メールボックスコンテンツのエクスポート - Amazon WorkMail
前提条件IAM ポリシーの例とロールの作成例: メールボックスコンテンツのエクスポート考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

メールボックスコンテンツのエクスポート

Amazon StartMailboxExportJob API リファレンスの WorkMail API アクションを使用して、Amazon WorkMail メールボックスのコンテンツを Amazon Simple Storage Service (Amazon S3) バケットにエクスポートします。このアクションは、指定したメールボックスから Amazon S3 バケットの .zip ファイルへ、MIME 形式で、すべての E メールメッセージとカレンダーアイテムをエクスポートします。連絡先やタスクなどのその他のアイテムはエクスポートされません。

メールボックスのエクスポートジョブの終了にかかる時間は、メールボックス内のアイテムのサイズと数によって異なります。メールボックスのエクスポートジョブは一定期間にわたって行われるため、単一の時点でのメールボックスコンテンツのスナップショットを表すものではありません。エクスポートジョブのステータスを確認するには、Amazon ListMailboxExportJobs API リファレンス の DescribeMailboxExportJobまたは API アクションを使用します。 WorkMail

メールボックスのエクスポートジョブが完了すると、Amazon S3 バケット内の.zipファイルは、指定した対称 AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) を使用して暗号化されます。 AWS KMS 暗号化は Amazon S3 と統合されているため、復号化されたデータは、ユーザーが AWS KMS CMK にアクセスできる限り、ダウンロードしたユーザーに表示されます。

前提条件

メールボックスコンテンツをエクスポートするための前提条件は次のとおりです。

  • プログラムする機能。

  • Amazon WorkMail 管理者アカウント。

  • Amazon S3 バケットでパブリックアクセスが許可されていないことを確認します。詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 ブロックパブリックアクセスの使用および Amazon Simple Storage Service ユーザーガイドを参照してください。

  • 対称 AWS KMS CMK。詳細については、『AWS Key Management Service デベロッパーガイド』の「使用開始」を参照してください。

  • Amazon S3 バケットに書き込むアクセス許可を付与し、送信されたファイルを AWS KMS CMK で暗号化するポリシーを持つ AWS Identity and Access Management (IAM) ロール。詳細については、「Amazon と IAM WorkMail の連携方法」を参照してください。

IAM ポリシーの例とロールの作成

次の例は、Amazon S3 バケットに書き込むアクセス許可を付与し、送信されたファイルを AWS KMS CMK で暗号化する IAM ポリシーを示しています。この例のポリシーを以下の 例: メールボックスコンテンツのエクスポート 手順で使用するには、ポリシーをJSON ファイルとして mailbox-export-policy.json のファイル名で保存します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/S3-PREFIX*"
                }
            }
        }
    ]
}

次の例は、作成した IAM ロールにアタッチされている IAM 信頼ポリシーです。この例のポリシーを以下の 例: メールボックスコンテンツのエクスポート 手順で使用するには、ポリシーをJSON ファイルとして mailbox-export-trust-policy.json のファイル名で保存します。

aws:SourceArn および aws:SourceAccount の条件を同時に使用する必要はありません。例えば、同じロールを使用して、同じ AWS アカウントで異なる Amazon WorkMail 組織からメッセージをエクスポートする必要がある場合は、ポリシーaws:SourceArnから を削除できます。条件キーの詳細については、AWS Identity and Access Management ユーザーガイドAWS グローバル条件コンテキストキーを参照してください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

次のコマンドを実行する AWS CLI と、 を使用してアカウントに IAM ロールを作成できます。

aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1
aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

の詳細については AWS CLI、「 AWS Command Line Interface ユーザーガイド」を参照してください。

例: メールボックスコンテンツのエクスポート

前のセクションで IAM ロールとポリシーを作成したら、次のステップを実行してメールボックスのコンテンツをエクスポートします。Amazon WorkMail WorkMail コンソールまたは Amazon WorkMail API を使用してアクセスできる Amazon 組織 ID とユーザー ID (エンティティ ID) が必要です。

例: メールボックスコンテンツをエクスポートするには

  1. AWS CLI を使用してメールボックスエクスポートジョブを開始します。

    aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name DOC-EXAMPLE-BUCKET --s3-prefix S3-PREFIX

  2. を使用して AWS CLI 、Amazon WorkMail 組織のメールボックスエクスポートジョブの状態をモニタリングします。

    aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56

    または、start-mailbox-export-job コマンドによって生成されたジョブ ID を使用して、そのメールボックスエクスポートジョブの状態のみをモニタリングします。

    aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID

メールボックスのエクスポートジョブの状態が完了済みの場合、エクスポートされたメールボックスアイテムは指定した Amazon S3 バケットの .zip ファイルにあります。

以下は、エクスポートされたメールボックスの出力ログの例です。


{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}
注記

totalNonExportable項目は、メモや連絡先など、サポートされていない項目です。

考慮事項

Amazon のメールボックスジョブをエクスポートする場合、次の考慮事項が適用されます WorkMail。

  • 特定の Amazon WorkMail 組織に対して最大 10 個のメールボックスエクスポートジョブを同時に実行できます。

  • 1 つのメールボックスのメールボックスエクスポートジョブは、24 時間に 1 回だけ実行できます。

  • 次のリソースはすべて同じ AWS リージョンに存在する必要があります。

    • Amazon WorkMail 組織

    • AWS KMS CMK

    • Amazon S3 バケット