Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pencatatan dan pemantauan di Amazon WorkMail
Memantau dan mengaudit email dan log Anda penting untuk menjaga kesehatan WorkMail organisasi Amazon Anda. Amazon WorkMail mendukung dua jenis pemantauan:
+ **Pencatatan peristiwa** — Memantau aktivitas pengiriman email untuk organisasi Anda membantu melindungi reputasi domain Anda. Pemantauan juga dapat membantu Anda melacak email yang dikirim dan diterima. Untuk informasi selengkapnya tentang cara mengaktifkan pencatatan peristiwa email, lihat [Mengaktifkan pencatatan peristiwa email](tracking.md).
+ **Pencatatan audit** — Anda dapat menggunakan log audit untuk menangkap informasi terperinci tentang penggunaan WorkMail organisasi Amazon Anda seperti memantau akses pengguna ke kotak pesan, mengaudit aktivitas mencurigakan, dan men-debug kontrol akses dan konfigurasi penyedia ketersediaan. Untuk informasi selengkapnya, lihat [Mengaktifkan pencatatan audit](audit-logging.md).
AWS menyediakan alat pemantauan berikut untuk menonton Amazon WorkMail, melaporkan ketika ada sesuatu yang salah, dan mengambil tindakan otomatis bila perlu:
+ *Amazon CloudWatch* memantau AWS sumber daya Anda dan aplikasi yang Anda jalankan AWS secara real time. Misalnya, ketika Anda mengaktifkan pencatatan peristiwa email untuk Amazon WorkMail, CloudWatch dapat melacak email yang dikirim dan diterima untuk organisasi Anda. Untuk informasi selengkapnya tentang memantau Amazon WorkMail CloudWatch, lihat[Memantau Amazon WorkMail dengan CloudWatch metrik](monitoring-workmail-cloudwatch.md). Untuk informasi selengkapnya CloudWatch, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Logs* memungkinkan Anda memantau, menyimpan, dan mengakses peristiwa email dan log audit untuk Amazon WorkMail saat pencatatan email dan audit diaktifkan di WorkMail konsol Amazon. CloudWatch Log dapat memantau informasi dalam file log, dan Anda dapat mengarsipkan data log Anda dalam penyimpanan yang sangat tahan lama. Untuk informasi selengkapnya tentang melacak WorkMail pesan Amazon menggunakan CloudWatch Log, lihat [Mengaktifkan pencatatan peristiwa email](tracking.md) dan[Mengaktifkan pencatatan audit](audit-logging.md). Untuk informasi selengkapnya tentang CloudWatch Log, lihat [Panduan Pengguna CloudWatch Log Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*menangkap panggilan API dan peristiwa terkait yang dibuat oleh atau atas nama Anda Akun AWS, dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. Untuk informasi selengkapnya, lihat [Mencatat panggilan WorkMail API Amazon dengan AWS CloudTrail](logging-using-cloudtrail.md).
+ *Amazon S3* memungkinkan Anda untuk menyimpan dan mengakses WorkMail acara Amazon Anda dengan cara yang hemat biaya. [Amazon S3 menyediakan mekanisme untuk mengelola [siklus hidup data peristiwa](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html), memungkinkan Anda mengonfigurasi penghapusan otomatis peristiwa lama, atau mengonfigurasi arsip otomatis ke Amazon S3 Glacier.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-class-intro.html#sc-glacier) Catatan, pengiriman Amazon S3 hanya tersedia untuk peristiwa pencatatan audit. Untuk informasi selengkapnya tentang Amazon S3, lihat Panduan Pengguna [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html).
+ *Amazon Data Firehose* memungkinkan Anda mengalirkan data peristiwa Anda ke layanan AWS lainnya seperti Amazon Simple Storage Service (Amazon S3), Amazon Redshift, Amazon Service, Amazon Serverless, Splunk OpenSearch , dan titik akhir HTTP kustom atau titik akhir HTTP apa pun yang dimiliki oleh penyedia OpenSearch layanan pihak ketiga yang didukung, termasuk Datadog LogicMonitor, Dynatrace,, MongoDB, Relik Baru, Coralogix, dan Elastis. Pengiriman ke Firehose hanya tersedia untuk peristiwa pencatatan audit. Untuk informasi selengkapnya tentang Firehose, lihat panduan developer [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html).
**Topics**
+ [Memantau Amazon WorkMail dengan CloudWatch metrik](monitoring-workmail-cloudwatch.md)
+ [Memantau log peristiwa WorkMail email Amazon](cw-events.md)
+ [Memantau log WorkMail audit Amazon](monitoring-audit-logging.md)
+ [Menggunakan CloudWatch Wawasan dengan Amazon WorkMail](cw-insights.md)
+ [Mencatat panggilan WorkMail API Amazon dengan AWS CloudTrail](logging-using-cloudtrail.md)
+ [Mengaktifkan pencatatan peristiwa email](tracking.md)
+ [Mengaktifkan pencatatan audit](audit-logging.md)
# Memantau Amazon WorkMail dengan CloudWatch metrik
Anda dapat memantau WorkMail penggunaan Amazon CloudWatch, yang mengumpulkan data mentah dan memprosesnya menjadi metrik yang dapat dibaca, mendekati waktu nyata. Metrik tanpa biaya disimpan selama 15 bulan sehingga Anda dapat mengakses informasi historis untuk melihat kinerja aplikasi atau layanan web Anda. Anda juga dapat mengatur alarm yang memperhatikan ambang batas tertentu dan mengirim notifikasi atau mengambil tindakan saat ambang batas tersebut terpenuhi. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
## CloudWatch metrik untuk Amazon WorkMail
Amazon WorkMail mengirimkan metrik dan informasi dimensi berikut ke CloudWatch.
Namespace `AWS/WorkMail` mencakup metrik berikut.
