Abilitazione della registrazione degli eventi via e-mail

Abilita la registrazione degli eventi e-mail nella WorkMail console Amazon per tenere traccia dei messaggi e-mail per la tua organizzazione. La registrazione degli eventi e-mail utilizza un ruolo AWS Identity and Access Management collegato al servizio (SLR) per concedere le autorizzazioni per pubblicare i registri degli eventi e-mail su Amazon. CloudWatch Per ulteriori informazioni sui ruoli collegati ai servizi IAM, consulta. Utilizzo di ruoli collegati ai servizi per Amazon WorkMail

Nei registri degli CloudWatch eventi, puoi utilizzare strumenti e metriche di CloudWatch ricerca per tenere traccia dei messaggi e risolvere i problemi relativi alle e-mail. Per ulteriori informazioni sui registri degli eventi a cui Amazon WorkMail invia CloudWatch, consultaMonitoraggio dei registri degli eventi WorkMail e-mail di Amazon. Per ulteriori informazioni sui CloudWatch log, consulta la Amazon CloudWatch Logs User Guide.

Per disattivare la registrazione degli eventi e-mail

Quando attivi la registrazione degli eventi e-mail utilizzando le impostazioni predefinite, Amazon WorkMail, si verifica quanto segue:

• Crea un ruolo AWS Identity and Access Management collegato al servizio —. AmazonWorkMailEvents

• Crea un gruppo di CloudWatch log —. /aws/workmail/emailevents/organization-alias

• Imposta la conservazione dei CloudWatch log su 30 giorni.

Per attivare la registrazione degli eventi e-mail

1. Apri la WorkMail console Amazon all'indirizzo https://console.aws.amazon.com/workmail/.

   Se necessario, cambia la AWS regione. Nella barra nella parte superiore della finestra della console, apri l'elenco Seleziona una regione e scegli una regione. Per ulteriori informazioni, consulta la sezione relativa a regioni ed endpoint nella Riferimenti generali di Amazon Web Services.

2. Nel riquadro di navigazione, scegli Organizations, quindi scegli il nome della tua organizzazione.

3. Nel riquadro di navigazione, scegli Impostazioni di registrazione.

4. Scegli la scheda Impostazioni del registro del flusso di posta elettronica.

5. Nella sezione Impostazioni del registro del flusso di posta elettronica, scegli Modifica.

6. Sposta il cursore Abilita eventi di posta elettronica in posizione Attiva.

7. Esegui una di queste operazioni:

   • (Consigliato) Scegliete Usa impostazioni predefinite.

   • (Facoltativo) Cancella le impostazioni Use default e seleziona un gruppo di log di destinazione e un ruolo IAM dagli elenchi visualizzati.

     Nota

     Scegli questa opzione solo se hai già creato un gruppo di log e un ruolo IAM personalizzato utilizzando AWS CLI. Per ulteriori informazioni, consulta Creazione di un gruppo di log personalizzato e di un ruolo IAM per la registrazione degli eventi via e-mail.

8. Seleziona Autorizzo Amazon WorkMail a pubblicare i log nel mio account utilizzando questa configurazione.

9. Selezionare Salva.

Creazione di un gruppo di log personalizzato e di un ruolo IAM per la registrazione degli eventi via e-mail

Ti consigliamo di utilizzare le impostazioni predefinite quando abiliti la registrazione degli eventi e-mail per Amazon WorkMail. Se hai bisogno di una configurazione di monitoraggio personalizzata, puoi utilizzare la AWS CLI per creare un gruppo di log dedicato e un ruolo IAM personalizzato per la registrazione degli eventi via e-mail.

Per creare un gruppo di log personalizzato e un ruolo IAM per la registrazione degli eventi via e-mail

1. Usa il seguente AWS CLI comando per creare un gruppo di log nella stessa AWS regione della tua WorkMail organizzazione Amazon. Per ulteriori informazioni, consulta create-log-groupla sezione AWS CLI Command Reference.

   aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

2. Creare un file contenente la seguente policy:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "events.workmail.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }                

3. Utilizza il AWS CLI comando seguente per creare un ruolo IAM e allegare questo file come documento sulla politica del ruolo. Per ulteriori informazioni, consulta create-role nella Guida di riferimento ai comandi di AWS CLI .

   aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json

   Nota

   Se sei un utente di policy WorkMailFullAccess gestite, devi includere il termine workmail nel nome del ruolo. Questa policy gestita consente solo di configurare la registrazione degli eventi e-mail utilizzando i ruoli con workmail nel nome. Per ulteriori informazioni, consulta Concedere a un utente le autorizzazioni per passare un ruolo a un AWS servizio nella Guida per l'utente IAM.

4. Crea un file contenente la policy per il ruolo IAM che hai creato nel passaggio precedente. La policy deve concedere al ruolo almeno le autorizzazioni per creare flussi di log e inserire gli eventi di log nel gruppo di log creato al passaggio 1.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
           }
       ]
   }                

5. Utilizza il AWS CLI comando seguente per allegare il file di policy al ruolo IAM. Per ulteriori informazioni, consulta put-role-policyla sezione AWS CLI Command Reference.

   aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

Per disattivare la registrazione degli eventi e-mail

Disattiva la registrazione degli eventi e-mail dalla WorkMail console Amazon. Se non hai più bisogno di utilizzare la registrazione degli eventi via e-mail, ti consigliamo di eliminare anche il gruppo di CloudWatch log correlato e il ruolo collegato al servizio. Per ulteriori informazioni, consulta Eliminazione di un ruolo collegato ai servizi per Amazon WorkMail.

Per disattivare la registrazione degli eventi e-mail

1. Apri la WorkMail console Amazon all'indirizzo https://console.aws.amazon.com/workmail/.

   Se necessario, cambia la AWS regione. Nella barra nella parte superiore della finestra della console, apri l'elenco Seleziona una regione e scegli una regione. Per ulteriori informazioni, consulta la sezione relativa a regioni ed endpoint nella Riferimenti generali di Amazon Web Services.

2. Nel riquadro di navigazione, scegli Organizations, quindi scegli il nome della tua organizzazione.

3. Nel riquadro di navigazione, scegli Monitoring (Monitoraggio).

4. Nella sezione Impostazioni del registro, scegli Modifica.

5. Sposta il cursore Abilita eventi di posta elettronica in posizione OFF.

6. Selezionare Salva.

Prevenzione del confused deputy tra servizi

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato).

Il servizio di chiamata può essere manipolato in modo da utilizzare le sue autorizzazioni per agire su risorse di un altro cliente a cui altrimenti non avrebbe l'autorizzazione di accedere.

Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.

Consigliamo di utilizzare le chiavi di contesto aws:SourceArne aws:SourceAccountglobal condition nelle politiche delle risorse per limitare le autorizzazioni concesse da CloudWatch Logs e Amazon S3 ai servizi che generano i log. Se utilizzi entrambe le chiavi di contesto della condizione globale, i valori devono utilizzare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica.

I valori di aws:SourceArn devono essere gli ARN delle origini di consegna che generano log.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArncon l'ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale aws:SourceArn con caratteri speciali (*) per le parti sconosciute dell'ARN.