이메일 이벤트 로깅 활성화 - Amazon WorkMail
이메일 이벤트 로깅 켜기이메일 이벤트 로깅을 위한 사용자 지정 로그 그룹 및 IAM 역할 생성이메일 이벤트 로깅 해제교차 서비스 혼동된 대리인 방지

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

이메일 이벤트 로깅 활성화

조직의 이메일 메시지를 추적하기 위해 Amazon WorkMail 콘솔에서 이메일 이벤트 로깅을 활성화합니다. 이메일 이벤트 로깅은 AWS Identity and Access Management 서비스 연결 역할(SLR)을 사용하여 이메일 이벤트 로그를 Amazon 에 게시할 수 있는 권한을 부여합니다 CloudWatch. IAM 서비스 연결 역할에 대한 자세한 내용은 섹션을 참조하세요Amazon WorkMail에 대해 서비스 연결 역할 사용.

CloudWatch 이벤트 로그에서 CloudWatch 검색 도구 및 지표를 사용하여 메시지를 추적하고 이메일 문제를 해결할 수 있습니다. Amazon이 에 WorkMail 전송하는 이벤트 로그에 대한 자세한 내용은 섹션을 CloudWatch참조하세요Amazon WorkMail 이메일 이벤트 로그 모니터링. CloudWatch 로그에 대한 자세한 내용은 Amazon CloudWatch Logs 사용 설명서 를 참조하세요.

이메일 이벤트 로깅 켜기

기본 설정인 Amazon 를 사용하여 이메일 이벤트 로깅을 켜면 다음이 발생합니다 WorkMail.

  • AWS Identity and Access Management 서비스 연결 역할 생성 - AmazonWorkMailEvents.

  • CloudWatch 로그 그룹 생성 - /aws/workmail/emailevents/organization-alias.

  • CloudWatch 로그 보존을 30일로 설정합니다.

이메일 이벤트 로깅을 켜려면

  1. 에서 Amazon WorkMail 콘솔을 엽니다https://console.aws.amazon.com/workmail/.

    필요한 경우 AWS 리전을 변경합니다. 콘솔 창 상단의 표시줄에서 리전 선택 목록을 열고 리전을 선택합니다. 자세한 내용은Amazon Web Services 일반 참조 Regions and endpoints를 참조하세요.

  2. 탐색 창에서 조직을 선택한 다음 조직의 이름을 선택합니다.

  3. 탐색 창에서 로깅 설정 을 선택합니다.

  4. 이메일 흐름 로그 설정 탭을 선택합니다.

  5. 이메일 흐름 로그 설정 섹션에서 편집을 선택합니다.

  6. 메일 이벤트 활성화 슬라이더를 켜짐 위치로 이동합니다.

  7. 다음 중 하나를 수행합니다.

    • (권장) 기본 설정 사용을 선택합니다.

    • (선택 사항) 기본 설정 사용 을 지우고 표시되는 목록에서 대상 로그 그룹IAM 역할을 선택합니다.

      참고

      를 사용하여 로그 그룹 및 사용자 지정 IAM 역할을 이미 생성한 경우에만 이 옵션을 선택합니다 AWS CLI. 자세한 내용은 이메일 이벤트 로깅을 위한 사용자 지정 로그 그룹 및 IAM 역할 생성 단원을 참조하십시오.

  8. 이 구성 을 사용하여 Amazon이 내 계정에 로그를 게시 WorkMail 할 수 있도록 권한을 부여합니다를 선택합니다.

  9. 저장(Save)을 선택합니다.

이메일 이벤트 로깅을 위한 사용자 지정 로그 그룹 및 IAM 역할 생성

Amazon 에 대한 이메일 이벤트 로깅을 활성화할 때는 기본 설정을 사용하는 것이 좋습니다 WorkMail. 사용자 지정 모니터링 구성이 필요한 경우 를 사용하여 이메일 이벤트 로깅 AWS CLI 을 위한 전용 로그 그룹 및 사용자 지정 IAM 역할을 생성할 수 있습니다.