| Metrik | Deskripsi |
| --- | --- |
| `OrganizationEmailReceived` | Jumlah email yang diterima oleh WorkMail organisasi Amazon Anda. Jika satu email ditujukan ke 10 penerima di organisasi Anda, `OrganizationEmailReceived` hitungannya adalah satu. Unit: Hitungan |
| `MailboxEmailDelivered` | Jumlah email yang dikirimkan ke kotak pesan individual di WorkMail organisasi Amazon Anda. Jika satu email berhasil dikirim ke 10 penerima di organisasi Anda, `MailboxEmailDelivered` hitungannya adalah 10. Unit: Hitungan |
| `IncomingEmailBounced` | Jumlah email masuk yang memental karena kotak pesan penuh. Metrik ini dihitung untuk setiap penerima yang dituju. Misalnya, jika satu email dikirim ke 10 penerima di organisasi Anda, dan dua penerima memiliki kotak pesan penuh yang menghasilkan respons pentalan, jumlahnya adalah dua. `IncomingEmailBounced` Unit: Hitungan |
| `OutgoingEmailBounced` | Jumlah email keluar yang tidak dapat dikirimkan. Metrik ini dihitung untuk setiap penerima yang dituju. Misalnya, jika satu email dikirim ke 10 penerima, dan dua email tidak dapat dikirim, `OutgoingEmailBounced` hitungannya adalah 2. Unit: Hitungan |
| `OutgoingEmailSent` | Jumlah email yang berhasil dikirim dari WorkMail organisasi Amazon Anda. Metrik ini dihitung untuk setiap penerima email yang berhasil dikirim. Misalnya, jika 1 email dikirim ke 10 penerima, dan email berhasil dikirim ke 8 penerima, jumlah `OutgoingEmailSent` adalah 8. Unit: Hitungan |
| `AuthenticationFailure` | Metrik ini menghitung jumlah upaya otentikasi. Ketika otentikasi berhasil, hitungannya adalah 0 dan ketika otentikasi tidak berhasil, hitungannya adalah 1. Gunakan `Sum` statistik untuk memantau jumlah upaya otentikasi yang gagal. Gunakan `Sample count` statistik untuk memantau jumlah total peristiwa otentikasi. Gunakan `Average` statistik untuk memantau rasio peristiwa otentikasi yang gagal dan berhasil. Unit: Hitungan |
| `AccessDenied` | Metrik ini menghitung jumlah evaluasi kontrol akses. Ketika tindakan ditolak oleh kontrol akses, hitungannya adalah 1 dan ketika tindakan diberikan, hitungannya adalah 0. Gunakan `Sum` statistik untuk memantau volume tindakan yang ditolak, `Sample count` statistik untuk memantau jumlah total tindakan yang dicoba, dan `Average` statistik untuk memantau rasio tindakan yang diizinkan dan ditolak. Unit: Hitungan |
| `ActionDenied` | Metrik ini dihitung ketika ada tindakan pada data kotak pesan. Ketika tindakan ditolak, hitungannya adalah 1 dan jika tindakan diberikan, hitungannya adalah 0. Gunakan `Sum` statistik untuk memantau volume tindakan kotak pesan yang ditolak, `Sample count` statistik untuk memantau jumlah total tindakan kotak pesan yang dicoba, dan `Average` statistik untuk memantau rasio tindakan yang diizinkan dan ditolak. Unit: Hitungan |
| `AvailabilityProviderFailure` | Metrik ini dihitung untuk setiap permintaan *penyedia ketersediaan* yang WorkMail dijalankan Amazon untuk mengambil ketersediaan kalender dari sumber eksternal. Untuk informasi selengkapnya tentang Penyedia Ketersediaan, lihat Panduan WorkMail Administrator Amazon. |
# Memantau log peristiwa WorkMail email Amazon
Saat Anda mengaktifkan pencatatan peristiwa email untuk WorkMail organisasi Amazon Anda, Amazon WorkMail mencatat peristiwa email dengan CloudWatch. Untuk informasi selengkapnya tentang mengaktifkan pencatatan peristiwa email, lihat [Mengaktifkan pencatatan peristiwa email](tracking.md).
Tabel berikut menjelaskan peristiwa yang digunakan Amazon untuk WorkMail log CloudWatch, kapan peristiwa ditransmisikan, dan isi bidang peristiwa.
**`ORGANIZATION_EMAIL_RECEIVED`**
Peristiwa ini dicatat ketika WorkMail organisasi Amazon Anda menerima pesan email.
| Bidang | Deskripsi |
| --- | --- |
| penerima | Penerima pesan yang dimaksud. |
| pengirim | Alamat email pengguna yang mengirim pesan email atas nama pengguna lain. Bidang ini diatur hanya jika suatu email dikirim atas nama pengguna lain. |
| From | Alamat **Dari**, yang biasanya alamat email dari pengguna yang mengirim pesan. Jika pengguna mengirim pesan sebagai pengguna lain atau atas nama pengguna lain, bidang ini mengembalikan alamat email pengguna atas nama siapa email dikirim, bukan alamat email pengirim sebenarnya. |
| subjek | Subjek pesan email. |
| messageId | ID pesan SMTP. |
| SpamVerdict | Menunjukkan apakah pesan ditandai sebagai spam oleh Amazon SES. Untuk informasi selengkapnya, lihat [Konten Notifikasi untuk Penerimaan Email Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-notifications-contents.html) dalam *Panduan Developer Amazon Simple Email Service*. |
| dkimVerdict | Menunjukkan apakah cek DomainKeys Identified Mail (DKIM) lulus. Untuk informasi selengkapnya, lihat [Konten Notifikasi untuk Penerimaan Email Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-notifications-contents.html) dalam *Panduan Developer Amazon Simple Email Service*. |
| DmarcVerdict | Menunjukkan apakah pemeriksaan Otentikasi, Pelaporan, dan Kesesuaian (DMARC) berbasis Domain lulus. Untuk informasi selengkapnya, lihat [Konten Notifikasi untuk Penerimaan Email Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-notifications-contents.html) dalam *Panduan Developer Amazon Simple Email Service*. |
| dmarcPolicy | Muncul hanya ketika bidang dmarcVerdict berisi "FAIL". Menunjukkan tindakan yang harus dilakukan terhadap email ketika pemeriksaan DMARC gagal (NONE, QUARANTINE, atau REJECT). Tindakan ini diatur oleh pemilik domain email pengiriman. |
| spfVerdict | Menunjukkan apakah pemeriksaan Kerangka Kebijakan Pengirim (SPF) lulus. Untuk informasi selengkapnya, lihat [Konten Notifikasi untuk Penerimaan Email Amazon SES](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/receiving-email-notifications-contents.html) dalam *Panduan Developer Amazon Simple Email Service*. |
| MessageTimestamp | Menunjukkan kapan pesan diterima. |
**`MAILBOX_EMAIL_DELIVERED`**
Peristiwa ini dicatat saat pesan dikirim ke kotak pesan di organisasi Anda. Ini dicatat satu kali untuk setiap kotak surat yang menjadi tujuan pengiriman pesan, sehingga satu peristiwa `ORGANIZATION_EMAIL_RECEIVED` dapat mengakibatkan beberapa peristiwa `MAILBOX_EMAIL_DELIVERED`.
| Bidang | Deskripsi |
| --- | --- |
| penerima | Kotak pesan yang menjadi tujuan pengiriman pesan. |
| folder | Folder kotak pesan tempat pesan ditempatkan. |
**`RULE_APPLIED`**
Peristiwa ini dicatat ketika pesan masuk atau keluar memulai aturan alur email.
| Bidang | Deskripsi |
| --- | --- |
| ruleName | Nama aturan. |
| ruleType | Jenis aturan yang diterapkan (INBOUND\$1RULE, OUTBOUND\$1RULE, atau MAILBOX\$1RULE). Aturan masuk dan keluar berlaku untuk organisasi Amazon WorkMail Anda. Aturan kotak pesan hanya berlaku untuk kotak pesan yang ditentukan. Untuk informasi selengkapnya, lihat [Mengelola alur email](email-flows.md). |
| RuleAction | Tindakan yang diambil berdasarkan aturan. Penerima pesan yang berbeda mungkin memiliki tindakan yang berbeda, seperti email yang dipantulkan atau email yang berhasil dikirim. |
| targetFolder | Folder tujuan yang dimaksudkan untuk `Move` atau `Copy` MAILBOX\$1RULE. |
| targetRecipient | Penerima yang dimaksudkan dari `Forward` atau `Redirect` MAILBOX\$1RULE. |
**`JOURNALING_INITIATED`**
Peristiwa ini dicatat saat Amazon WorkMail mengirim email ke alamat penjurnalan yang ditentukan oleh administrator organisasi Anda. Ini hanya ditransmisikan jika penjurnalan dikonfigurasi untuk organisasi Anda. Untuk informasi selengkapnya, lihat [Menggunakan jurnal email dengan Amazon WorkMail](journaling_overview.md).
