportJobsAPI DescribeMailboxExportJobor dans le manuel Amazon WorkMail API Reference.

Lorsqu'une tâche d'exportation de boîte aux lettres est terminée, le.zip fichier du compartiment Amazon S3 est chiffré à l'aide de la clé principale client (CMK) symétriqueAWS Key Management Service () que vous fournissez.AWS KMS LeAWS KMS chiffrement étant intégré à Amazon S3, les données déchiffrées sont visibles par l'utilisateur qui les télécharge, à condition qu'il ait accès auAWS KMS CMK.

Prérequis

Les conditions suivantes sont requises pour exporter le contenu de la boîte aux lettres :

• La capacité de programmer.

• Un compte WorkMail administrateur Amazon.

• Un compartiment Amazon S3 qui n'autorise pas l'accès public. Pour plus d'informations, consultez la section Utilisation de l'accès public par blocage d'Amazon S3 dans le Guide de l'utilisateur d'Amazon Simple Storage Service et le Guide de l'utilisateur d'Amazon Simple Storage Service.

• UneAWS KMS CMK symétrique. Pour de plus amples informations, veuillez consulter Mise en route dans le Manuel du développeur AWS Key Management Service.

• Un rôleAWS Identity and Access Management (IAM) doté d'une politique qui autorise l'écriture dans le compartiment Amazon S3 et le chiffrement des fichiers envoyés à l'aide de laAWS KMS CMK. Pour plus d'informations, veuillez consulter Comment Amazon WorkMail travaille avec IAM.

Exemples de politique IAM et création de rôles

L'exemple suivant montre une politique IAM qui autorise l'écriture dans le compartiment Amazon S3 et le chiffrement des fichiers envoyés à l'aide de laAWS KMS CMK. Pour utiliser cet exemple de politique dans laExemple : exportation du contenu d'une boîte aux lettres procédure suivante, enregistrez la politique en tant que fichier JSON avec un nom de fichiermailbox-export-policy.json.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/S3-PREFIX*"
                }
            }
        }
    ]
}

L'exemple suivant montre une stratégie de confiance IAM attachée au rôle IAM que vous créez. Pour utiliser cet exemple de politique dans laExemple : exportation du contenu d'une boîte aux lettres procédure suivante, enregistrez la politique en tant que fichier JSON avec un nom de fichiermailbox-export-trust-policy.json.

Vous n'êtes pas obligé d'utiliser lesaws:SourceAccount conditionsaws:SourceArn et en même temps. Par exemple, vous pouvez le supprimeraws:SourceArn de la politique si vous devez utiliser le même rôle pour exporter des messages provenant de différentes WorkMail organisations Amazon sous le mêmeAWS compte. Pour en savoir plus sur les clés de condition, consultez Clés de contexte de conditionAWS globales dans le Guide de l'utilisateurAWS Identity and Access Management.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

Vous pouvez utiliser leAWS CLI pour créer le rôle IAM dans votre compte en exécutant les commandes suivantes.

aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1

aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

Pour plus d'informations sur la AWS CLI, consultez le AWS Command Line InterfaceGuide de l'utilisateur .

Exemple : exportation du contenu d'une boîte aux lettres

Après avoir créé le rôle et les politiques IAM dans la section précédente, procédez comme suit pour exporter le contenu de votre boîte aux lettres. Vous devez disposer de votre identifiant d' WorkMailorganisation Amazon et de votre identifiant utilisateur (identifiant d'entité), auxquels vous pouvez accéder dans la WorkMail console Amazon ou à l'aide de l' WorkMail API Amazon.

Exemple : Pour exporter le contenu d'une boîte aux lettres

1. Utilisez leAWS CLI pour démarrer la tâche d'exportation de la boîte aux lettres.

   aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name AWSDOC-EXAMPLE-BUCKET --s3-prefix S3-PREFIX

2. Utilisez leAWS CLI pour surveiller l'état des tâches d'exportation de boîtes aux lettres pour votre WorkMail organisation Amazon.

   aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56

   Vous pouvez également utiliser l'ID de tâche généré par lastart-mailbox-export-job commande pour contrôler uniquement l'état de cette tâche d'exportation de boîte aux lettres.

   aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID

Lorsque l'état de la tâche d'exportation de la boîte aux lettres est TERMINÉ, les éléments de la boîte aux lettres exportés sont disponibles dans un.zip fichier du compartiment Amazon S3 spécifié.

Voici un exemple du journal de sortie de la boîte aux lettres exportation :

{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}   
        

Note

totalNonExportableLes éléments sont des éléments non pris en charge, tels que des notes et des contacts.

Considérations

Les considérations suivantes s'appliquent lors de l'exportation de tâches de boîte aux lettres pour Amazon WorkMail :

• Vous pouvez exécuter jusqu'à 10 tâches d'exportation de boîtes aux lettres simultanées pour une WorkMail organisation Amazon donnée.

• Vous pouvez exécuter une tâche d'exportation de boîte aux lettres pour une boîte aux lettres donnée jusqu'à une fois toutes les 24 heures.

• Les ressources suivantes doivent toutes se trouver dans la mêmeAWS région :

  • WorkMail Organisation Amazon

  • AWS KMSCMK

  • Compartiment Amazon S3