

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Abilitazione della registrazione degli eventi via e-mail
<a name="tracking"></a>

Abilita la registrazione degli eventi e-mail nella WorkMail console Amazon per tenere traccia dei messaggi e-mail per la tua organizzazione. La registrazione degli eventi e-mail utilizza un ruolo AWS Identity and Access Management collegato al servizio (SLR) per concedere le autorizzazioni per pubblicare i registri degli eventi e-mail su Amazon. CloudWatch Per ulteriori informazioni sui ruoli collegati ai servizi IAM, consulta. [Utilizzo di ruoli collegati ai servizi per Amazon WorkMail](using-service-linked-roles.md)

Nei registri degli CloudWatch eventi, puoi utilizzare strumenti e metriche di CloudWatch ricerca per tenere traccia dei messaggi e risolvere i problemi relativi alle e-mail. Per ulteriori informazioni sui registri degli eventi a cui Amazon WorkMail invia CloudWatch, consulta[Monitoraggio dei registri degli eventi WorkMail e-mail di Amazon](cw-events.md). Per ulteriori informazioni sui CloudWatch log, consulta la [Amazon CloudWatch Logs User](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/) Guide.

**Topics**
+ [Per disattivare la registrazione degli eventi e-mail](#enable-tracking)
+ [Creazione di un gruppo di log personalizzato e di un ruolo IAM per la registrazione degli eventi via e-mail](#custom-tracking-role)
+ [Per disattivare la registrazione degli eventi e-mail](#turn-off-tracking)
+ [Prevenzione del confused deputy tra servizi](#cross-service-confused-deputy-prevention)

## Per disattivare la registrazione degli eventi e-mail
<a name="enable-tracking"></a>

Quando attivi la registrazione degli eventi e-mail utilizzando le impostazioni predefinite, Amazon WorkMail, si verifica quanto segue:
+ Crea un ruolo AWS Identity and Access Management collegato al servizio —. `AmazonWorkMailEvents`
+ Crea un gruppo di CloudWatch log —. `/aws/workmail/emailevents/organization-alias`
+ Imposta la conservazione dei CloudWatch log su 30 giorni.

**Per attivare la registrazione degli eventi e-mail**

1. Apri la WorkMail console Amazon all'indirizzo [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   Se necessario, cambia la AWS regione. Nella barra nella parte superiore della finestra della console, apri l'elenco **Seleziona una regione** e scegli una regione. Per ulteriori informazioni, consulta la sezione relativa a [regioni ed endpoint ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) nella *Riferimenti generali di Amazon Web Services*.

1. Nel riquadro di navigazione, scegli **Organizations**, quindi scegli il nome della tua organizzazione.

1. Nel riquadro di navigazione, scegli **Impostazioni di registrazione**.

1. Scegli la scheda **Impostazioni del registro del flusso di posta elettronica**. 

1. Nella sezione **Impostazioni del registro del flusso di posta elettronica**, scegli **Modifica**.

1. **Sposta il cursore Abilita eventi** di posta elettronica in posizione **Attiva**.

1. Esegui una delle seguenti operazioni:
   + (Consigliato) Scegliete **Usa impostazioni predefinite**.
   + (Facoltativo) Cancella le **impostazioni Use default** e seleziona un **gruppo di log di destinazione** e un **ruolo IAM** dagli elenchi visualizzati.
**Nota**  
Scegli questa opzione solo se hai già creato un gruppo di log e un ruolo IAM personalizzato utilizzando AWS CLI. Per ulteriori informazioni, consulta [Creazione di un gruppo di log personalizzato e di un ruolo IAM per la registrazione degli eventi via e-mail](#custom-tracking-role).

1. Seleziona **Autorizzo Amazon WorkMail a pubblicare i log nel mio account utilizzando questa configurazione**.

1. Scegli **Save** (Salva).

## Creazione di un gruppo di log personalizzato e di un ruolo IAM per la registrazione degli eventi via e-mail
<a name="custom-tracking-role"></a>

Ti consigliamo di utilizzare le impostazioni predefinite quando abiliti la registrazione degli eventi e-mail per Amazon WorkMail. Se hai bisogno di una configurazione di monitoraggio personalizzata, puoi utilizzare la AWS CLI per creare un gruppo di log dedicato e un ruolo IAM personalizzato per la registrazione degli eventi via e-mail.

