Administración de roles de suplantación - Amazon WorkMail
Información general sobre roles de suplantaciónConsideraciones de seguridadCreación de roles de suplantaciónEdición de roles de suplantaciónPrueba de roles de suplantaciónEliminación de roles de suplantación

Administración de roles de suplantación

Con los roles de suplantación, los administradores configuran el acceso programático a los buzones de correo de los usuarios sin introducir las credenciales del usuario. Los servicios y herramientas pueden asumir un rol de suplantación para realizar acciones en los buzones de correo de los usuarios. La suplantación solo es compatible con el protocolo EWS.

Información general sobre roles de suplantación

Para permitir la suplantación, los administradores deben crear un rol de suplantación con las siguientes propiedades:

  • Tipo de rol: elija entre Acceso total o Solo lectura. El tipo de rol limita el tipo de operaciones que puede realizar un rol.

  • Reglas: una lista de reglas que definen a qué usuarios puede suplantar el rol de suplantación.

Amazon WorkMail evalúa las reglas en función de las siguientes condiciones:

  • Si cualquier regla DENY coincide, la política deniega la suplantación. Las reglas DENY tienen prioridad sobre cualquier regla ALLOW.

  • Si al menos una regla ALLOW coincide y no coincide ninguna regla DENY, la política permite la suplantación.

  • Si no se aplica ninguna regla, la suplantación se deniega.

nota

Para permitir la suplantación para todos los usuarios de una organización de Amazon WorkMail, cree una regla con el efecto ALLOW y sin condiciones.

aviso

Debe crear reglas para permitir que un rol de suplantación suplante a un usuario. Si no especifica reglas, un rol de suplantación no puede asumir los derechos de acceso de un usuario.

Una vez creado el rol de suplantación, puede utilizarlo para obtener acceso a los buzones de correo de los usuarios. Para obtener más información, consulte Uso de roles de suplantación.

Consideraciones de seguridad

El uso de roles de suplantación crea la posibilidad de que surjan problemas de seguridad dentro de su organización de Amazon WorkMail y su Cuenta de AWS. Estos son algunos de los posibles problemas a tener en cuenta al crear un rol de suplantación:

  • Permisos transitivos: si el usuario A tiene acceso al buzón de correo del usuario B y se permite que un rol de suplantación suplante al usuario A, entonces este rol de suplantación puede suplantar los permisos de acceso del usuario A y acceder al buzón del usuario B.

  • Control de acceso: puede utilizar reglas de control de acceso para limitar el acceso del rol de suplantación. Para obtener más información, consulte Uso de reglas de control de acceso.

  • Política de IAM: puede asignar una acción AssumeImpersonationRole a una organización de Amazon WorkMail y a un rol de suplantación concretos utilizando la condición workmail:ImpersonationRoleId. Para ver un ejemplo de política de IAM, consulte Cómo funciona Amazon WorkMail con IAM.

Creación de roles de suplantación

Puede crear roles de suplantación desde la consola de Amazon WorkMail.

Para crear un rol de suplantación

  1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/workmail/.

    De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.

  2. En el panel de navegación, elija Organizaciones y, a continuación, el nombre de la organización.

  3. Elija Roles de suplantación y, a continuación, Crear rol.

  4. Aparece el cuadro de diálogo Crear rol de suplantación. En Rol, introduzca la siguiente información:

    • Nombre: introduzca un nombre único para el rol de suplantación.

    • (Opcional) Descripción: introduzca una descripción para el rol de suplantación.

    • Tipo de rol: elija Solo lectura o Acceso total.

  5. En Reglas, elija Añadir regla.

  6. Aparece el cuadro de diálogo Añadir regla. Introduzca la información siguiente:

    • Nombre: introduzca un nombre exclusivo para la regla.

    • (Opcional) Descripción: introduzca una descripción para la regla.