| Bidang | Deskripsi |
| --- | --- |
| journalingAddress | Alamat email yang menjadi tujuan pengiriman pesan penjurnalan. |
**`INCOMING_EMAIL_BOUNCED`**
Peristiwa ini dicatat ketika pesan masuk tidak dapat dikirim ke penerima target. Email dapat memental karena sejumlah alasan, seperti kotak pesan target penuh. Sistem mencatat peristiwa ini sekali untuk setiap penerima yang menghasilkan email yang dipentalkan. Misalnya, jika pesan masuk ditujukan ke tiga penerima dan dua di antaranya memiliki kotak pesan penuh, dua peristiwa INCOMING\$1EMAIL\$1BOUNCED akan dicatat.
| Bidang | Deskripsi |
| --- | --- |
| bouncedRecipient | Penerima yang dituju di mana Amazon WorkMail memantulkan pesan. |
**`OUTGOING_EMAIL_SUBMITTED`**
Peristiwa ini dicatat ketika pengguna di organisasi Anda mengirimkan pesan email untuk mengirim. Ini dicatat sebelum pesan meninggalkan Amazon WorkMail, jadi acara ini tidak menunjukkan apakah email berhasil dikirim.
| Bidang | Deskripsi |
| --- | --- |
| penerima | Penerima pesan seperti yang ditentukan oleh pengirim. Mencakup semua penerima pada baris Kepada, CC, dan BCC. |
| pengirim | Alamat email pengguna yang mengirim pesan email atas nama pengguna lain. Bidang ini diatur hanya jika suatu email dikirim atas nama pengguna lain. |
| From | Alamat **Dari**, yang biasanya alamat email dari pengguna yang mengirim pesan. Jika pengguna mengirim pesan sebagai pengguna lain atau atas nama pengguna lain, bidang ini mengembalikan alamat email pengguna atas nama siapa email dikirim, bukan alamat email pengirim sebenarnya. |
| subjek | Subjek pesan email. |
**`OUTGOING_EMAIL_SENT`**
Peristiwa ini dicatat ketika email keluar berhasil dikirim ke penerima target. Ini dicatat satu kali untuk setiap penerima sukses, sehingga satu `OUTGOING_EMAIL_SUBMITTED` dapat mengakibatkan beberapa entri `OUTGOING_EMAIL_SENT`.
| Bidang | Deskripsi |
| --- | --- |
| penerima | Penerima email yang berhasil dikirim. |
| pengirim | Alamat email pengguna yang mengirim pesan email atas nama pengguna lain. Bidang ini diatur hanya jika suatu email dikirim atas nama pengguna lain. |
| From | Alamat **Dari**, yang biasanya alamat email dari pengguna yang mengirim pesan. Jika pengguna mengirim pesan sebagai pengguna lain atau atas nama pengguna lain, bidang ini mengembalikan alamat email pengguna atas nama siapa email dikirim, bukan alamat email pengirim sebenarnya. |
| messageId | ID pesan SMTP. |
**`OUTGOING_EMAIL_BOUNCED`**
Peristiwa ini dicatat ketika pesan keluar tidak dapat dikirim ke penerima target. Email dapat memental karena sejumlah alasan, seperti kotak pesan target penuh. Sistem mencatat pentalan untuk setiap penerima yang menghasilkan email yang dipentalkan. Misalnya, jika pesan keluar ditujukan ke tiga penerima dan dua di antaranya memiliki kotak pesan penuh, dua peristiwa `OUTGOING_EMAIL_BOUNCED` akan dicatat.
| Bidang | Deskripsi |
| --- | --- |
| bouncedRecipient | Penerima yang dimaksudkan yang menjadi tujuan server surat mementalkan pesan. |
**`DMARC_POLICY_APPLIED`**
Peristiwa ini dicatat ketika kebijakan DMARC diterapkan pada email yang dikirim ke organisasi Anda.
| Bidang | Deskripsi |
| --- | --- |
| From | Alamat Dari, yang biasanya alamat email dari pengguna yang mengirim pesan. Jika pengguna mengirim pesan sebagai pengguna lain atau atas nama pengguna lain, bidang ini mengembalikan alamat email pengguna atas nama siapa email dikirim, bukan alamat email pengirim sebenarnya. |
| penerima | Penerima pesan yang dimaksud. |
| kebijakan | Kebijakan DMARC yang diterapkan, yang menunjukkan tindakan yang harus dilakukan terhadap email ketika pemeriksaan DMARC gagal (NONE, QUARANTINE, atau REJECT). Ini adalah sama dengan bidang dmarcPolicy dalam peristiwa ORGANIZATION\$1EMAIL\$1RECEIVED. |
# Memantau log WorkMail audit Amazon
Anda dapat menggunakan log audit untuk memantau akses ke kotak pesan WorkMail Organisasi Amazon. Amazon WorkMail mencatat lima jenis peristiwa audit dan peristiwa ini dapat dipublikasikan ke CloudWatch Log, Amazon S3, atau Amazon Firehouse. Anda dapat menggunakan log audit untuk memantau interaksi pengguna dengan kotak pesan Organisasi, upaya autentikasi, evaluasi aturan kontrol akses, dan melakukan panggilan penyedia ketersediaan ke sistem eksternal dan memantau peristiwa dengan token akses pribadi. Untuk informasi tentang mengonfigurasi pencatatan audit, lihat[Mengaktifkan pencatatan audit](audit-logging.md).
Bagian berikut menjelaskan peristiwa audit yang dicatat oleh Amazon WorkMail, saat peristiwa ditransmisikan, dan informasi tentang bidang acara.
## Log akses kotak surat
Peristiwa akses kotak pesan memberikan informasi tentang tindakan apa yang diambil (atau dicoba) pada objek kotak pesan mana. Peristiwa akses kotak pesan dibuat untuk setiap operasi yang Anda coba jalankan pada item atau folder di kotak pesan. Peristiwa ini berguna untuk mengaudit akses ke data kotak pesan.
| Bidang | Deskripsi |
| --- | --- |
| event\$1timestamp | Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix. |
| request\$1id | ID yang secara unik mengidentifikasi permintaan. |
| organisasi\$1arn | ARN dari WorkMail Organisasi & Amazon tempat pengguna yang diautentikasi berada. |
| user\$1id | ID pengguna yang diautentikasi. |
| impersonator\$1id | ID peniru. Hadir hanya jika fitur peniruan digunakan untuk permintaan. |
| protokol | Protokol yang digunakan Protokolnya dapat berupa: `AutoDiscover``EWS`,,`IMAP`,`WindowsOutlook`,`ActiveSync`,`SMTP`,`WebMail`,`IncomingEmail`, atau`OutgoingEmail`. |
| source\$1ip | Alamat IP sumber permintaan. |
| user\$1agent | Agen pengguna yang membuat permintaan. |
| tindakan | Tindakan yang diambil pada objek, yang dapat berupa:`read`,,`read_hierarchy`, `read_summary``read_attachment`,`read_permissions`,`create`,`update`,`update_permissions`,`update_read_state`,`delete`,`submit_email_for_sending`,`abort_sending_email`,`move`,`move_to`,`copy`, atau`copy_to`. |
| owner\$1id | ID pengguna yang memiliki objek yang ditindaklanjuti. |
| object\$1type | Jenis objek, yang dapat berupa: Folder, Pesan, atau Lampiran. |
| item\$1id | ID yang secara unik mengidentifikasi pesan yang menjadi subjek acara atau yang berisi lampiran yang menjadi subjek acara. |
| folder\$1path | Jalur folder yang ditindaklanjuti atau jalur folder yang berisi item yang ditindaklanjuti. |
| folder\$1id | ID yang secara unik mengidentifikasi folder yang menjadi subjek acara atau berisi objek yang menjadi subjek acara. |
| attachment\$1path | Jalur nama tampilan ke lampiran yang terpengaruh. |
| action\$1allowed | Apakah tindakan itu diizinkan. Bisa benar atau salah. |
## Log kontrol akses
Peristiwa kontrol akses dihasilkan setiap kali aturan kontrol akses dievaluasi. Log ini berguna untuk mengaudit akses terlarang, atau men-debug konfigurasi kontrol akses.
