Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Activation de la journalisation des audits
Vous pouvez utiliser les journaux d'audit pour recueillir des informations détaillées sur WorkMail l'utilisation de votre organisation Amazon. Les journaux d'audit peuvent être utilisés pour surveiller l'accès des utilisateurs aux boîtes aux lettres, vérifier les activités suspectes et déboguer les configurations des fournisseurs de contrôle d'accès et de disponibilité.
**Note**
La politique *AmazonWorkMailFullAccess*gérée n'inclut pas toutes les autorisations requises pour gérer les livraisons de journaux. Si vous utilisez cette politique pour gérer WorkMail, assurez-vous que le principal (par exemple, le rôle assumé) utilisé pour configurer les livraisons de journaux dispose également de toutes les autorisations requises.
Amazon WorkMail prend en charge trois destinations de livraison pour les journaux d'audit : CloudWatch Logs, Amazon S3 et Amazon Data Firehose. Pour plus d'informations, consultez la section [Journalisation nécessitant des autorisations supplémentaires [V2]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) dans le *[guide de l'utilisateur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
Outre les autorisations répertoriées sous [Logging qui nécessitent des autorisations supplémentaires [V2]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html), Amazon a WorkMail besoin d'une autorisation supplémentaire pour configurer la livraison des journaux :`workmail:AllowVendedLogDeliveryForResource`.
La livraison d'un journal de travail comprend trois éléments :
+ *DeliverySource*, un objet logique qui représente la ou les ressources qui envoient les journaux. Pour Amazon WorkMail, il s'agit de l' WorkMailorganisation Amazon.
+ A *DeliveryDestination*, qui est un objet logique qui représente la destination de livraison réelle.
+ Une *livraison*, qui connecte une source de livraison à une destination de livraison.
Pour configurer la livraison des journaux entre Amazon WorkMail et une destination, vous pouvez effectuer les opérations suivantes :
+ Créez une source de diffusion avec [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html).
+ Créez une destination de livraison avec [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html).
+ Si vous distribuez des journaux entre comptes, vous devez les utiliser [PutDeliveryDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestinationPolicy.html)dans le compte de destination pour attribuer une politique IAM à la destination. Cette politique autorise la création d'une livraison depuis la source de livraison dans le compte A vers la destination de livraison dans le compte B.
+ Créez une livraison en associant exactement une source de livraison et une destination de livraison en utilisant [CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html).
Les sections suivantes fournissent les détails des autorisations dont vous devez disposer lorsque vous êtes connecté pour configurer la livraison des journaux vers chaque type de destination. Ces autorisations peuvent être accordées à un rôle IAM avec lequel vous êtes connecté.
**Important**
Il est de votre responsabilité de supprimer les ressources de livraison de journaux après avoir supprimé la ressource génératrice de journaux.
Pour supprimer les ressources de livraison de journaux après avoir supprimé la ressource génératrice de journaux, procédez comme suit.
1. Supprimez la *livraison* à l'aide de l'[DeleteDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDelivery.html)opération.
1. *DeliverySource*Supprimez-le à l'aide de l'[DeleteDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDeliverySource.html)opération.
1. Si le *DeliveryDestination*fichier associé à *DeliverySource*celui que vous venez de supprimer n'est utilisé que pour ce *DeliverySource*paramètre spécifique, vous pouvez le supprimer en utilisant l'[DeleteDeliveryDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDeliveryDestinations.html)opération.
## Configuration de la journalisation des audits à l'aide de la WorkMail console Amazon
Vous pouvez configurer la journalisation des audits dans la WorkMail console Amazon :
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, modifiez la AWS région. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et sélectionnez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Choisissez **Paramètres de journalisation**.