    • En Efecto, elija Permitir o Denegar. Esto permite o deniega el acceso en función de las condiciones que seleccione en el paso siguiente.

    • (Opcional) En Esta regla:, elija Concuerda solicitudes que suplantan a los usuarios seleccionados para incluir usuarios específicos. Elija Concuerda solicitudes que suplantan a usuarios distintos de los usuarios seleccionados para añadir usuarios distintos de los usuarios seleccionados.

  7. Seleccione Añadir regla.

    nota

    Las reglas solo se guardan cuando se guarda el rol correspondiente.

  8. Elija Crear rol.

Edición de roles de suplantación

Puede editar los roles de suplantación desde la consola de Amazon WorkMail.

Para editar un rol de suplantación

  1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/workmail/.

    De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.

  2. En el panel de navegación, elija Organizaciones y, a continuación, el nombre de la organización.

  3. Elija Roles de suplantación.

  4. Seleccione el nombre del rol de suplantación que desee editar y, a continuación, elija Editar.

  5. Aparece el cuadro de diálogo Editar rol de suplantación. En Rol, introduzca la siguiente información:

    • Nombre: introduzca un nombre único para el rol de suplantación.

    • (Opcional) Descripción: introduzca una descripción para el rol de suplantación.

    • Tipo de rol: para dar al rol de suplantación acceso de solo lectura al buzón de correo de un usuario, elija Solo lectura. Para otorgar al rol de suplantación derechos de lectura y modificación de los elementos del buzón de correo de un usuario, elija Acceso total.

  6. En Reglas, seleccione la regla que desee editar y luego Editar.

  7. Aparece el cuadro de diálogo Editar regla. Introduzca la información siguiente:

    • Nombre: edite el nombre de la regla.

    • (Opcional) Descripción: actualice la descripción de la regla o introduzca una.

    • En Efecto, elija Permitir a fin de permitir el acceso cuando se cumplan las condiciones establecidas en las reglas. Para denegar el acceso, elija Denegar.

    • (Opcional) En Esta regla:, elija Concuerda solicitudes que suplantan a los usuarios seleccionados para incluir usuarios específicos. Elija Concuerda solicitudes que suplantan a usuarios distintos de los usuarios seleccionados para añadir usuarios distintos de los usuarios seleccionados.

  8. Seleccione Save.

  9. Elija Guardar cambios.

importante

Al modificar una regla de suplantación, los buzones de correo afectados podrían tardar hasta cinco minutos en actualizarse. Durante el proceso de actualización de la regla, es posible que observe un comportamiento incoherente en su buzón de correo. Sin embargo, si prueba un rol, Amazon WorkMail responde como se espera en función de la regla actualizada. Para obtener más información, consulte Prueba de roles de suplantación.

Prueba de roles de suplantación

Puede probar un rol de suplantación desde la consola de Amazon WorkMail.

Para probar un rol de suplantación

  1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/workmail/.

    De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.

  2. En el panel de navegación, elija Organizaciones y, a continuación, el nombre de la organización.

  3. Elija Roles de suplantación.

  4. Seleccione el rol de suplantación que desee probar.

  5. Elija Probar rol.

  6. Aparece el cuadro de diálogo Probar rol de suplantación. En Usuario objetivo, seleccione el usuario para el que desea probar el acceso de suplantación.

  7. Seleccione Probar.

Eliminación de roles de suplantación

Puede eliminar un rol de suplantación desde la consola de Amazon WorkMail.

Para eliminar un rol de suplantación

  1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/workmail/.

    De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.

  2. En el panel de navegación, elija Organizaciones y, a continuación, el nombre de la organización.

  3. Elija Roles de suplantación.

  4. Seleccione el nombre del rol de suplantación que desee eliminar.

  5. Elija Eliminar.

  6. Aparece el cuadro de diálogo Eliminar rol. Para confirmar la eliminación, introduzca el nombre del rol en el cuadro de diálogo y elija Eliminar.