| Bidang | Deskripsi |
| --- | --- |
| event\$1timestamp | Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix. |
| request\$1id | ID yang secara unik mengidentifikasi permintaan. |
| organisasi\$1arn | ARN WorkMail Organisasi tempat pengguna yang diautentikasi berada. |
| user\$1id | ID pengguna yang diautentikasi. |
| impersonator\$1id | ID peniru. Hadir hanya jika fitur peniruan digunakan untuk permintaan. |
| protokol | Protokol yang digunakan, yang dapat berupa:`AutoDiscover`,`EWS`,`IMAP`,`WindowsOutlook`,`ActiveSync`,`SMTP`,`WebMail`,`IncomingEmail`, atau`OutgoingEmail`. |
| source\$1ip | Alamat IP sumber permintaan. |
| cakupan | Ruang lingkup aturan, yang dapat berupa:`AccessControl`,`DeviceAccessControl`, atau`ImpersonationAccessControl`. |
| rule\$1id | ID dari aturan kontrol akses yang cocok. Bila tidak ada aturan yang cocok, *rule\$1id* tidak tersedia. |
| access\$1granted | Apakah akses diizinkan. Bisa benar atau salah. |
## Log otentikasi
Peristiwa otentikasi berisi informasi tentang upaya otentikasi.
**catatan**
Peristiwa otentikasi tidak dibuat untuk peristiwa otentikasi melalui aplikasi Amazon WorkMail WebMail .
| Bidang | Deskripsi |
| --- | --- |
| event\$1timestamp | Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix. |
| request\$1id | ID yang secara unik mengidentifikasi permintaan. |
| organisasi\$1arn | ARN WorkMail Organisasi tempat pengguna yang diautentikasi berada. |
| user\$1id | ID pengguna yang diautentikasi. |
| user | Nama pengguna yang dicoba dengan otentikasi. |
| protokol | Protokol yang digunakan, yang dapat berupa:`AutoDiscover`,`EWS`,`IMAP`,`WindowsOutlook`,`ActiveSync`,`SMTP`,`WebMail`,`IncomingEmail`, atau`OutgoingEmail`. |
| source\$1ip | Alamat IP sumber permintaan. |
| user\$1agent | Agen pengguna yang membuat permintaan. |
| metode | Metode autentikasi. Saat ini, hanya dasar yang didukung. |
| auth\$1successful | Apakah upaya autentikasi berhasil. Bisa benar atau salah. |
| auth\$1failed\$1reason | Alasan kegagalan autentikasi. Hadir hanya jika autentikasi gagal. |
| personal\$1access\$1token\$1id | ID token akses pribadi yang digunakan untuk otentikasi. |
## Log token akses pribadi
Peristiwa token akses pribadi (PAT) dibuat untuk setiap upaya dalam membuat atau menghapus token akses pribadi. Acara token akses pribadi memberikan informasi tentang apakah pengguna berhasil membuat token akses pribadi. Log token akses pribadi berguna untuk mengaudit pengguna akhir yang membuat dan menghapus milik mereka sendiri. PATs Login pengguna dengan token akses pribadi akan menghasilkan peristiwa di log Otentikasi yang ada. Untuk informasi selengkapnya, lihat [Log otentikasi](https://docs.aws.amazon.com/workmail/latest/adminguide/monitoring-audit-logging.html#authentication-log).
| Bidang | Deskripsi |
| --- | --- |
| event\$1timestamp | Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix. |
| request\$1id | ID yang secara unik mengidentifikasi permintaan. |
| organisasi\$1arn | ARN WorkMail Organisasi tempat pengguna yang diautentikasi berada. |
| user\$1id | ID pengguna yang diautentikasi. |
| user | Nama pengguna pengguna yang mengambil tindakan ini. |
| protokol | Protokol yang digunakan melalui tindakan berlangsung, yang dapat berupa: webapp |
| source\$1ip | Alamat IP sumber permintaan. |
| user\$1agent | Agen pengguna yang membuat permintaan. |
| tindakan | Tindakan token akses pribadi, yang dapat berupa: membuat atau menghapus. |
| name | Nama token akses pribadi. |
| kadaluarsa\$1waktu | Tanggal ketika token akses pribadi kedaluwarsa. |
| ruang lingkup | Cakupan izin token akses pribadi di kotak surat. |
## Log penyedia ketersediaan
Acara penyedia ketersediaan dibuat untuk setiap permintaan ketersediaan yang WorkMail dilakukan Amazon atas nama Anda kepada penyedia ketersediaan yang dikonfigurasi. Peristiwa ini berguna untuk men-debug konfigurasi penyedia ketersediaan Anda.
| Bidang | Deskripsi |
| --- | --- |
| event\$1timestamp | Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix. |
| request\$1id | ID yang secara unik mengidentifikasi permintaan. |
| organisasi\$1arn | ARN WorkMail Organisasi tempat pengguna yang diautentikasi berada. |
| user\$1id | ID pengguna yang diautentikasi. |
| jenis | Jenis penyedia ketersediaan yang dipanggil, yang dapat berupa: `EWS` atau`LAMBDA`. |
| domain | Domain yang ketersediaannya diperoleh. |
| function\$1arn | ARN dari Lambda yang dipanggil, jika jenisnya adalah LAMBDA. Jika tidak, bidang ini tidak ada. |
| ews\$1titik akhir | Endpoint EWS adalah tipe EWS. Jika tidak, bidang ini tidak ada. |
| error\$1message | Pesan yang menggambarkan penyebab kegagalan. Jika permintaan berhasil, bidang ini tidak ada. |
| availability\$1event\$1successful | Apakah permintaan ketersediaan berhasil dilayani. |
# Menggunakan CloudWatch Wawasan dengan Amazon WorkMail
Jika mengaktifkan pencatatan peristiwa email di WorkMail konsol Amazon atau mengaktifkan pengiriman log audit ke Log, Anda dapat menggunakan Amazon CloudWatch CloudWatch Logs Insights untuk menanyakan log peristiwa Anda. Untuk informasi selengkapnya tentang mengaktifkan pencatatan peristiwa email, lihat [Mengaktifkan pencatatan peristiwa email](tracking.md). Untuk informasi selengkapnya tentang Wawasan CloudWatch Log, lihat [Menganalisis data CloudWatch log dengan Wawasan Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) di *Panduan Pengguna CloudWatch Log Amazon*.