이메일 이벤트 로깅을 위한 사용자 지정 로그 그룹 및 IAM 역할을 생성하려면

  1. 다음 AWS CLI 명령을 사용하여 Amazon WorkMail 조직과 동일한 AWS 리전에 로그 그룹을 생성합니다. 자세한 내용은 명령 참조create-log-group의 섹션을 참조하세요. AWS CLI 

    aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

  2. 다음 정책이 포함된 파일을 생성합니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 다음 AWS CLI 명령을 사용하여 IAM 역할을 생성하고 이 파일을 역할 정책 문서로 연결합니다. 자세한 내용은 AWS CLI 명령 참조create-role을 참조하세요.

    aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
    참고

    WorkMailFullAccess 관리형 정책 사용자인 경우 역할 이름workmail에 용어를 포함해야 합니다. 이 관리형 정책만 역할을 workmail과 함께 이름에 사용하도록 허용합니다. 자세한 내용은 IAM 사용 설명서AWS 서비스에 역할을 전달할 수 있는 사용자 권한 부여를 참조하세요.

  4. 이전 단계에서 생성한 IAM 역할의 정책이 포함된 파일을 생성합니다. 최소한 이 정책은 로그 스트림을 생성하고 1단계에서 생성한 로그 그룹에 로그 이벤트를 입력할 수 있는 권한을 역할에 부여해야 합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
        }
    ]
}

  5. 다음 AWS CLI 명령을 사용하여 정책 파일을 IAM 역할에 연결합니다. 자세한 내용은 명령 참조put-role-policy의 섹션을 참조하세요. AWS CLI 

    aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

이메일 이벤트 로깅 해제

Amazon WorkMail 콘솔에서 이메일 이벤트 로깅을 끕니다. 더 이상 이메일 이벤트 로깅을 사용할 필요가 없는 경우 관련 CloudWatch 로그 그룹 및 서비스 연결 역할도 삭제하는 것이 좋습니다. 자세한 내용은 Amazon WorkMail에 대한 서비스 연결 역할 삭제 단원을 참조하십시오.

이메일 이벤트 로깅을 해제하려면

  1. 에서 Amazon WorkMail 콘솔을 엽니다https://console.aws.amazon.com/workmail/.

    필요한 경우 AWS 리전을 변경합니다. 콘솔 창 상단의 표시줄에서 리전 선택 목록을 열고 리전을 선택합니다. 자세한 내용은Amazon Web Services 일반 참조 Regions and endpoints를 참조하세요.

  2. 탐색 창에서 조직을 선택한 다음 조직의 이름을 선택합니다.

  3. 탐색 창에서 모니터링을 선택합니다.

  4. 로그 설정 섹션에서 편집을 선택합니다.

  5. 메일 이벤트 활성화 슬라이더를 꺼짐 위치로 이동합니다.

  6. 저장(Save)을 선택합니다.

교차 서비스 혼동된 대리인 방지

혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 서비스 AWS간 사칭은 혼동된 대리자 문제를 초래할 수 있습니다. 교차 서비스 가장은 한 서비스(호출하는 서비스)가 다른 서비스(호출되는 서비스)를 직접적으로 호출할 때 발생할 수 있습니다.

호출 서비스를 조작하여 해당 권한을 사용하여 액세스 권한이 없는 다른 고객의 리소스에 대해 작업할 수 있습니다.

이를 방지하기 위해 는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체가 있는 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 AWS 제공합니다.

리소스 정책에서 aws:SourceArnaws:SourceAccount 전역 조건 컨텍스트 키를 사용하여 CloudWatch 로그와 Amazon S3가 로그를 생성하는 서비스에 부여하는 권한을 제한하는 것이 좋습니다. 두 전역 조건 컨텍스트 키를 모두 사용하는 경우 동일한 정책 문에서 사용할 때 값은 동일한 계정 ID를 사용해야 합니다.

의 값은 로그를 생성하는 전송 소스ARNs의 값이어야 aws:SourceArn 합니다.

혼동된 대리자 문제로부터 보호하는 가장 효과적인 방법은 aws:SourceArn 글로벌 조건 컨텍스트 키를 전체 리소스와 함께 사용하는 ARN 것입니다. 리소스 ARN 전체를 모르는 경우 또는 여러 리소스를 지정하는 경우 의 알 수 없는 부분에 대해 와일드카드(*)와 함께 aws:SourceArn 전역 컨텍스트 조건 키를 사용합니다ARN.