Pré-requisitos Exemplos de política do IAM e criação de perfil Exemplo: exportar conteúdo da caixa de correio Considerações

Exportar conteúdo de caixa de correio

Use a ação de API StartMailboxExportJob na Referência de API do Amazon WorkMail para exportar conteúdo de caixa de correio do Amazon WorkMail para um bucket do Amazon Simple Storage Service (Amazon S3). Essa ação exporta todas as mensagens de e-mail e itens de calendário da caixa de correio especificada para um arquivo .zip no bucket do Amazon S3, no formato MIME. Outros itens, como contatos e tarefas, não são exportados.

O tempo necessário para a conclusão do trabalho de exportação da caixa de correio depende do tamanho e do número de itens na caixa de correio. Como o trabalho de exportação da caixa de correio ocorre durante um período de tempo, ele não representa um snapshot do conteúdo da caixa de correio em um único momento. Para ver o status de um trabalho de exportação, use as ações de API DescribeMailboxExportJob ou ListMailboxExportJobs na Referência de API do Amazon WorkMail.

Quando um trabalho de exportação de caixa de correio é concluído, o arquivo .zip no bucket do Amazon S3 é criptografado usando a chave mestra do cliente (CMK) AWS Key Management Service simétrica (AWS KMS) que você fornece. Como a criptografia AWS KMS é integrada ao Amazon S3, os dados descriptografados ficam visíveis para o usuário que os baixa, desde que o usuário tenha acesso à CMK AWS KMS.

Pré-requisitos

Estes são os pré-requisitos para exportar conteúdo de caixa de correio:

A capacidade de programar.
Uma conta de administrador do Amazon WorkMail.
Um bucket do Amazon S3 que não permite acesso público. Para obter mais informações, consulte Como usar o Bloqueio de Acesso Público do Amazon S3 no Guia do usuário do Amazon Simple Storage Service e no Guia do usuário do Amazon Simple Storage Service.
Uma CMK AWS KMS simétrica Para obter mais informações, consulte Conceitos básicos no Guia do desenvolvedor do AWS Key Management Service.
Um perfil do AWS Identity and Access Management (IAM) com uma política que concede permissão para gravar no bucket do Amazon S3 e criptografar os arquivos enviados com a CMK AWS KMS. Para obter mais informações, consulte Como a Amazon WorkMail trabalha com o IAM.

Exemplos de política do IAM e criação de perfil

O exemplo a seguir mostra uma política do IAM que concede permissão para gravar no bucket do Amazon S3 e criptografar os arquivos enviados com a CMK AWS KMS. Para usar esse exemplo de política no procedimento Exemplo: exportar conteúdo da caixa de correio a seguir, salve a política como um arquivo JSON com nome de arquivo mailbox-export-policy.json.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET/S3-PREFIX*"
                }
            }
        }
    ]
}

O exemplo a seguir mostra uma política confiável do IAM anexada ao perfil do IAM que você criou. Para usar esse exemplo de política no procedimento Exemplo: exportar conteúdo da caixa de correio a seguir, salve a política como um arquivo JSON com nome de arquivo mailbox-export-trust-policy.json.

Você não precisa usar as condições aws:SourceArn e aws:SourceAccount ao mesmo tempo. Por exemplo, você pode remover aws:SourceArn da política se precisar usar o mesmo perfil para exportar mensagens de diferentes organizações do Amazon WorkMail sob a mesma conta AWS. Para obter mais informações sobre chaves de condição, consulte Chaves de contexto de condição globais da AWS no Guia do usuário do AWS Identity and Access Management.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

Você pode usar a AWS CLI para criar o perfil do IAM em sua conta executando os comandos a seguir.


aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1


aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

Para obter mais informações sobre a AWS CLI, consulte o AWS Command Line InterfaceManual do usuário da .

Exemplo: exportar conteúdo da caixa de correio

Depois de criar as políticas e o perfil do IAM na seção anterior, conclua as etapas a seguir para exportar o conteúdo da sua caixa de correio. Você precisa ter o ID da organização e o ID do usuário (ID da entidade) do Amazon WorkMail, que podem ser acessados no console do Amazon WorkMail ou usando a API do Amazon WorkMail.

Exemplo: exportar conteúdo da caixa de correio

Use a AWS CLI para iniciar o trabalho de exportação da caixa de correio.


aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name AWSDOC-EXAMPLE-BUCKET --s3-prefix S3-PREFIX

Use a AWS CLI para monitorar o estado dos trabalhos de exportação da caixa de correio para sua organização do Amazon WorkMail.
```
aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
```
Como alternativa, use o ID do trabalho gerado pelo comando start-mailbox-export-job para monitorar somente o estado desse trabalho de exportação de caixa de correio.
```
aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID
```

Quando o estado do trabalho de exportação da caixa de correio estiver COMPLETED, os itens da caixa de correio exportados ficam disponíveis em um arquivo .zip no bucket especificado do Amazon S3.

Veja a seguir um exemplo de log de saída de caixa de correio exportada:



{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}

nota

totalNonExportableItems são itens sem suporte, como notas e contatos.

Considerações

As seguintes considerações se aplicam à exportação de trabalhos de caixa de correio para o Amazon WorkMail:

Você pode executar até 10 trabalhos simultâneos de exportação de caixas de correio para uma determinada organização do Amazon WorkMail.
Você pode executar um trabalho de exportação de caixa de correio para uma determinada caixa de correio uma vez a cada 24 horas.
Todos os recursos a seguir devem estar na mesma região da AWS:
- Organização do Amazon WorkMail
- CMK AWS KMS
- Bucket do Amazon S3

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar funções de personificação

Solução de problemas