Contoh berikut menunjukkan cara kueri CloudWatch Log untuk acara email umum. Anda menjalankan kueri ini di CloudWatch konsol. Untuk petunjuk tentang cara menjalankan kueri ini, lihat [Tutorial: Menjalankan dan memodifikasi contoh kueri](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_AnalyzeLogData_RunSampleQuery.html) di *Panduan Pengguna Amazon CloudWatch Logs*.
**Example Lihat mengapa Pengguna B tidak menerima email yang dikirim oleh Pengguna A.**
Contoh kode berikut menunjukkan bagaimana untuk meminta email keluar yang dikirim oleh Pengguna A ke Pengguna B, diurutkan berdasarkan timestamp.
```
fields @timestamp, traceId
| sort @timestamp asc
| filter (event.from like /(?i)userA@example.com/
and event.eventName = "OUTGOING_EMAIL_SUBMITTED"
and event.recipients.0 like /(?i)userB@example.com/)
```
Ini mengembalikan pesan yang dikirim dan ID jejak. Gunakan ID jejak dalam contoh kode berikut untuk meminta pencatatan peristiwa untuk pesan terkirim.
```
fields @timestamp, event.eventName
| sort @timestamp asc
| filter traceId = "$TRACEID"
```
Ini mengembalikan ID pesan email dan peristiwa email. `OUTGOING_EMAIL_SENT` menunjukkan bahwa email telah dikirim. `OUTGOING_EMAIL_BOUNCED` menunjukkan bahwa email terpental. Untuk melihat apakah email diterima, kueri menggunakan ID pesan dalam contoh kode berikut.
```
fields @timestamp, event.eventName
| sort @timestamp asc
| filter event.messageId like "$MESSAGEID"
```
Ini juga seharusnya mengembalikan pesan yang diterima, karena memiliki ID pesan yang sama. Gunakan ID jejak dalam contoh kode berikut untuk kueri untuk pengiriman.
```
fields @timestamp, event.eventName
| sort @timestamp asc
| filter traceId = "$TRACEID"
```
Ini mengembalikan tindakan pengiriman dan tindakan aturan yang berlaku.
**Example Melihat semua email yang diterima dari pengguna atau domain**
Contoh kode berikut mendemonstrasikan cara meminta semua surat yang diterima dari pengguna tertentu.
```
fields @timestamp, event.eventName
| sort @timestamp asc
| filter (event.from like /(?i)user@example.com/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")
```
Contoh kode berikut mendemonstrasikan cara meminta semua surat yang diterima dari domain tertentu.
```
fields @timestamp, event.eventName
| sort @timestamp asc
| filter (event.from like "example.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")
```
**Example Lihat siapa yang mengirim email yang memantul**
Contoh kode berikut menunjukkan bagaimana meminta email keluar yang terpental, dan juga mengembalikan alasan untuk pementalan.
```
fields @timestamp, event.destination, event.reason
| sort @timestamp desc
| filter event.eventName = "OUTGOING_EMAIL_BOUNCED"
```
Contoh kode berikut menunjukkan bagaimana untuk query untuk email masuk yang memantul. Ini juga mengembalikan alamat email penerima yang terpental dan alasan memantul.
```
fields @timestamp, event.bouncedRecipient.emailAddress, event.bouncedRecipient.reason, event.bouncedRecipient.status
| sort @timestamp desc
| filter event.eventName = "INCOMING_EMAIL_BOUNCED"
```
**Example Lihat domain mana yang mengirim spam**
Contoh kode berikut mendemonstrasikan cara meminta penerima di organisasi Anda yang menerima spam.
```
stats count(*) as c by event.recipients.0
| filter (event.eventName = "ORGANIZATION_EMAIL_RECEIVED" and event.spamVerdict = "FAIL")
| sort c desc
```
Contoh kode berikut mendemonstrasikan cara meminta pengirim email spam.
```
fields @timestamp, event.recipients.0, event.sender, event.from
| sort @timestamp asc
| filter (event.spamVerdict = "FAIL")
```
**Example Lihat mengapa email dikirim ke folder spam penerima**
Contoh kode berikut mendemonstrasikan cara meminta email yang diidentifikasi sebagai spam, disaring berdasarkan subjek.
```
fields @timestamp, event.recipients.0, event.spamVerdict, event.spfVerdict, event.dkimVerdict, event.dmarcVerdict
| sort @timestamp asc
| filter event.subject like /(?i)$SUBJECT/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED"
```
Anda juga dapat meminta berdasarkan ID jejak email untuk melihat semua peristiwa untuk email.
**Example Lihat email yang cocok dengan aturan alur email**
Contoh kode berikut mendemonstrasikan cara meminta email yang cocok dengan aturan aliran email keluar.
```
fields @timestamp, event.ruleName, event.ruleActions.0.action
| sort @timestamp desc
| filter event.ruleType = "OUTBOUND_RULE"
```
Contoh kode berikut mendemonstrasikan cara meminta email yang cocok dengan aturan aliran email masuk.
```
fields @timestamp, event.ruleName, event.ruleActions.0.action, event.ruleActions.0.recipients.0
| sort @timestamp desc
| filter event.ruleType = "INBOUND_RULE"
```
**Example Lihat berapa banyak email yang diterima atau dikirim oleh organisasi Anda**
Contoh kode berikut mendemonstrasikan cara meminta jumlah email yang diterima oleh setiap penerima di organisasi Anda.
```
stats count(*) as c by event.recipient
| filter event.eventName = "MAILBOX_EMAIL_DELIVERED"
| sort c desc
```
Contoh kode berikut mendemonstrasikan cara meminta jumlah email yang dikirim oleh masing-masing pengirim di organisasi Anda.
```
stats count(*) as c by event.from
| filter event.eventName = "OUTGOING_EMAIL_SUBMITTED"
| sort c desc
```
# Mencatat panggilan WorkMail API Amazon dengan AWS CloudTrail
Amazon WorkMail terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS di Amazon WorkMail. CloudTrail menangkap semua panggilan API untuk Amazon WorkMail sebagai peristiwa, termasuk panggilan dari WorkMail konsol Amazon dan dari panggilan kode ke Amazon WorkMail APIs. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara berkelanjutan ke bucket Amazon S3, termasuk acara untuk Amazon. WorkMail Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke Amazon WorkMail, alamat IP dari mana permintaan itu dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## WorkMail Informasi Amazon di CloudTrail
CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Ketika aktivitas terjadi di Amazon WorkMail, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa bersama dengan Layanan AWS peristiwa lain dalam **riwayat Peristiwa**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di situs Anda Akun AWS. Untuk informasi selengkapnya, lihat [Melihat peristiwa dengan riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk Amazon WorkMail, Anda harus membuat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi lebih lanjut, lihat:
+ [Ikhtisar untuk membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail layanan dan integrasi yang didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima file CloudTrail log dari beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua WorkMail tindakan Amazon dicatat oleh CloudTrail dan didokumentasikan dalam [Referensi WorkMail API Amazon](https://docs.aws.amazon.com/workmail/latest/APIReference/Welcome.html). Misalnya, panggilan ke `CreateUser``CreateAlias`, dan operasi `GetRawMessageContent` API menghasilkan entri dalam file CloudTrail log.
