Activación del registro de eventos de correo electrónico Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico Desactivación del registro de eventos de correo electrónico Prevención de la sustitución confusa entre servicios

Habilitación del registro de eventos de correo electrónico

Habilite el registro de eventos de correo electrónico en la consola de Amazon WorkMail para realizar un seguimiento de los mensajes de correo electrónico de su organización. El registro de eventos de correo electrónico utiliza un rol vinculado a servicios (SLR) de AWS Identity and Access Management para conceder permisos para publicar los registros de eventos de correo electrónico en Amazon CloudWatch. Para obtener más información sobre los roles vinculados a servicios de IAM, consulte Uso de roles vinculados a servicios para Amazon WorkMail.

En los registros de eventos de CloudWatch, puede utilizar las herramientas de búsqueda y las métricas de CloudWatch para realizar un seguimiento de los mensajes y solucionar problemas de correo electrónico. Para obtener más información sobre los registros de eventos que Amazon WorkMail envía a CloudWatch, consulte Supervisión de registros de eventos de correo electrónico de Amazon WorkMail. Para obtener más información acerca de los registros de CloudWatch, consulte la Guía del usuario de los Registros de Amazon CloudWatch.

Temas

Activación del registro de eventos de correo electrónico
Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico
Desactivación del registro de eventos de correo electrónico
Prevención de la sustitución confusa entre servicios

Activación del registro de eventos de correo electrónico

Al activar el registro de eventos de correo electrónico mediante la configuración predeterminada, Amazon WorkMail, ocurre lo siguiente:

Crea un rol vinculado a servicios de AWS Identity and Access Management, AmazonWorkMailEvents.
Crea un grupo de registro de CloudWatch, /aws/workmail/emailevents/organization-alias.
Establece la retención de registros de CloudWatch en 30 días.

Para activar el registro de eventos de correo electrónico

Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/workmail/.

Si es necesario, cambie la AWS región. En la barra situada en la parte superior de la ventana de la consola, abra la lista Seleccione una región y elija una región. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.
En el panel de navegación, elija Organizaciones y, a continuación, elija el nombre de su organización.
En el panel de navegación, elija Configuración de registro.
Seleccione la pestaña de Configuración del registro del flujo de correo electrónico.
En la sección Configuración del registro del flujo de correo electrónico, elija Editar.
Mueva el control deslizante Habilitar eventos de correo a la posición activado.
Realice una de las siguientes acciones:
- (Recomendado) Elija Usar configuración predeterminada.
- (Opcional) Desactive la opción Usar configuración predeterminada y seleccione un Grupo de registro de destino y un Rol de IAM en las listas que aparecen.
  
  nota
  Elija esta opción solo si ya ha creado un grupo de registro y un rol de IAM personalizado utilizando la opción AWS CLI. Para obtener más información, consulte Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico.
Seleccione Autorizo a Amazon WorkMail a publicar registros en mi cuenta utilizando esta configuración.
Seleccione Guardar.

Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico

Recomendamos utilizar la configuración predeterminada al habilitar el registro de eventos de correo electrónico para Amazon WorkMail. Si necesita una configuración de monitorización personalizada, puede utilizar AWS CLI para crear un grupo de registro dedicado y un rol de IAM personalizado para el registro de eventos de correo electrónico.

Para crear un grupo de registro y un rol de IAM personalizados para el registro de eventos de correo electrónico

Mediante el siguiente comando de AWS CLI, cree un grupo de registro en la misma región de AWS que su organización de Amazon WorkMail. Para obtener más información, consulte create-log-group en la Referencia de comandos de la AWS CLI.
```
aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
```

Cree un archivo que contenga la siguiente política:

Mediante el siguiente comando de AWS CLI, cree un rol de IAM y vincule este archivo como documento de política de rol. Para obtener más información, consulte create-role en la Referencia de comandos de la AWS CLI.
```
aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
```
nota
Si es un usuario de política administrada por WorkMailFullAccess, debe incluir el término workmail en el nombre de rol. Esta política administrada solo le permite configurar el registro de eventos de correo electrónico con roles con workmail en el nombre. Para obtener más información, consulte Concesión de permisos a un usuario para transferir un rol a un servicio de AWS en la Guía del usuario de IAM.
Cree un archivo que contenga la política para el rol de IAM que creó en el paso anterior. Como mínimo, la política debe conceder permisos al rol para crear secuencias de registro e incluir eventos de registro en el grupo de registros que creó en el paso 1.
Utilice el siguiente comando de AWS CLI para adjuntar el archivo de la política al rol de IAM. Para obtener más información, consulte put-role-policy en la Referencia de comandos de la AWS CLI.
```
aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
```

Desactivación del registro de eventos de correo electrónico

Desactive el registro de eventos de correo electrónico desde la consola de Amazon WorkMail. Si ya no necesita utilizar el registro de eventos de correo electrónico, le recomendamos que elimine también el grupo de registro de CloudWatch relacionado y el rol vinculado a servicios. Para obtener más información, consulte Eliminación de un rol vinculado a servicios para Amazon WorkMail.

Para desactivar el registro de eventos de correo electrónico

Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/workmail/.

Si es necesario, cambie la AWS región. En la barra situada en la parte superior de la ventana de la consola, abra la lista Seleccione una región y elija una región. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.
En el panel de navegación, elija Organizaciones y, a continuación, elija el nombre de su organización.
En el panel de navegación, seleccione Supervisión.
En la sección Configuración, elija Editar.
Mueva el control deslizante Habilitar eventos de correo a la posición desactivado.
Seleccione Save.

Prevención de la sustitución confusa entre servicios

El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación entre servicios puede dar lugar al problema de la sustitución confusa. La suplantación entre servicios puedes producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama).

El servicio que lleva a cabo las llamadas se puede manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder.

Para evitarlo, AWS proporciona herramientas que le ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.

Le recomendamos que utilice las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en las políticas de recursos para limitar los permisos que CloudWatch Logs y Simple Storage Service (Amazon S3) otorgan a los servicios que generan registros. Si se utilizan ambas claves contextuales de condición global, los valores deben utilizar el mismo identificador de cuenta cuando se utilicen en la misma declaración de política.

Los valores de aws:SourceArn deben ser los ARN de las fuentes de entrega que generan registros.

La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de aws:SourceArn con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utilice la clave de condición de contexto global aws:SourceArn con comodines (*) para las partes desconocidas del ARN.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registro de llamadas a la API de Amazon WorkMail con AWS CloudTrail

Habilitación del registro de auditoría