メールボックスコンテンツのエクスポート - Amazon WorkMail
前提条件IAM ポリシーの例とロールの作成例: メールボックスコンテンツのエクスポート考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

メールボックスコンテンツのエクスポート

Amazon WorkMail API リファレンスStartMailboxExportJob API アクションを使用して Amazon WorkMail メールボックスのコンテンツを Amazon Simple Storage Service (Amazon S3) バケットにエクスポートします 。このアクションは、指定したメールボックスから Amazon S3 バケットの .zip ファイルへ、MIME 形式で、すべての E メールメッセージとカレンダーアイテムをエクスポートします。連絡先やタスクなどのその他のアイテムはエクスポートされません。

メールボックスのエクスポートジョブの終了にかかる時間は、メールボックス内のアイテムのサイズと数によって異なります。メールボックスのエクスポートジョブは一定期間にわたって行われるため、単一の時点でのメールボックスコンテンツのスナップショットを表すものではありません。エクスポートジョブのステータスを確認するには、Amazon WorkMail API リファレンスDescribeMailboxExportJob または ListMailboxExportJobs API アクションを使用してください。

メールボックスのエクスポートジョブが完了すると、Amazon S3 バケット内の.zipファイルは、指定した symmetricAWS Key Management Service(AWS KMS) カスタマーマスターキー (CMK) を使用して暗号化されます。AWS KMS暗号化は Amazon S3 と統合されているため、ユーザーが AWS KMSCMK にアクセスできる限り、復号化されたデータはダウンロードしたユーザーに表示されます。

前提条件

メールボックスコンテンツをエクスポートするための前提条件は次のとおりです。

  • プログラムする機能。

  • Amazon WorkMail 管理者アカウント。

  • Amazon S3 バケットでパブリックアクセスが許可されていないことを確認します。詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 ブロックパブリックアクセスの使用および Amazon Simple Storage Service ユーザーガイドを参照してください。

  • 対称 AWS KMSCMK。詳細については、『AWS Key Management Service デベロッパーガイド』の「使用開始」を参照してください。

  • Amazon S3 バケットに書き込み、CMK を使用して送信されたファイルを暗号化するアクセス許可を付与するポリシーを持つ AWS Identity and Access Management(IAM) AWS KMSロール。詳細については、「Amazon WorkMail で IAM が機能する仕組み」を参照してください。

IAM ポリシーの例とロールの作成

次の例は、Amazon S3 バケットに書き込み、CMK を使用して送信されたファイルを暗号化するアクセス許可を付与する IAM AWS KMSポリシーを示しています。この例のポリシーを以下の 例: メールボックスコンテンツのエクスポート 手順で使用するには、ポリシーをJSON ファイルとして mailbox-export-policy.json のファイル名で保存します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/S3-PREFIX*"
                }
            }
        }
    ]
}

次の例は、作成した IAM ロールにアタッチされている IAM 信頼ポリシーです。この例のポリシーを以下の 例: メールボックスコンテンツのエクスポート 手順で使用するには、ポリシーをJSON ファイルとして mailbox-export-trust-policy.json のファイル名で保存します。

aws:SourceArn および aws:SourceAccount の条件を同時に使用する必要はありません。たとえば、同じAWSアカウント内の異なる Amazon WorkMail 組織からメッセージをエクスポートするために同じロールを使用する必要がある場合は、ポリシーaws:SourceArnから を削除できます。条件キーの詳細については、AWS Identity and Access Management ユーザーガイドAWSグローバル条件コンテキストキーを参照してください。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

を使用してAWS CLIアカウントに IAM ロールを作成するには、次のコマンドを実行します。

aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1
aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

の詳細についてはAWS CLI、AWS Command Line Interface「 ユーザーガイド」を参照してください。

例: メールボックスコンテンツのエクスポート

前のセクションで IAM ロールとポリシーを作成したら、次のステップを実行してメールボックスのコンテンツをエクスポートします。Amazon WorkMail 組織 ID とユーザー ID (エンティティ ID) が必要です。これは、Amazon WorkMail コンソールまたは Amazon WorkMail API を使用してアクセスできます。

例: メールボックスコンテンツをエクスポートするには

  1. AWS CLIを使用してメールボックスのエクスポートジョブを開始します。

    aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name amzn-s3-demo-bucket --s3-prefix S3-PREFIX

  2. AWS CLIを使用して、Amazon WorkMail 組織のメールボックスエクスポートジョブの状態をモニタリングします。

    aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56

    または、start-mailbox-export-job コマンドによって生成されたジョブ ID を使用して、そのメールボックスエクスポートジョブの状態のみをモニタリングします。

    aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID

メールボックスのエクスポートジョブの状態が完了済みの場合、エクスポートされたメールボックスアイテムは指定した Amazon S3 バケットの .zip ファイルにあります。

以下は、エクスポートされたメールボックスの出力ログの例です。


{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}
注記

TotalNonExportableItems は、メモや連絡先などのサポートされていないアイテムです。

考慮事項

Amazon WorkMail のメールボックスジョブをエクスポートする場合は、以下の考慮事項が適用されます。

  • 特定の Amazon WorkMail 組織に対して、最大 10 個のメールボックスエクスポートジョブを同時に実行できます。

  • 1 つのメールボックスのメールボックスエクスポートジョブは、24 時間に 1 回だけ実行できます。

  • 次のリソースはすべて同じAWSリージョンに存在する必要があります。

    • Amazon WorkMail 組織ごとのユーザー組織

    • AWS KMSCMK

    • Amazon S3 バケット