

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Die Protokollierung von E-Mail-Ereignissen aktivieren
<a name="tracking"></a>

Sie aktivieren die Protokollierung von E-Mail-Ereignissen in der WorkMail Amazon-Konsole, um E-Mail-Nachrichten für Ihre Organisation nachzuverfolgen. Die E-Mail-Ereignisprotokollierung verwendet eine AWS Identity and Access Management serviceverknüpfte Rolle (SLR), um Berechtigungen zur Veröffentlichung der E-Mail-Ereignisprotokolle auf Amazon zu erteilen. CloudWatch Weitere Informationen zu serviceverknüpften IAM-Rollen finden Sie unter. [Verwenden von serviceverknüpften Rollen für Amazon WorkMail](using-service-linked-roles.md)

In den CloudWatch Ereignisprotokollen können Sie CloudWatch Suchtools und Messwerte verwenden, um Nachrichten nachzuverfolgen und E-Mail-Probleme zu beheben. Weitere Informationen zu den Ereignisprotokollen, an die Amazon WorkMail sendet CloudWatch, finden Sie unter[Überwachung der WorkMail E-Mail-Ereignisprotokolle von Amazon](cw-events.md). Weitere Informationen zu CloudWatch Logs finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).

**Topics**
+ [Einschalten der E-Mail-Ereignisprotokollierung](#enable-tracking)
+ [Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für die Protokollierung von E-Mail-Ereignissen](#custom-tracking-role)
+ [Ausschalten der E-Mail-Ereignisprotokollierung](#turn-off-tracking)
+ [Serviceübergreifende Confused-Deputy-Prävention](#cross-service-confused-deputy-prevention)

## Einschalten der E-Mail-Ereignisprotokollierung
<a name="enable-tracking"></a>

Folgendes passiert, wenn Sie die E-Mail-Ereignisprotokollierung mit den Standardeinstellungen Amazon aktivieren WorkMail:
+ Erstellt eine AWS Identity and Access Management serviceverknüpfte Rolle —`AmazonWorkMailEvents`.
+ Erzeugt eine CloudWatch Protokollgruppe —`/aws/workmail/emailevents/organization-alias`.
+ Legt die CloudWatch Protokollspeicherung auf 30 Tage fest.

**So schalten Sie E-Mail-Ereignisprotokollierung ein**

1. Öffnen Sie die WorkMail Amazon-Konsole unter [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   Ändern Sie gegebenenfalls die AWS Region. Öffnen Sie in der Leiste oben im Konsolenfenster die Liste **Region auswählen** und wählen Sie eine Region aus. For more information, see [Regions and endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) in the *Allgemeine Amazon Web Services-Referenz*.

1. Wählen Sie im Navigationsbereich **Organizations** und dann den Namen Ihrer Organisation aus.

1. Wählen Sie im Navigationsbereich die Option **Protokollierungseinstellungen** aus.

1. Wählen Sie die Registerkarte **Einstellungen für das E-Mail-Flussprotokoll** aus. 

1. Wählen **Sie im Abschnitt Einstellungen für das E-Mail-Flussprotokoll** die Option **Bearbeiten** aus.

1. Stellen Sie den Schieberegler **E-Mail-Ereignisse aktivieren** **auf** die Position Ein.

1. Führen Sie eine der folgenden Aktionen aus:
   + (Empfohlen) Wählen Sie „**Standardeinstellungen verwenden“**.
   + (Optional) Deaktivieren **Sie die Option Standardeinstellungen verwenden** und wählen Sie eine **Zielprotokollgruppe** und eine **IAM-Rolle** aus den angezeigten Listen aus.
**Anmerkung**  
Wählen Sie diese Option nur, wenn Sie bereits eine Protokollgruppe und eine benutzerdefinierte IAM-Rolle mit dem erstellt haben. AWS CLI Weitere Informationen finden Sie unter [Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für die Protokollierung von E-Mail-Ereignissen](#custom-tracking-role).

1. Wählen Sie **Ich autorisiere Amazon WorkMail , mithilfe dieser Konfiguration Protokolle in meinem Konto zu veröffentlichen**.

1. Wählen Sie **Speichern**.

## Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für die Protokollierung von E-Mail-Ereignissen
<a name="custom-tracking-role"></a>

Wir empfehlen, die Standardeinstellungen zu verwenden, wenn Sie die E-Mail-Ereignisprotokollierung für Amazon aktivieren WorkMail. Wenn Sie eine benutzerdefinierte Überwachungskonfiguration benötigen, können Sie die verwenden, AWS CLI um eine dedizierte Protokollgruppe und eine benutzerdefinierte IAM-Rolle für die E-Mail-Ereignisprotokollierung zu erstellen.

