Activation de la journalisation des événements de messagerie Création d'un groupe de journaux personnalisé et d'un rôle IAM pour la journalisation des événements par e-mail Désactivation de la journalisation des événements de messagerie Prévention du cas de figure de l’adjoint désorienté entre services

Activation de l'enregistrement des événements par e-mail

Vous activez la journalisation des événements par e-mail dans la WorkMail console Amazon afin de suivre les e-mails de votre organisation. La journalisation des événements par e-mail utilise un rôle AWS Identity and Access Management lié à un service (SLR) pour autoriser la publication des journaux des événements par e-mail sur Amazon. CloudWatch Pour plus d'informations sur les rôles liés aux services IAM, consultez. Utilisation des rôles liés à un service pour Amazon WorkMail

Dans les journaux CloudWatch d'événements, vous pouvez utiliser des outils CloudWatch de recherche et des indicateurs pour suivre les messages et résoudre les problèmes liés aux e-mails. Pour plus d'informations sur les journaux d'événements auxquels Amazon WorkMail envoie CloudWatch, consultezSurveillance des journaux d'événements WorkMail liés aux e-mails Amazon. Pour plus d'informations sur CloudWatch les journaux, consultez le guide de l'utilisateur Amazon CloudWatch Logs.

Rubriques

Activation de la journalisation des événements de messagerie
Création d'un groupe de journaux personnalisé et d'un rôle IAM pour la journalisation des événements par e-mail
Désactivation de la journalisation des événements de messagerie
Prévention du cas de figure de l’adjoint désorienté entre services

Activation de la journalisation des événements de messagerie

Voici ce qui se produit lorsque vous activez la journalisation des événements par e-mail à l'aide des paramètres par défaut, Amazon WorkMail :

Crée un rôle AWS Identity and Access Management lié à un service —. AmazonWorkMailEvents
Crée un groupe de CloudWatch journaux —/aws/workmail/emailevents/organization-alias.
Définit la durée de conservation des CloudWatch journaux à 30 jours.

Pour activer la journalisation des événements de messagerie

Ouvrez la WorkMail console Amazon à l'adresse https://console.aws.amazon.com/workmail/.

Si nécessaire, modifiez la AWS région. Dans la barre en haut de la fenêtre de console, ouvrez la liste Sélectionnez une région et choisissez une région. Pour plus d'informations, consultez Régions et points de terminaison dans le Référence générale d'Amazon Web Services.
Dans le volet de navigation, choisissez Organizations, puis le nom de votre organisation.
Dans le volet de navigation, sélectionnez Paramètres de journalisation.
Choisissez l'onglet Paramètres du journal du flux d'e-mails.
Dans la section Paramètres du journal du flux d'e-mails, choisissez Modifier.
Déplacez le curseur Activer les événements de messagerie vers la position activée.
Effectuez l’une des actions suivantes :
- (Recommandé) Choisissez Utiliser les paramètres par défaut.
- (Facultatif) Effacez les paramètres Utiliser par défaut et sélectionnez un groupe de journaux de destination et un rôle IAM dans les listes qui apparaissent.
  
  Note
  Choisissez cette option uniquement si vous avez déjà créé un groupe de journaux et un rôle IAM personnalisé à l'aide du AWS CLI. Pour plus d’informations, consultez Création d'un groupe de journaux personnalisé et d'un rôle IAM pour la journalisation des événements par e-mail.
Sélectionnez J'autorise Amazon WorkMail à publier les journaux sur mon compte en utilisant cette configuration.
Choisissez Enregistrer.

Création d'un groupe de journaux personnalisé et d'un rôle IAM pour la journalisation des événements par e-mail

Nous vous recommandons d'utiliser les paramètres par défaut lors de l'activation de la journalisation des événements par e-mail pour Amazon WorkMail. Si vous avez besoin d'une configuration de surveillance personnalisée, vous pouvez utiliser le AWS CLI pour créer un groupe de journaux dédié et un rôle IAM personnalisé pour la journalisation des événements de courrier électronique.