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan tersebut dibuat dengan kredensial root atau pengguna IAM.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi selengkapnya, lihat [Elemen userIdentity CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Memahami entri file WorkMail log Amazon
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Sebuah kejadian mewakili permintaan tunggal dari sumber apa pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. Berkas log CloudTrail bukan merupakan jejak tumpukan terurut dari panggilan API publik, sehingga tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateUser` tindakan dari Amazon WorkMail API.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/WMSDK",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE"
"userName": "WMSDK"
},
"eventTime": "2017-12-12T17:49:59Z",
"eventSource": "workmail.amazonaws.com",
"eventName": "CreateUser",
"awsRegion": "us-west-2",
"sourceIPAddress": "203.0.113.12",
"userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151",
"requestParameters": {
"name": "janedoe",
"displayName": "Jane Doe",
"organizationId": "m-5b1c980000EXAMPLE"
},
"responseElements": {
"userId": "a3a9176d-EXAMPLE"
},
"requestID": "dec81e4a-EXAMPLE",
"eventID": "9f2f09c5-EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateAlias` tindakan dari Amazon WorkMail API.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/WMSDK",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "WMSDK"
},
"eventTime": "2017-12-12T18:13:44Z",
"eventSource": "workmail.amazonaws.com",
"eventName": "CreateAlias",
"awsRegion": "us-west-2",
"sourceIPAddress": "203.0.113.12",
"userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151",
"requestParameters": {
"alias": "aliasjamesdoe@testofconsole.awsapps.com",
"organizationId": "m-5b1c980000EXAMPLE"
"entityId": "a3a9176d-EXAMPLE"
},
"responseElements": null,
"requestID": "dec81e4a-EXAMPLE",
"eventID": "9f2f09c5-EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `GetRawMessageContent` tindakan dari Amazon WorkMail Message Flow API.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/WMSDK",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "WMSDK"
},
"eventTime": "2017-12-12T18:13:44Z",
"eventSource": "workmailMessageFlow.amazonaws.com",
"eventName": "GetRawMessageContent",
"awsRegion": "us-west-2",
"sourceIPAddress": "203.0.113.12",
"userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151",
"requestParameters": {
"messageId": "123A4A5A-67B8-90C1-D23E-45FG67H890J1"
},
"responseElements": null,
"requestID": "dec81e4a-EXAMPLE",
"eventID": "9f2f09c5-EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
# Mengaktifkan pencatatan peristiwa email
Anda mengaktifkan pencatatan peristiwa email di WorkMail konsol Amazon untuk melacak pesan email untuk organisasi Anda. Pencatatan peristiwa email menggunakan peran AWS Identity and Access Management terkait layanan (SLR) untuk memberikan izin untuk mempublikasikan log peristiwa email ke Amazon. CloudWatch Untuk informasi selengkapnya tentang peran tertaut layanan IAM, lihat [Menggunakan peran terkait layanan untuk Amazon WorkMail](using-service-linked-roles.md).
Dalam log CloudWatch peristiwa, Anda dapat menggunakan alat CloudWatch pencarian dan metrik untuk melacak pesan dan memecahkan masalah email. Untuk informasi selengkapnya tentang log peristiwa yang WorkMail dikirimkan Amazon CloudWatch, lihat[Memantau log peristiwa WorkMail email Amazon](cw-events.md). Untuk informasi selengkapnya tentang CloudWatch Log, lihat [Panduan Pengguna CloudWatch Log Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
**Topics**
+ [Mengaktifkan pencatatan peristiwa email](#enable-tracking)
+ [Membuat grup log kustom dan IAM role untuk pencatatan peristiwa email](#custom-tracking-role)
+ [Mematikan pencatatan peristiwa email](#turn-off-tracking)
+ [Pencegahan "confused deputy" lintas layanan](#cross-service-confused-deputy-prevention)
## Mengaktifkan pencatatan peristiwa email
Berikut ini terjadi ketika Anda mengaktifkan pencatatan peristiwa email menggunakan pengaturan default, Amazon WorkMail:
+ Menciptakan peran AWS Identity and Access Management terkait layanan —. `AmazonWorkMailEvents`
+ Membuat grup CloudWatch log —`/aws/workmail/emailevents/organization-alias`.
+ Menetapkan retensi CloudWatch log ke 30 hari.
**Cara mengaktifkan pencatatan peristiwa email**
1. Buka WorkMail konsol Amazon di [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar **Pilih Wilayah** dan pilih Wilayah. Untuk informasi selengkapnya, lihat [ Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) di *Referensi Umum Amazon Web*.
1. Di panel navigasi, pilih **Organizations**, lalu pilih nama organisasi Anda.
1. Di panel navigasi, pilih **Pengaturan logging**.
1. Pilih tab **Pengaturan log alur email**.
1. Di bagian **Pengaturan log alur email**, pilih **Edit**.
1. **Pindahkan slider **Aktifkan acara email** ke posisi aktif.**
1. Lakukan salah satu tindakan berikut:
+ (Disarankan) Pilih **Gunakan pengaturan default**.
+ (Opsional) Hapus **pengaturan default Gunakan**, dan pilih **Grup Log Tujuan** dan **Peran IAM** dari daftar yang muncul.
**catatan**
Pilih opsi ini hanya jika Anda telah membuat grup log dan IAM role kustom menggunakan AWS CLI. Untuk informasi selengkapnya, lihat [Membuat grup log kustom dan IAM role untuk pencatatan peristiwa email](#custom-tracking-role).
1. Pilih **Saya mengotorisasi Amazon WorkMail untuk menerbitkan log di akun saya menggunakan konfigurasi ini**.
1. Pilih **Simpan**.
## Membuat grup log kustom dan IAM role untuk pencatatan peristiwa email
Sebaiknya gunakan pengaturan default saat mengaktifkan pencatatan peristiwa email untuk Amazon WorkMail. Jika Anda memerlukan konfigurasi pemantauan khusus, Anda dapat menggunakannya AWS CLI untuk membuat grup log khusus dan peran IAM khusus untuk pencatatan peristiwa email.
**Untuk membuat grup log dan IAM role kustom untuk pencatatan peristiwa email**
1. Gunakan AWS CLI perintah berikut untuk membuat grup log di AWS Wilayah yang sama dengan WorkMail organisasi Amazon Anda. Untuk informasi selengkapnya, lihat [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) dalam *AWS CLI Referensi Perintah*.
```
aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
```
1. Buat file yang berisi kebijakan berikut ini:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.workmail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Gunakan AWS CLI perintah berikut untuk membuat peran IAM dan lampirkan file ini sebagai dokumen kebijakan peran. Untuk informasi lebih lanjut, lihat [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) dalam *Referensi Perintah AWS CLI *.
```
aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
```
**catatan**
Jika Anda pengguna kebijakan `WorkMailFullAccess` terkelola, Anda harus menyertakan istilah `workmail` dalam nama peran. Kebijakan terkelola ini hanya memungkinkan Anda mengkonfigurasi pencatatan peristiwa email menggunakan peran dengan `workmail` dalam nama tersebut. Untuk informasi selengkapnya, lihat [Memberikan izin pengguna untuk meneruskan peran ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) di Panduan Pengguna *IAM*.
