メールボックスコンテンツのエクスポート - Amazon WorkMail
前提条件IAM ポリシーの例とロールの作成例: メールボックスコンテンツのエクスポート考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

メールボックスコンテンツのエクスポート

Amazon WorkMail API リファレンスStartMailboxExportJob API アクションを使用して Amazon WorkMail メールボックスのコンテンツを Amazon Simple Storage Service (Amazon S3) バケットにエクスポートします 。このアクションは、指定したメールボックスから Amazon S3 バケットの .zip ファイルへ、MIME 形式で、すべての E メールメッセージとカレンダーアイテムをエクスポートします。連絡先やタスクなどのその他のアイテムはエクスポートされません。

メールボックスのエクスポートジョブの終了にかかる時間は、メールボックス内のアイテムのサイズと数によって異なります。メールボックスのエクスポートジョブは一定期間にわたって行われるため、単一の時点でのメールボックスコンテンツのスナップショットを表すものではありません。エクスポートジョブのステータスを確認するには、Amazon WorkMail API リファレンスDescribeMailboxExportJob または ListMailboxExportJobs API アクションを使用してください。

メールボックスエクスポートジョブが完了すると、Amazon S3 バケット内の .zip ファイルは、お客様が提供する対称 AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) を使用して暗号化されます。なぜなら AWS KMS 暗号化は Amazon S3 と統合され、復号されたデータは、ユーザーが AWS KMS CMK へのアクセス権を持っている限り、ダウンロードしたユーザーに表示されます。

前提条件

メールボックスコンテンツをエクスポートするための前提条件は次のとおりです。

  • プログラムする機能。

  • Amazon WorkMail 管理者アカウント。

  • Amazon S3 バケットでパブリックアクセスが許可されていないことを確認します。詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 ブロックパブリックアクセスの使用および Amazon Simple Storage Service ユーザーガイドを参照してください。

  • 対称 AWS KMS CMK 詳細については、AWS Key Management Service デベロッパーガイド使用開始を参照してください。

  • Amazon S3 バケットへの書き込みアクセス許可を付与し、送信されたファイルを AWS KMS CMKで暗号化するポリシーを持つ AWS Identity and Access Management (IAM) ロール。詳細については、「Amazon と IAM WorkMail の連携方法」を参照してください。

IAM ポリシーの例とロールの作成

次の例は、Amazon S3 バケットへの書き込みアクセス許可を付与し、送信されたファイルをAWS KMS CMKで暗号化する IAM ポリシーの例を示しています この例のポリシーを以下の 例: メールボックスコンテンツのエクスポート 手順で使用するには、ポリシーをJSON ファイルとして mailbox-export-policy.json のファイル名で保存します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/S3-PREFIX*"
                }
            }
        }
    ]
}

次の例は、作成した IAM ロールにアタッチされている IAM 信頼ポリシーです。この例のポリシーを以下の 例: メールボックスコンテンツのエクスポート 手順で使用するには、ポリシーをJSON ファイルとして mailbox-export-trust-policy.json のファイル名で保存します。

aws:SourceArn および aws:SourceAccount の条件を同時に使用する必要はありません。例えば、同じ AWS アカウントで、同じロールを使用して異なる Amazon WorkMail 組織からメッセージをエクスポートする必要がある場合、ポリシーから aws:SourceArn を削除できます。条件キーの詳細については、AWS Identity and Access Management ユーザーガイドAWSグローバル条件コンテキストキーを参照してください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

AWS CLI を使用して、以下のコマンドを実行することにより、アカウントに IAM ロールを作成します。

aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1
aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

AWS CLI の詳細については、AWS Command Line Interface ユーザーガイドを参照してください。

例: メールボックスコンテンツのエクスポート

前のセクションで IAM ロールとポリシーを作成したら、次のステップを実行してメールボックスのコンテンツをエクスポートします。Amazon WorkMail 組織 ID とユーザー ID (エンティティ ID) が必要です。これは、Amazon WorkMail コンソールまたは Amazon WorkMail API を使用してアクセスできます。

例: メールボックスコンテンツをエクスポートするには

  1. AWS CLI を使用して、メールボックスエクスポートジョブを開始します。

    aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name AWSDOC-EXAMPLE-BUCKET --s3-prefix S3-PREFIX

  2. AWS CLI を使用して、Amazon WorkMail 組織のメールボックスエクスポートジョブの状態をモニタリングします。

    aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56

    または、start-mailbox-export-job コマンドによって生成されたジョブ ID を使用して、そのメールボックスエクスポートジョブの状態のみをモニタリングします。

    aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID

メールボックスのエクスポートジョブの状態が完了済みの場合、エクスポートされたメールボックスアイテムは指定した Amazon S3 バケットの .zip ファイルにあります。

以下は、エクスポートされたメールボックスの出力ログの例です。


{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}
注記

TotalNonExportableItems は、メモや連絡先などのサポートされていないアイテムです。

考慮事項

Amazon WorkMail のメールボックスジョブをエクスポートする場合は、以下の考慮事項が適用されます。

  • 特定の Amazon WorkMail 組織に対して、最大 10 個のメールボックスエクスポートジョブを同時に実行できます。

  • 1 つのメールボックスのメールボックスエクスポートジョブは、24 時間に 1 回だけ実行できます。

  • 以下のリソースはすべて同じ AWS リージョンにある必要があります。

    • Amazon WorkMail 組織ごとのユーザー組織

    • AWS KMS CMK

    • Amazon S3 バケット