As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitando o registro de eventos de e-mail
Você ativa o registro de eventos por e-mail no WorkMail console da Amazon para rastrear mensagens de e-mail da sua organização. O registro de eventos de e-mail usa uma função AWS Identity and Access Management vinculada ao serviço (SLR) para conceder permissões para publicar os registros de eventos de e-mail na Amazon. CloudWatch Para obter mais informações sobre funções vinculadas ao serviço do IAM, consulte Usar funções vinculadas ao serviço no Amazon WorkMail.
Nos registros de CloudWatch eventos, você pode usar ferramentas e métricas de CloudWatch pesquisa para rastrear mensagens e solucionar problemas de e-mail. Para obter mais informações sobre os registros de eventos que a Amazon WorkMail envia para CloudWatch, consulteMonitorando registros WorkMail de eventos de e-mail da Amazon. Para obter mais informações sobre CloudWatch registros, consulte o Guia do usuário do Amazon CloudWatch Logs.
Tópicos
Ativar o registro em log de eventos de e-mail
O seguinte ocorre quando você ativa o registro de eventos por e-mail usando as configurações padrão da Amazon WorkMail:
-
Cria uma função AWS Identity and Access Management vinculada ao serviço —.
AmazonWorkMailEvents -
Cria um grupo de CloudWatch registros —
/aws/workmail/emailevents/.organization-alias -
Define a retenção de CloudWatch registros para 30 dias.
Como ativar o registro de eventos de e-mail em log
-
Abra o WorkMail console da Amazon em https://console.aws.amazon.com/workmail/
. Se necessário, altere a AWS região. Na barra na parte superior da janela do console, abra a lista Selecionar uma região e escolha uma região. Para obter mais informações, consulte Regiões e endpoints na Referência geral da Amazon Web Services.
-
No painel de navegação, selecione Organizações e, em seguida, escolha o nome da organização.
-
No painel de navegação, escolha Configurações de registro.
-
Escolha a guia Configurações do registro de fluxo de e-mail.
-
Na seção Configurações do registro de fluxo de e-mail, escolha Editar.
-
Mova o controle deslizante Ativar eventos de e-mail para a posição ligado.
-
Execute um destes procedimentos:
-
(Recomendado) Escolha Usar configurações padrão.
-
(Opcional) Desmarque Usar as configurações padrão e selecione um Grupo de logs de destino e um Perfil do IAM da lista que for exibida.
nota
Escolha essa opção somente se você já criou um grupo de logs e um perfil do IAM personalizado usando a AWS CLI. Para ter mais informações, consulte Criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail.
-
-
Selecione Eu autorizo WorkMail a Amazon a publicar registros em minha conta usando essa configuração.
-
Selecione Salvar.
Criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail
Recomendamos usar as configurações padrão ao ativar o registro de eventos por e-mail para a Amazon WorkMail. Se você precisar de uma configuração de monitoramento personalizada, poderá usar o AWS CLI para criar um grupo de registros dedicado e uma função personalizada do IAM para o registro de eventos de e-mail.
Para criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail
-
Use o AWS CLI comando a seguir para criar um grupo de registros na mesma AWS região da sua WorkMail organização Amazon. Para obter mais informações, consulte create-log-groupna Referência de AWS CLI Comandos.
aws –-regionus-east-1logs create-log-group --log-group-nameworkmail-monitoring -
Crie um arquivo contendo a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "events.workmail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Use o AWS CLI comando a seguir para criar uma função do IAM e anexar esse arquivo como documento de política da função. Para obter mais informações, consulte create-role na Referência de comandos da AWS CLI .
aws iam create-role --role-nameworkmail-monitoring-role--assume-role-policy-document file://trustpolicyforworkmail.jsonnota
Se você for um usuário de política
WorkMailFullAccessgerenciada, deverá incluir o termoworkmailno nome da função. Essa política gerenciada somente permite configurar registros de eventos de e-mail usando funções comworkmailno nome. Para obter mais informações, consulte Conceder permissões a um usuário para passar uma função para um AWS serviço no Guia do usuário do IAM. -
Crie um arquivo contendo a política para a função do IAM que você criou na etapa anterior. No mínimo, a política deve conceder permissões à função para criar fluxos de log e colocar eventos no grupo de logs criado na etapa 1.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*" } ] } -
Use o AWS CLI comando a seguir para anexar o arquivo de política à função do IAM. Para obter mais informações, consulte put-role-policyna Referência de AWS CLI Comandos.
aws iam put-role-policy --role-nameworkmail-monitoring-role--policy-nameworkmail-permissions--policy-document file://rolepolicy.json
Desativar o registro em log de eventos de e-mail
Desative o registro de eventos por e-mail no WorkMail console da Amazon. Se você não precisar mais usar o registro de eventos de e-mail, recomendamos que você exclua também o grupo de CloudWatch registros relacionado e a função vinculada ao serviço. Para ter mais informações, consulte Excluir uma função vinculada ao serviço no Amazon WorkMail.
Para desativar o registro de eventos de e-mail
-
Abra o WorkMail console da Amazon em https://console.aws.amazon.com/workmail/
. Se necessário, altere a AWS região. Na barra na parte superior da janela do console, abra a lista Selecionar uma região e escolha uma região. Para obter mais informações, consulte Regiões e endpoints na Referência geral da Amazon Web Services.
-
No painel de navegação, selecione Organizações e, em seguida, escolha o nome da organização.
-
No painel de navegação, escolha Monitoring (Monitoramento).
-
Na seção Configurações de log, escolha Editar.
-
Mova o controle deslizante Habilitar eventos de e-mail para a posição desativado.
-
Selecione Salvar.
Prevenção contra o ataque “Confused deputy” entre serviços
O problema “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A imitação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado).
O serviço de chamadas pode ser manipulado para usar suas permissões para agir sobre os recursos de outro cliente que, de outra forma, ele não teria permissão para acessar.
Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as aws:SourceArnchaves de contexto de condição aws:SourceAccountglobal nas políticas de recursos para limitar as permissões que a CloudWatch Logs e o Amazon S3 concedem aos serviços que estão gerando registros. Se você usar as duas chaves de contexto de condição global, os valores deverão usar o mesmo ID de conta quando usados na mesma declaração de política.
Os valores de aws:SourceArn devem ser os ARNs das fontes de entrega que estão gerando logs.
A maneira mais eficaz de se proteger contra o problema do substituto confuso é usar a chave de contexto de condição global aws:SourceArn com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se estiver especificando vários recursos, use a chave da condição de contexto global aws:SourceArn com curingas (*) para as partes desconhecidas do ARN.