1. Choisissez l'onglet **Paramètres du journal d'audit**.
1. Configurez les livraisons pour le type de journal requis à l'aide du widget approprié.
1. Choisissez **Enregistrer**.
## Logs envoyés à CloudWatch Logs
**Autorisations des utilisateurs**
Pour activer l'envoi de CloudWatch journaux à Logs, vous devez être connecté avec les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:*"
]
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:us-east-1:111122223333:organization/organization-id"
]
}
]
}
```
------
**Politique de ressources du groupe de journaux**
Le groupe de journaux dans lequel les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le groupe de journaux n'a actuellement aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des `logs:DescribeLogGroups` autorisations `logs:PutResourcePolicy``logs:DescribeResourcePolicies`, et pour le groupe de journaux, crée AWS automatiquement la politique suivante pour celui-ci lorsque vous commencez à envoyer les CloudWatch journaux à Logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
**Considérations sur la limite de taille de la politique de ressources des groupes de journaux**
Ces services doivent répertorier chaque groupe de journaux auquel ils envoient des journaux dans la politique de ressources. CloudWatch Les politiques relatives aux ressources des journaux sont limitées à 5 120 caractères. Un service qui envoie des journaux à un grand nombre de groupes de journaux peut respecter cette limite.
Pour atténuer ce problème, CloudWatch Logs surveille la taille des politiques de ressources utilisées par le service qui envoie les journaux. Lorsqu'il détecte qu'une politique approche la limite de taille de 5 120 caractères, CloudWatch Logs l'active automatiquement `/aws/vendedlogs/*` dans la politique de ressources pour ce service. Vous pouvez alors commencer à utiliser des groupes de journaux dont les noms commencent par `/aws/vendedlogs/` comme destinations des journaux provenant de ces services.
## Journaux envoyés à Amazon S3
**Autorisations des utilisateurs**
Pour activer l'envoi de journaux à Amazon S3, vous devez être connecté avec les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucket-name"
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:us-east-1:111122223333:organization/organization-id"
]
}
]
}
```
------
Le compartiment S3 où les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le compartiment n'a actuellement aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des `S3:PutBucketPolicy` autorisations `S3:GetBucketPolicy` et des autorisations pour le compartiment, il crée AWS automatiquement la politique suivante pour celui-ci lorsque vous commencez à envoyer les journaux à Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::my-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:delivery-source:*"
]
}
}
},
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::my-bucket/AWSLogs/111122223333/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:delivery-source:*"
]
}
}
}
]
}
```
------
Dans la politique précédente, pour`aws:SourceAccount`, spécifiez la liste des comptes IDs pour lesquels les journaux sont envoyés à ce compartiment. Pour`aws:SourceArn`, spécifiez la liste ARNs des ressources qui génèrent les journaux, dans le formulaire`arn:aws:logs:source-region:source-account-id:*`.
Si le bucket dispose d'une politique de ressources, mais que cette politique ne contient pas l'instruction indiquée dans la stratégie précédente, et que l'utilisateur qui configure la journalisation dispose des `S3:PutBucketPolicy` autorisations `S3:GetBucketPolicy` et pour le bucket, cette instruction est ajoutée à la politique de ressources du bucket.
**Note**
Dans certains cas, des `AccessDenied` erreurs peuvent s'afficher AWS CloudTrail si l'`s3:ListBucket`autorisation n'a pas été accordée`delivery.logs.amazonaws.com`. Pour éviter ces erreurs dans vos CloudTrail journaux, vous devez accorder l'`s3:ListBucket`autorisation à`delivery.logs.amazonaws.com`. Vous devez également inclure les `Condition` paramètres indiqués dans l'`s3:GetBucketAcl`autorisation définie dans la politique de compartiment précédente. Pour rationaliser cela, au lieu d'en créer un nouveau`Statement`, vous pouvez directement mettre à jour le `AWSLogDeliveryAclCheck` futur`“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`.