Pour créer un groupe de journaux et un rôle IAM personnalisés pour la journalisation des événements par e-mail

Utilisez la AWS CLI commande suivante pour créer un groupe de journaux dans la même AWS région que votre WorkMail organisation Amazon. Pour plus d'informations, consultez create-log-grouple manuel de référence des AWS CLI commandes.
```
aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
```

Créez un fichier contenant la stratégie suivante :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Utilisez la AWS CLI commande suivante pour créer un rôle IAM et joignez ce fichier en tant que document de politique de rôle. Pour plus d'informations, consultez create-role dans la Référence des commandes de l'AWS CLI .
```
aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
```
Note
Si vous êtes un utilisateur de politiques WorkMailFullAccess gérées, vous devez inclure le terme workmail dans le nom du rôle. Cette stratégie gérée vous permet uniquement de configurer la journalisation des événements de messagerie à l'aide de rôles dont le nom contient workmail. Pour plus d'informations, consultez la section Octroi à un utilisateur des autorisations lui permettant de transmettre un rôle à un AWS service dans le Guide de l'utilisateur IAM.

Créez un fichier contenant la politique pour le rôle IAM que vous avez créée à l'étape précédente. Au minimum, la stratégie doit accorder à ce rôle les autorisations pour créer des flux de journaux et insérer des événements de journal dans le groupe de journaux que vous avez créé à l'étape 1.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
        }
    ]
}

Utilisez la AWS CLI commande suivante pour associer le fichier de politique au rôle IAM. Pour plus d'informations, consultez put-role-policyle manuel de référence des AWS CLI commandes.
```
aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
```

Désactivation de la journalisation des événements de messagerie

Désactivez la journalisation des événements par e-mail depuis la WorkMail console Amazon. Si vous n'avez plus besoin d'utiliser la journalisation des événements par e-mail, nous vous recommandons de supprimer également le groupe de CloudWatch journaux et le rôle lié au service associés. Pour plus d’informations, consultez Suppression d'un rôle lié à un service pour Amazon WorkMail.

Pour désactiver la journalisation des événements de messagerie

Ouvrez la WorkMail console Amazon à l'adresse https://console.aws.amazon.com/workmail/.

Si nécessaire, modifiez la AWS région. Dans la barre en haut de la fenêtre de console, ouvrez la liste Sélectionnez une région et choisissez une région. Pour plus d'informations, consultez Régions et points de terminaison dans le Référence générale d'Amazon Web Services.
Dans le volet de navigation, choisissez Organizations, puis le nom de votre organisation.
Dans le panneau de navigation, choisissez Surveillance.
Dans la section Paramètres du journal, choisissez Modifier.
Déplacez le curseur Activer les événements de messagerie sur la position Off.
Choisissez Enregistrer.

Prévention du cas de figure de l’adjoint désorienté entre services

Le problème de l’adjoint confus est un problème de sécurité dans lequel une entité qui n’a pas l’autorisation d’effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé).

Le service d'appel peut être manipulé pour utiliser ses autorisations afin d'agir sur les ressources d'un autre client auquel il n'aurait pas été autorisé à accéder autrement.

Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous recommandons d'utiliser les clés de contexte de condition aws:SourceAccountglobale aws:SourceArnet les clés de contexte dans les politiques de ressources afin de limiter les autorisations accordées par CloudWatch Logs et Amazon S3 aux services qui génèrent des journaux. Si vous utilisez les deux clés contextuelles de condition globale, les valeurs doivent utiliser le même identifiant de compte lorsqu'elles sont utilisées dans la même déclaration de politique.

Les valeurs de aws:SourceArn doivent être les ARN des sources de livraison qui génèrent les journaux.

Le moyen le plus efficace de se protéger du problème de l’adjoint désorienté consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l’ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale aws:SourceArn avec des caractères génériques (*) pour les parties inconnues de l'ARN.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Journalisation des appels WorkMail d'API Amazon avec AWS CloudTrail

Activer la journalisation des audits