**Per creare un gruppo di log personalizzato e un ruolo IAM per la registrazione degli eventi via e-mail**

1. Usa il seguente AWS CLI comando per creare un gruppo di log nella stessa AWS regione della tua WorkMail organizzazione Amazon. Per ulteriori informazioni, consulta [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) nella *documentazione di riferimento dei comandi della AWS CLI *.

   ```
   aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
   ```

1. Creare un file contenente la seguente policy:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "events.workmail.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Utilizza il AWS CLI comando seguente per creare un ruolo IAM e allegare questo file come documento relativo alla politica del ruolo. Per ulteriori informazioni, consulta [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) nella *Guida di riferimento ai comandi di AWS CLI *.

   ```
   aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
   ```
**Nota**  
Se sei un utente di policy `WorkMailFullAccess` gestite, devi includere il termine `workmail` nel nome del ruolo. Questa policy gestita consente solo di configurare la registrazione degli eventi e-mail utilizzando i ruoli con `workmail` nel nome. Per ulteriori informazioni, consulta [Concedere a un utente le autorizzazioni per passare un ruolo a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) per l'*utente IAM*.

1. Crea un file contenente la policy per il ruolo IAM che hai creato nel passaggio precedente. La policy deve concedere al ruolo almeno le autorizzazioni per creare flussi di log e inserire gli eventi di log nel gruppo di log creato al passaggio 1.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:example-log-group*"
           }
       ]
   }
   ```

------

1. Utilizza il AWS CLI comando seguente per allegare il file di policy al ruolo IAM. Per ulteriori informazioni, consulta [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html) nella *documentazione di riferimento dei comandi della AWS CLI *.

   ```
   aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
   ```

## Per disattivare la registrazione degli eventi e-mail
<a name="turn-off-tracking"></a>

Disattiva la registrazione degli eventi e-mail dalla WorkMail console Amazon. Se non hai più bisogno di utilizzare la registrazione degli eventi via e-mail, ti consigliamo di eliminare anche il gruppo di CloudWatch log correlato e il ruolo collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione di un ruolo collegato al servizio per Amazon WorkMail](using-service-linked-roles.md#delete-slr).

**Per disattivare la registrazione degli eventi e-mail**

1. Apri la WorkMail console Amazon all'indirizzo [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   Se necessario, cambia la AWS regione. Nella barra nella parte superiore della finestra della console, apri l'elenco **Seleziona una regione** e scegli una regione. Per ulteriori informazioni, consulta la sezione relativa a [regioni ed endpoint ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) nella *Riferimenti generali di Amazon Web Services*.

1. Nel riquadro di navigazione, scegli **Organizations**, quindi scegli il nome della tua organizzazione.

1. Nel riquadro di navigazione, scegli **Monitoring (Monitoraggio)**.

1. Nella sezione **Impostazioni del registro**, scegli **Modifica**.

1. **Sposta il cursore Abilita eventi** di posta elettronica in posizione OFF.

1. Scegli **Save** (Salva).

## Prevenzione del confused deputy tra servizi
<a name="cross-service-confused-deputy-prevention"></a>

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). 

Il servizio di chiamata può essere manipolato in modo da utilizzare le sue autorizzazioni per agire su risorse di un altro cliente a cui altrimenti non avrebbe l'autorizzazione di accedere. 

 Per evitare che ciò accada, AWS fornisce strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del tuo account. 

Consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle politiche delle risorse per limitare le autorizzazioni concesse da CloudWatch Logs e Amazon S3 ai servizi che generano i log. Se utilizzi entrambe le chiavi di contesto della condizione globale, i valori devono utilizzare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica.

I valori di `aws:SourceArn` devono essere quelli ARNs delle fonti di consegna che generano i log.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale `aws:SourceArn` con caratteri speciali (`*`) per le parti sconosciute dell'ARN.