### Chiffrement côté serveur des compartiments Amazon S3
Vous pouvez protéger les données de votre compartiment Amazon S3 en activant le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou le chiffrement côté serveur avec une clé stockée dans (SSE-KMS). AWS KMS AWS Key Management Service Pour plus d'informations, consultez [ Protection des données à l'aide du chiffrement côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Si vous choisissez l'option SSE-S3, aucune configuration supplémentaire n'est requise. Amazon S3 gère la clé de chiffrement.
**Avertissement**
Si vous choisissez SSE-KMS, vous devez utiliser une clé gérée par le client, car l'utilisation d'une Clé gérée par AWS n'est pas prise en charge dans ce scénario. Si vous configurez le chiffrement à l'aide d'une clé AWS gérée, les journaux seront fournis dans un format illisible.
Lorsque vous utilisez une AWS KMS clé gérée par le client, vous pouvez spécifier le nom de ressource Amazon (ARN) de la clé gérée par le client lorsque vous activez le chiffrement des compartiments. Ajoutez ce qui suit à la politique de clé pour votre clé gérée par le client (et non à la politique de compartiment de votre compartiment S3), afin que le compte de livraison du journal puisse écrire dans votre compartiment S3.
Si vous choisissez SSE-KMS, vous devez utiliser une clé gérée par le client, car l'utilisation d'une clé AWS gérée n'est pas prise en charge dans ce scénario. Lorsque vous utilisez une AWS KMS clé gérée par le client, vous pouvez spécifier le nom de ressource Amazon (ARN) de la clé gérée par le client lorsque vous activez le chiffrement des compartiments. Ajoutez ce qui suit à la politique de clé pour votre clé gérée par le client (et non à la politique de compartiment de votre compartiment S3), afin que le compte de livraison du journal puisse écrire dans votre compartiment S3.
```
{
"Sid":"Allow Logs Delivery to use the key",
"Effect":"Allow",
"Principal":{
"Service":[
"delivery.logs.amazonaws.com"
]
},
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:SourceAccount":[
"account-id"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:region:account-id:delivery-source:*"
]
}
}
}
```
Pour`aws:SourceAccount`, spécifiez la liste des comptes IDs pour lesquels les journaux sont envoyés à ce compartiment. Pour`aws:SourceArn`, spécifiez la liste ARNs des ressources qui génèrent les journaux, dans le formulaire`arn:aws:logs:source-region:source-account-id:*`.
## Logs envoyés à Firehose
**Autorisations des utilisateurs**
Pour activer l'envoi de logs à Firehose, vous devez être connecté avec les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyFH",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/*"
]
},
{
"Sid": "CreateServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:us-east-1:111122223333:organization/organization-id"
]
}
]
}
```
------
**Rôles IAM utilisés pour les autorisations de ressources**
Comme Firehose n'utilise pas de politiques de ressources, il AWS utilise les rôles IAM lors de la configuration de ces journaux à envoyer à Firehose. AWS crée un rôle lié à un service nommé. **AWSServiceRoleForLogDelivery** Ce rôle lié à un service comprend les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "arn:aws:firehose:us-east-1:111122223333:deliverystream/workmail-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Ce rôle lié à un service accorde l'autorisation à tous les flux de diffusion Firehose dont la `LogDeliveryEnabled` balise est définie sur. `true` AWS attribue cette balise au flux de diffusion de destination lorsque vous configurez la journalisation.
Ce rôle lié à un service possède également une politique d'approbation qui permet au principal du service `delivery.logs.amazonaws.com` d'assumer le rôle lié au service nécessaire. Cette politique d'approbation est la suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Autorisations spécifiques à la console
Outre les autorisations répertoriées dans les sections précédentes, si vous configurez la livraison des journaux à l'aide de la console au lieu de la APIs, vous devez également disposer des autorisations suivantes :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryActions",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:*",
"arn:aws:firehose:us-east-1:111122223333:deliverystream/*",
"arn:aws:s3:::*"
]
},
{
"Sid": "ListAccessForDeliveryDestinations",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"firehose:ListDeliveryStreams",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------