1. Buat file yang berisi kebijakan untuk peran IAM yang Anda buat di langkah sebelumnya. Minimal, kebijakan harus memberikan izin untuk peran untuk membuat pengaliran log dan menempatkan peristiwa log ke grup log yang Anda buat pada langkah 1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:example-log-group*"
}
]
}
```
------
1. Gunakan AWS CLI perintah berikut untuk melampirkan file kebijakan ke peran IAM. Untuk informasi selengkapnya, lihat [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html) dalam *AWS CLI Referensi Perintah*.
```
aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
```
## Mematikan pencatatan peristiwa email
Matikan pencatatan peristiwa email dari WorkMail konsol Amazon. Jika Anda tidak perlu lagi menggunakan pencatatan peristiwa email, sebaiknya hapus grup CloudWatch log terkait dan peran terkait layanan juga. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan untuk Amazon WorkMail](using-service-linked-roles.md#delete-slr).
**Untuk mematikan pencatatan peristiwa email**
1. Buka WorkMail konsol Amazon di [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar **Pilih Wilayah** dan pilih Wilayah. Untuk informasi selengkapnya, lihat [ Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) di *Referensi Umum Amazon Web*.
1. Di panel navigasi, pilih **Organizations**, lalu pilih nama organisasi Anda.
1. Di panel navigasi, pilih **Pemantauan**.
1. Di bagian **Pengaturan log**, pilih **Edit**.
1. Pindahkan penggeser **Aktifkan acara email** ke posisi mati.
1. Pilih **Simpan**.
## Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*).
Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain yang tidak akan memiliki izin untuk mengaksesnya.
Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan CloudWatch Log dan Amazon S3 ke layanan yang menghasilkan log. Jika Anda menggunakan kedua kunci konteks kondisi global, nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.
Nilai `aws:SourceArn` harus menjadi sumber pengiriman yang menghasilkan log. ARNs
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui.
# Mengaktifkan pencatatan audit
Anda dapat menggunakan log audit untuk menangkap informasi terperinci tentang penggunaan WorkMail organisasi Amazon Anda. Log audit dapat digunakan untuk memantau akses pengguna ke kotak pesan, mengaudit aktivitas mencurigakan, dan men-debug kontrol akses dan konfigurasi penyedia ketersediaan.
**catatan**
Kebijakan *AmazonWorkMailFullAccess*terkelola tidak mencakup semua izin yang diperlukan untuk mengelola pengiriman log. Jika Anda menggunakan kebijakan ini untuk mengelola WorkMail, pastikan prinsipal (misalnya, peran yang diasumsikan) yang digunakan untuk mengonfigurasi pengiriman log juga memiliki semua izin yang diperlukan.
Amazon WorkMail mendukung tiga tujuan pengiriman untuk log audit: CloudWatch Log, Amazon S3, dan Amazon Data Firehose. Untuk informasi selengkapnya, lihat [Logging yang memerlukan izin tambahan [V2]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) di *[Panduan Pengguna Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
Selain izin yang tercantum dalam [Logging yang memerlukan izin tambahan [V2]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html), Amazon WorkMail memerlukan izin tambahan untuk mengonfigurasi pengiriman log:. `workmail:AllowVendedLogDeliveryForResource`
Pengiriman log kerja terdiri dari tiga elemen:
+ *DeliverySource*, objek logis yang mewakili sumber daya atau sumber daya yang mengirim log. Untuk Amazon WorkMail, ini adalah WorkMail Organisasi Amazon.
+ A *DeliveryDestination*, yang merupakan objek logis yang mewakili tujuan pengiriman yang sebenarnya.
+ *Pengiriman*, yang menghubungkan sumber pengiriman ke tujuan pengiriman.
Untuk mengonfigurasi pengiriman log antara Amazon WorkMail dan tujuan, Anda dapat melakukan hal berikut:
+ Buat sumber pengiriman dengan [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html).
+ Buat tujuan pengiriman dengan [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html).
+ Jika Anda mengirimkan log lintas akun, Anda harus menggunakan [PutDeliveryDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestinationPolicy.html)di akun tujuan untuk menetapkan kebijakan IAM ke tujuan. Kebijakan ini mengizinkan pembuatan pengiriman dari sumber pengiriman di akun A ke tujuan pengiriman di akun B.
+ Buat pengiriman dengan memasangkan tepat satu sumber pengiriman dan satu tujuan pengiriman dengan menggunakan [CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html).
Bagian berikut memberikan rincian izin yang harus Anda miliki saat masuk untuk menyiapkan pengiriman log ke setiap jenis tujuan. Izin ini dapat diberikan ke peran IAM yang Anda gunakan untuk masuk.
**penting**
Anda bertanggung jawab untuk menghapus sumber daya pengiriman log setelah menghapus sumber daya penghasil log.
Untuk menghapus sumber daya pengiriman log setelah menghapus sumber daya penghasil log, ikuti langkah-langkah berikut.
1. Hapus *Pengiriman* dengan menggunakan [DeleteDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDelivery.html)operasi.
1. Hapus *DeliverySource*dengan menggunakan [DeleteDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDeliverySource.html)operasi.
1. Jika yang *DeliveryDestination*terkait dengan *DeliverySource*yang baru saja Anda hapus hanya digunakan untuk spesifik ini *DeliverySource*, maka Anda dapat menghapusnya dengan menggunakan [DeleteDeliveryDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDeliveryDestinations.html)operasi.
## Mengonfigurasi pencatatan audit menggunakan konsol Amazon WorkMail
Anda dapat mengonfigurasi pencatatan audit di WorkMail konsol Amazon:
1. Buka WorkMail konsol Amazon di [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar **Pilih Wilayah** dan pilih Wilayah. Untuk informasi selengkapnya, lihat [ Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) di *Referensi Umum Amazon Web*.
1. Di panel navigasi, pilih **Organizations**, lalu pilih nama organisasi Anda.
1. Pilih **pengaturan Logging**.
1. Pilih tab **Pengaturan log audit**.
1. Konfigurasikan pengiriman untuk jenis log yang diperlukan menggunakan widget yang sesuai.
1. Pilih **Simpan**.
## Log dikirim ke CloudWatch Log
**Izin pengguna**
Untuk mengaktifkan pengiriman CloudWatch log ke Log, Anda harus masuk dengan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:*"
]
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:us-east-1:111122223333:organization/organization-id"
]
}
]
}
```
------
**Kebijakan sumber daya grup log**
Grup log tempat log dikirim harus memiliki kebijakan sumber daya yang mencakup izin tertentu. Jika grup log saat ini tidak memiliki kebijakan sumber daya, dan pengguna yang mengatur logging memiliki`logs:PutResourcePolicy`,`logs:DescribeResourcePolicies`, dan `logs:DescribeLogGroups` izin untuk grup log, maka AWS secara otomatis membuat kebijakan berikut untuk itu ketika Anda mulai mengirim CloudWatch log ke Log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
**Pertimbangan batas ukuran kebijakan sumber daya grup log**
Layanan ini harus mencantumkan setiap grup log tempat mereka mengirim log ke dalam kebijakan sumber daya. CloudWatch Kebijakan sumber daya log dibatasi hingga 5.120 karakter. Layanan yang mengirimkan log ke sejumlah besar grup log mungkin mengalami batas ini.