**Um eine benutzerdefinierte Protokollgruppe und eine IAM-Rolle für die E-Mail-Ereignisprotokollierung zu erstellen**

1. Verwenden Sie den folgenden AWS CLI Befehl, um eine Protokollgruppe in derselben AWS Region wie Ihre WorkMail Amazon-Organisation zu erstellen. Weitere Informationen finden Sie unter [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) in der Referenz zum *AWS CLI -Befehl*.

   ```
   aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
   ```

1. Erstellen Sie eine Datei mit der folgenden Richtlinie:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "events.workmail.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Verwenden Sie den folgenden AWS CLI Befehl, um eine IAM-Rolle zu erstellen und diese Datei als Rollenrichtlinien-Dokument anzuhängen. Weitere Informationen finden Sie unter [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) in der *AWS CLI -Befehlsreferenz*.

   ```
   aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
   ```
**Anmerkung**  
Wenn Sie ein Benutzer mit `WorkMailFullAccess` verwalteten Richtlinien sind, müssen Sie den Begriff `workmail` in den Rollennamen aufnehmen. Diese verwaltete Richtlinie erlaubt Ihnen nur das Konfigurieren der E-Mail-Ereignisprotokollierung zur Verwendung von Rollen, die `workmail` im Namen enthalten. Weitere Informationen finden Sie im [*IAM-Benutzerhandbuch* unter Gewähren von Benutzerberechtigungen zur AWS Übergabe einer Rolle an einen Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).

1. Erstellen Sie eine Datei mit der Richtlinie für die IAM-Rolle, die Sie im vorherigen Schritt erstellt haben. Die Richtlinie muss der Rolle mindestens die Berechtigungen zum Erstellen von Protokoll-Streams und zum Platzieren von Protokollereignissen in der in Schritt 1 erstellten Protokollgruppe gewähren.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:example-log-group*"
           }
       ]
   }
   ```

------

1. Verwenden Sie den folgenden AWS CLI Befehl, um die Richtliniendatei an die IAM-Rolle anzuhängen. Weitere Informationen finden Sie unter [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html) in der Referenz zum *AWS CLI -Befehl*.

   ```
   aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
   ```

## Ausschalten der E-Mail-Ereignisprotokollierung
<a name="turn-off-tracking"></a>

Schalten Sie die Protokollierung von E-Mail-Ereignissen von der WorkMail Amazon-Konsole aus. Wenn Sie die E-Mail-Ereignisprotokollierung nicht mehr verwenden müssen, empfehlen wir Ihnen, auch die zugehörige CloudWatch Protokollgruppe und die mit dem Dienst verknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle für Amazon WorkMail](using-service-linked-roles.md#delete-slr).

**So deaktivieren Sie E-Mail-Ereignisprotokollierung**

1. Öffnen Sie die WorkMail Amazon-Konsole unter [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   Ändern Sie gegebenenfalls die AWS Region. Öffnen Sie in der Leiste oben im Konsolenfenster die Liste **Region auswählen** und wählen Sie eine Region aus. For more information, see [Regions and endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) in the *Allgemeine Amazon Web Services-Referenz*.

1. Wählen Sie im Navigationsbereich **Organizations** und dann den Namen Ihrer Organisation aus.

1. Wählen Sie im Navigationsbereich **Monitoring (Überwachung)** aus.

1. Wählen **Sie im Abschnitt Protokolleinstellungen** die Option **Bearbeiten** aus.

1. Stellen Sie den Schieberegler **E-Mail-Ereignisse aktivieren** auf die Position Aus.

1. Wählen Sie **Speichern**.

## Serviceübergreifende Confused-Deputy-Prävention
<a name="cross-service-confused-deputy-prevention"></a>

Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der *Anruf-Service*) einen anderen Service anruft (den *aufgerufenen Service*). 

Der anrufende Service kann so manipuliert werden, dass er seine Berechtigungen nutzt, um auf die Ressourcen eines anderen Kunden zu reagieren, für den er sonst keine Zugriffsberechtigung hätte. 

 Um dies zu verhindern, werden Tools AWS bereitgestellt, mit denen Sie Ihre Daten für alle Dienste schützen können, deren Dienstprinzipale Zugriff auf Ressourcen in Ihrem Konto erhalten haben. 

Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die CloudWatch Logs und Amazon S3 den Services gewähren, die Protokolle generieren. Wenn Sie beide Kontextschlüssel für globale Bedingungen verwenden, müssen die Werte dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden.

Die Werte von `aws:SourceArn` müssen denen ARNs der Lieferquellen entsprechen, die Protokolle generieren.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN.