本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
匯出信箱內容
使用 Amazon StartMailboxExportJobAPI 參考中的 WorkMail API 動作,將 Amazon WorkMail 信箱內容匯出至亞馬遜 Simple Storage Service (Amazon S3) 儲存貯體。此動作會以 MIME 格式將指定信箱中的所有電子郵.zip
件和行事曆項目匯出至 Amazon S3 儲存貯體中的檔案。不會匯出其他項目,例如連絡人和工作。
完成信箱匯出工作所需的時間取決於信箱中的項目大小和數目。由於信箱匯出工作會在一段時間內進行,因此不代表單一時間點的信箱內容快照。若要查看匯出任務的狀態,請使用 Amazon ListMailboxExportJobsAPI 參考中的DescribeMailboxExportJob或 WorkMail API 動作。
信箱匯出任務完成後,Amazon S3 儲存貯體中的.zip
檔案會使用您提供的對稱AWS Key Management Service (AWS KMS) 客戶主金鑰 (CMK) 加密。由於AWS KMS加密已與 Amazon S3 整合,因此只要使用者能夠存取AWS KMS CMK,下載資料的使用者就可以看到解密的資料。
先決條件
下列是匯出信箱內容的先決條件:
-
編程的能力。
-
亞馬遜 WorkMail 管理員帳戶。
-
不允許公開存取的 Amazon S3 儲存貯體。如需詳細資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用 Amazon S3 區塊公開存取和 Amazon 簡單儲存服務使用者指南。
一個對稱的AWS KMS CMK。如需詳細資訊,請參閱開AWS Key Management Service發人員指南中的入門。
-
具有政策的AWS Identity and Access Management (IAM) 角色,授予寫入 Amazon S3 儲存貯體和使用AWS KMS CMK 加密傳送檔案的權限。如需詳細資訊,請參閱Amazon 如何與 IAM 合 WorkMail 作。
IAM 政策範例和角色建立
以下範例顯示 IAM 政策,該政策授予寫入 Amazon S3 儲存貯體以及使用AWS KMS CMK 加密傳送檔案的權限。若要在下列範例:匯出信箱內容程序中使用此範例原則,請將原則另存為具有檔案名稱的 JSON 檔案mailbox-export-policy.json
。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:PutObject", "s3:GetBucketPolicyStatus" ], "Resource": [ "arn:aws:s3:::
AWSDOC-EXAMPLE-BUCKET
", "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET
/*" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:us-east-1
:111122223333
:key/KEY-ID
" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.us-east-1
.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::AWSDOC-EXAMPLE-BUCKET
/S3-PREFIX
*" } } } ] }
以下範例顯示連接到您建立的 IAM 角色的 IAM 信任政策。若要在下列範例:匯出信箱內容程序中使用此範例原則,請將原則另存為具有檔案名稱的 JSON 檔案mailbox-export-trust-policy.json
。
您不必同時使用aws:SourceArn
和aws:SourceAccount
條件。例如,如果您需要使用相同角色aws:SourceArn
從同一AWS帳戶下的不同 Amazon WorkMail 組織匯出訊息,則可以從政策中移除。如需有關條件索引鍵的詳細資訊,請參閱 AWSIdentity and Access Management 使用者指南中的AWS全域條件內容索引鍵。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "export.workmail.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
111122223333
" }, "ArnLike": { "aws:SourceArn": "arn:aws:workmail:us-east-1
:111122223333
:organization/m-a123b4c5de678fg9h0ij1k2lm234no56
" } } } ] }
您可以執AWS CLI行下列命令,使用在帳戶中建立 IAM 角色。
aws iam create-role --role-name
WorkmailMailboxExportRole
--assume-role-policy-documentfile://mailbox-export-trust-policy.json
--regionus-east-1
aws iam put-role-policy --role-name
WorkmailMailboxExportRole
--policy-nameMailboxExport
--policy-documentfile://mailbox-export-policy.json
如需 AWS CLI 的詳細資訊,請參閱AWS Command Line Interface《 使用者指南》。
範例:匯出信箱內容
在上一節中建立 IAM 角色和政策之後,請完成下列步驟以匯出信箱內容。您必須擁有您的 Amazon WorkMail 組織 ID 和使用者 ID (實體 ID),您可以在 Amazon WorkMail 主控台或使用 Amazon WorkMail API 存取這些 ID。
範例:若要匯出信箱內容
使用啟AWS CLI動信箱匯出工作。
aws workmail start-mailbox-export-job --organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--entity-idS-1-1-11-1111111111-2222222222-3333333333-3333
--kms-key-arn arn:aws:kms:us-east-1
:111122223333
:key/KEY-ID
--role-arn arn:aws:iam::111122223333
:role/WorkmailMailboxExportRole
--s3-bucket-nameAWSDOC-EXAMPLE-BUCKET
--s3-prefixS3-PREFIX
使用AWS CLI來監控 Amazon WorkMail 組織的信箱匯出任務狀態。
aws workmail list-mailbox-export-jobs --organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
或者,您也可以使用
start-mailbox-export-job
命令產生的工作識別碼,僅監視該信箱匯出工作的狀態。aws workmail describe-mailbox-export-job --organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--job-idJOB-ID
當信箱匯出任務狀態為「已完成」時,匯出的信箱項目可在指定 Amazon S3 儲存貯體中的.zip
檔案中使用。
下列是匯出信箱的輸出記錄檔:
{ "totalNonExportableItems" : "13", "totalMessages" : "76", "sha384Hash" : "4de93a***96a1dd", "totalBytes" : "161892", "totalFolders" : "15", "startTime" : "168***380", "endTime" : "168***384" }
注意
totalNonExportable項目是不受支持的項目,如備忘錄和聯繫人
考量事項
匯出 Amazon 的信箱任務時要注意下列事項 WorkMail:
您最多可以為指定的 Amazon WorkMail 組織執行 10 個並行信箱匯出任務。
您可以每 24 小時為指定信箱執行一次信箱匯出工作。
下列資源必須全部位於相同的AWS區域:
亞馬遜 WorkMail 組織
AWS KMSCMK
Amazon S3 儲存貯體