啟用電子郵件事件記 - Amazon WorkMail
啟用電子郵件事件記錄建立用於電子郵件事件記錄的自訂日誌群組和 IAM 角色關閉電子郵件事件日誌預防跨服務混淆代理人

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用電子郵件事件記

您可以在 Amazon WorkMail 主控台中啟用電子郵件事件記錄,以追蹤組織的電子郵件訊息。電子郵件事件記錄使用 AWS Identity and Access Management 服務連結角色 (SLR) 來授與將電子郵件事件日誌發佈到 Amazon 的許可。 CloudWatch如需 IAM 服務連結角色的詳細資訊,請參閱使用 Amazon 的服務連結角色色色色 WorkMail

在 CloudWatch 事件記錄檔中,您可以使用 CloudWatch 搜尋工具和指標來追蹤郵件並疑難排解電子郵件問題。如需 Amazon WorkMail 傳送至之事件日誌的詳細資訊 CloudWatch,請參閱監控 Amazon WorkMail 電子郵件事件日誌。如需有關 CloudWatch 日誌的詳細資訊,請參閱 Amazon CloudWatch 日誌使用者指南

啟用電子郵件事件記錄

當您使用預設設定 Amazon 開啟電子郵件事件記錄時,會發生下列情況 WorkMail:

  • 建立 AWS Identity and Access Management 服務連結角色 — AmazonWorkMailEvents

  • 建立 CloudWatch 記錄群組 — /aws/workmail/emailevents/organization-alias

  • 將 CloudWatch 記錄保留設定為 30 天。

啟用電子郵件事件記錄

  1. https://console.aws.amazon.com/workmail/ 打開 Amazon WorkMail 控制台。

    如有必要,請變更「 AWS 區域」。在主控台視窗頂端的列中,開啟 [選取地區] 清單,然後選擇 [區域]。如需詳細資訊,請參閱 Amazon Web Services 一般參考 中的 區域與端點

  2. 在導覽窗格中,選擇「組 Organ izations」,然後選擇組織的名稱。

  3. 在功能窗格中,選擇 [記錄設定]。

  4. 選擇電子郵件流程記錄設定索引標籤。

  5. 電子郵件流程記錄設定區段中,選擇編輯

  6. [啟用郵件事件] 滑桿移至開位置。

  7. 執行以下任意一項:

    • (建議選擇) 選擇 [使用預設設定]

    • (選擇性) 清除 [使用預設設定],然後從顯示的清單中選取 [目的地記錄群組] 和 [IAM 角色]。

      注意

      僅當您已使用建立日誌群組和自訂 IAM 角色時,才選擇此選項 AWS CLI。如需詳細資訊,請參閱 建立用於電子郵件事件記錄的自訂日誌群組和 IAM 角色

  8. 選取 [我授權 Amazon WorkMail ] 使用此組態在我的帳戶中發佈日誌

  9. 選擇儲存

建立用於電子郵件事件記錄的自訂日誌群組和 IAM 角色

我們建議在啟用 Amazon 的電子郵件事件記錄時使用預設設定 WorkMail。如果您需要自訂監控設定,可以使用建立專 AWS CLI 用的日誌群組和自訂 IAM 角色以進行電子郵件事件記錄。

建立用於電子郵件事件記錄的自訂日誌群組和 IAM 角色

  1. 使用下列 AWS CLI 命令在 Amazon WorkMail 組織所在的相同 AWS 區域中建立日誌群組。若要取得更多資訊,請參閱《指AWS CLI 令參考》create-log-group中的。

    aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

  2. 建立包含以下政策的檔案:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 使用下列 AWS CLI 命令建立 IAM 角色,並將此檔案附加為角色政策文件。如需詳細資訊,請參閱《AWS CLI 命令參考》中的《create-role》。

    aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
    注意

    如果您是WorkMailFullAccess受管原則使用者,則必須在角色名稱workmail中包含該字詞。此受管政策僅允許您使用名稱中包含 workmail 的角色來設定電子郵件事件日誌。如需詳細資訊,請參閱《IAM 使用者指南》中的授與使用者將角色傳遞給 AWS 服務的權限。

  4. 建立包含您在上一個步驟中建立的 IAM 角色政策的檔案。此政策至少必須將建立日誌串流的許可授與至該角色,並將日誌事件放到您在步驟 1 中建立的日誌群組。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
        }
    ]
}

  5. 使用下列 AWS CLI 命令將政策檔附加至 IAM 角色。若要取得更多資訊,請參閱《指AWS CLI 令參考》put-role-policy中的。

    aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

關閉電子郵件事件日誌

從 Amazon WorkMail 主控台關閉電子郵件事件記錄。如果您不再需要使用電子郵件事件記錄,建議您也刪除相關的記 CloudWatch 錄群組和服務連結角色。如需詳細資訊,請參閱 刪除 Amazon 的服務連結角色色色色色色 WorkMail

關閉電子郵件事件日誌

  1. https://console.aws.amazon.com/workmail/ 打開 Amazon WorkMail 控制台。

    如有必要,請變更「 AWS 區域」。在主控台視窗頂端的列中,開啟 [選取地區] 清單,然後選擇 [區域]。如需詳細資訊,請參閱 Amazon Web Services 一般參考 中的 區域與端點

  2. 在導覽窗格中,選擇「組 Organ izations」,然後選擇組織的名稱。

  3. 在導覽窗格中,選擇 Monitoring (監控)

  4. 在「記錄設定」區段中,選擇 「編輯」。

  5. [啟用郵件事件] 滑桿移至關閉位置。

  6. 選擇儲存

預防跨服務混淆代理人

混淆代理人問題屬於安全性問題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在中 AWS,跨服務模擬可能會導致混淆的副問題。在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時,可能會發生跨服務模擬。

調用服務可以被操縱以使用其權限來處理另一個客戶的資源,否則它將無法訪問。

為了防止這種情況發生, AWS 提供的工具可協助您透過已授予您帳戶中資源存取權的服務主體來保護所有服務的資料。

我們建議在資源政策中使用aws:SourceArnaws:SourceAccount全域條件內容金鑰,以限制 CloudWatch Logs 和 Amazon S3 提供給產生日誌之服務的許可。如果您同時使用全域條件內容索引鍵,則在相同政策陳述式中使用時,這些值必須使用相同的帳號 ID。

aws:SourceArn 的值必須是正在產生日誌之傳遞資源的 ARN。

防範混淆代理人問題的最有效方法是使用 aws:SourceArn 全域條件內容索引鍵,以及資源的完整 ARN。如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 aws:SourceArn 全域條件內容索引鍵,同時使用萬用字元 (*) 表示 ARN 的未知部分。