Mengaktifkan pencatatan peristiwa email

Anda mengaktifkan pencatatan peristiwa email di WorkMail konsol Amazon untuk melacak pesan email untuk organisasi Anda. Pencatatan peristiwa email menggunakan peran AWS Identity and Access Management terkait layanan (SLR) untuk memberikan izin untuk mempublikasikan log peristiwa email ke Amazon. CloudWatch Untuk informasi selengkapnya tentang peran tertaut layanan IAM, lihat Menggunakan peran tertaut layanan untuk Amazon ECS WorkMail.

Dalam log CloudWatch peristiwa, Anda dapat menggunakan alat CloudWatch pencarian dan metrik untuk melacak pesan dan memecahkan masalah email. Untuk informasi selengkapnya tentang log peristiwa yang WorkMail dikirimkan Amazon CloudWatch, lihatMemantau log peristiwa WorkMail email Amazon. Untuk informasi selengkapnya tentang CloudWatch Log, lihat Panduan Pengguna Amazon CloudWatch Logs.

Mengaktifkan pencatatan peristiwa email

Berikut ini terjadi ketika Anda mengaktifkan pencatatan peristiwa email menggunakan pengaturan default, Amazon WorkMail:

• Menciptakan peran AWS Identity and Access Management terkait layanan —. AmazonWorkMailEvents

• Membuat grup CloudWatch log —/aws/workmail/emailevents/organization-alias.

• Menetapkan retensi CloudWatch log ke 30 hari.

Cara mengaktifkan pencatatan peristiwa email

1. Buka WorkMail konsol Amazon di https://console.aws.amazon.com/workmail/.

   Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar Pilih Wilayah dan pilih Wilayah. Untuk informasi selengkapnya, lihat Wilayah dan titik akhir di Referensi Umum Amazon Web.

2. Di panel navigasi, pilih Organizations, lalu pilih nama organisasi Anda.

3. Di panel navigasi, pilih Pengaturan logging.

4. Pilih tab Pengaturan log alur email.

5. Di bagian Pengaturan log alur email, pilih Edit.

6. Pindahkan slider Aktifkan acara email ke posisi aktif.

7. Lakukan salah satu hal berikut:

   • (Disarankan) Pilih Gunakan pengaturan default.

   • (Opsional) Hapus pengaturan default Gunakan, dan pilih Grup Log Tujuan dan Peran IAM dari daftar yang muncul.

     catatan

     Pilih opsi ini hanya jika Anda telah membuat grup log dan IAM role kustom menggunakan AWS CLI. Untuk informasi selengkapnya, lihat Membuat grup log kustom dan IAM role untuk pencatatan peristiwa email.

8. Pilih Saya mengotorisasi Amazon WorkMail untuk menerbitkan log di akun saya menggunakan konfigurasi ini.

9. Pilih Simpan.

Membuat grup log kustom dan IAM role untuk pencatatan peristiwa email

Sebaiknya gunakan pengaturan default saat mengaktifkan pencatatan peristiwa email untuk Amazon WorkMail. Jika Anda memerlukan konfigurasi pemantauan khusus, Anda dapat menggunakannya AWS CLI untuk membuat grup log khusus dan peran IAM khusus untuk pencatatan peristiwa email.

Untuk membuat grup log dan IAM role kustom untuk pencatatan peristiwa email

1. Gunakan AWS CLI perintah berikut untuk membuat grup log di AWS Wilayah yang sama dengan WorkMail organisasi Amazon Anda. Untuk informasi selengkapnya, lihat create-log-groupdi Referensi AWS CLI Perintah.

   aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

2. Buat file yang berisi kebijakan berikut ini:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "events.workmail.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }                

3. Gunakan AWS CLI perintah berikut untuk membuat peran IAM dan lampirkan file ini sebagai dokumen kebijakan peran. Untuk informasi lebih lanjut, lihat create-role dalam Referensi Perintah AWS CLI .

   aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json

   catatan

   Jika Anda pengguna kebijakan WorkMailFullAccess terkelola, Anda harus menyertakan istilah workmail dalam nama peran. Kebijakan terkelola ini hanya memungkinkan Anda mengkonfigurasi pencatatan peristiwa email menggunakan peran dengan workmail dalam nama tersebut. Untuk informasi selengkapnya, lihat Memberikan izin pengguna untuk meneruskan peran ke AWS layanan di Panduan Pengguna IAM.

4. Buat file yang berisi kebijakan untuk peran IAM yang Anda buat di langkah sebelumnya. Minimal, kebijakan harus memberikan izin untuk peran untuk membuat pengaliran log dan menempatkan peristiwa log ke grup log yang Anda buat pada langkah 1.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
           }
       ]
   }                

5. Gunakan AWS CLI perintah berikut untuk melampirkan file kebijakan ke peran IAM. Untuk informasi selengkapnya, lihat put-role-policydi Referensi AWS CLI Perintah.

   aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

Mematikan pencatatan peristiwa email

Matikan pencatatan peristiwa email dari WorkMail konsol Amazon. Jika Anda tidak perlu lagi menggunakan pencatatan peristiwa email, sebaiknya hapus grup CloudWatch log terkait dan peran terkait layanan juga. Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan untuk Amazon ECS WorkMail.

Untuk mematikan pencatatan peristiwa email

1. Buka WorkMail konsol Amazon di https://console.aws.amazon.com/workmail/.

   Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar Pilih Wilayah dan pilih Wilayah. Untuk informasi selengkapnya, lihat Wilayah dan titik akhir di Referensi Umum Amazon Web.

2. Di panel navigasi, pilih Organizations, lalu pilih nama organisasi Anda.

3. Di panel navigasi, pilih Pemantauan.

4. Di bagian Pengaturan log, pilih Edit.

5. Pindahkan slider Aktifkan acara email ke posisi mati.

6. Pilih Simpan.

Pencegahan confused deputy lintas layanan

Masalah confused deputy adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil).

Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain yang tidak akan memiliki izin untuk mengaksesnya.

Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi aws:SourceAccountglobal aws:SourceArndan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan CloudWatch Log dan Amazon S3 ke layanan yang menghasilkan log. Jika Anda menggunakan kedua kunci konteks kondisi global, nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.

Nilai aws:SourceArn harus berupa ARN dari sumber pengiriman yang menghasilkan log.

Cara paling efektif untuk melindungi dari masalah confused deputy adalah dengan menggunakan kunci konteks kondisi global aws:SourceArn dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian ARN yang tidak diketahui.