Untuk mengurangi hal ini, CloudWatch Log memantau ukuran kebijakan sumber daya yang digunakan oleh layanan yang mengirim log. Ketika mendeteksi bahwa kebijakan mendekati batas ukuran 5.120 karakter, CloudWatch Log secara otomatis mengaktifkan `/aws/vendedlogs/*` kebijakan sumber daya untuk layanan tersebut. Anda kemudian dapat mulai menggunakan grup log dengan nama yang dimulai dengan `/aws/vendedlogs/` sebagai tujuan log dari layanan-layanan ini.
## Log yang dikirim ke Amazon S3
**Izin pengguna**
Untuk mengaktifkan pengiriman log ke Amazon S3, Anda harus masuk dengan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucket-name"
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:us-east-1:111122223333:organization/organization-id"
]
}
]
}
```
------
Bucket S3 tempat log dikirim harus memiliki kebijakan sumber daya yang mencakup izin tertentu. Jika bucket saat ini tidak memiliki kebijakan sumber daya dan pengguna yang menyiapkan logging memiliki izin `S3:GetBucketPolicy` dan `S3:PutBucketPolicy` izin untuk bucket, maka AWS secara otomatis membuat kebijakan berikut untuk itu saat Anda mulai mengirim log ke Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::my-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:delivery-source:*"
]
}
}
},
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::my-bucket/AWSLogs/111122223333/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:delivery-source:*"
]
}
}
}
]
}
```
------
Dalam kebijakan sebelumnya, untuk`aws:SourceAccount`, tentukan daftar akun IDs yang log dikirimkan ke bucket ini. Untuk`aws:SourceArn`, tentukan daftar ARNs sumber daya yang menghasilkan log, dalam formulir`arn:aws:logs:source-region:source-account-id:*`.
Jika bucket memiliki kebijakan sumber daya, tetapi kebijakan tersebut tidak berisi pernyataan yang ditampilkan di kebijakan sebelumnya, dan pengguna yang menyiapkan logging memiliki `S3:PutBucketPolicy` izin `S3:GetBucketPolicy` dan untuk bucket, pernyataan tersebut akan ditambahkan ke kebijakan sumber daya bucket.
**catatan**
Dalam beberapa kasus, Anda mungkin melihat `AccessDenied` kesalahan AWS CloudTrail jika `s3:ListBucket` izin belum diberikan`delivery.logs.amazonaws.com`. Untuk menghindari kesalahan ini di CloudTrail log Anda, Anda harus memberikan `s3:ListBucket` izin untuk`delivery.logs.amazonaws.com`. Anda juga harus menyertakan `Condition` parameter yang ditampilkan dengan `s3:GetBucketAcl` izin yang ditetapkan dalam kebijakan bucket sebelumnya. Untuk merampingkan ini, alih-alih membuat yang baru`Statement`, Anda dapat langsung memperbarui `AWSLogDeliveryAclCheck` menjadi`“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`.
### Enkripsi sisi server bucket Amazon S3
Anda dapat melindungi data di bucket Amazon S3 dengan mengaktifkan enkripsi sisi server dengan kunci yang dikelola Amazon S3 (SSE-S3) atau enkripsi sisi server dengan kunci yang disimpan di (SSE-KMS). AWS KMS AWS Key Management Service Untuk informasi selengkapnya, silakan lihat [ Melindungi data menggunakan enkripsi sisi server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Jika Anda memilih SSE-S3, tidak diperlukan konfigurasi tambahan. Amazon S3 menangani kunci enkripsi.
**Awas**
Jika Anda memilih SSE-KMS, Anda harus menggunakan kunci yang dikelola pelanggan, karena menggunakan Kunci yang dikelola AWS tidak didukung untuk skenario ini. Jika Anda mengatur enkripsi menggunakan kunci AWS terkelola, log akan dikirimkan dalam format yang tidak dapat dibaca.
Saat menggunakan AWS KMS kunci terkelola pelanggan, Anda dapat menentukan Nama Sumber Daya Amazon (ARN) kunci terkelola pelanggan saat mengaktifkan enkripsi bucket. Tambahkan hal berikut ke kebijakan kunci untuk kunci terkelola pelanggan Anda (bukan ke kebijakan bucket untuk bucket S3 Anda), sehingga akun pengiriman log dapat menulis ke bucket S3 Anda.
Jika Anda memilih SSE-KMS, Anda harus menggunakan kunci yang dikelola pelanggan, karena menggunakan kunci AWS terkelola tidak didukung untuk skenario ini. Saat menggunakan AWS KMS kunci terkelola pelanggan, Anda dapat menentukan Nama Sumber Daya Amazon (ARN) kunci terkelola pelanggan saat mengaktifkan enkripsi bucket. Tambahkan hal berikut ke kebijakan kunci untuk kunci terkelola pelanggan Anda (bukan ke kebijakan bucket untuk bucket S3 Anda), sehingga akun pengiriman log dapat menulis ke bucket S3 Anda.
```
{
"Sid":"Allow Logs Delivery to use the key",
"Effect":"Allow",
"Principal":{
"Service":[
"delivery.logs.amazonaws.com"
]
},
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:SourceAccount":[
"account-id"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:region:account-id:delivery-source:*"
]
}
}
}
```
Untuk`aws:SourceAccount`, tentukan daftar akun IDs tempat log dikirim ke bucket ini. Untuk`aws:SourceArn`, tentukan daftar ARNs sumber daya yang menghasilkan log, dalam formulir`arn:aws:logs:source-region:source-account-id:*`.
## Log dikirim ke Firehose
**Izin pengguna**
Untuk mengaktifkan pengiriman log ke Firehose, Anda harus masuk dengan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyFH",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/*"
]
},
{
"Sid": "CreateServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:us-east-1:111122223333:organization/organization-id"
]
}
]
}
```
------
**Peran IAM yang digunakan untuk izin sumber daya**
Karena Firehose tidak menggunakan kebijakan sumber daya, AWS menggunakan peran IAM saat menyiapkan log ini untuk dikirim ke Firehose. AWS membuat peran terkait layanan bernama. **AWSServiceRoleForLogDelivery** Peran terkait layanan ini mencakup izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "arn:aws:firehose:us-east-1:111122223333:deliverystream/workmail-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Peran terkait layanan ini memberikan izin untuk semua aliran pengiriman Firehose yang memiliki tag yang disetel ke. `LogDeliveryEnabled` `true` AWS memberikan tag ini ke aliran pengiriman tujuan saat Anda mengatur logging.
Peran terkait layanan ini juga memiliki kebijakan kepercayaan yang memungkinkan layanan `delivery.logs.amazonaws.com` utama untuk mengasumsikan peran yang terhubung dengan layanan yang diperlukan. Kebijakan kepercayaan tersebut adalah sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Izin khusus konsol
Selain izin yang tercantum di bagian sebelumnya, jika Anda menyiapkan pengiriman log menggunakan konsol, bukan APIs, Anda juga memerlukan izin berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryActions",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:*",
"arn:aws:firehose:us-east-1:111122223333:deliverystream/*",
"arn:aws:s3:::*"
]
},
{
"Sid": "ListAccessForDeliveryDestinations",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"firehose:ListDeliveryStreams",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------