サポート終了通知: 2027 年 3 月 31 日、 AWS は Amazon WorkMail のサポートを終了します。2027 年 3 月 31 日以降、Amazon WorkMail コンソールまたは Amazon WorkMail リソースにアクセスできなくなります。詳細については、[Amazon WorkMail のサポート終了](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# メールボックスコンテンツのエクスポート
<a name="mail-export"></a>

*Amazon WorkMail API リファレンス*で [StartMailboxExportJob](https://docs.aws.amazon.com/workmail/latest/APIReference/API_StartMailboxExportJob.html) API アクションを使用して Amazon WorkMail メールボックスのコンテンツを Amazon Simple Storage Service (Amazon S3) バケットにエクスポートします 。このアクションは、指定したメールボックスから Amazon S3 バケットの `.zip` ファイルへ、MIME 形式で、すべての E メールメッセージとカレンダーアイテムをエクスポートします。連絡先やタスクなどのその他のアイテムはエクスポートされません。

メールボックスのエクスポートジョブの終了にかかる時間は、メールボックス内のアイテムのサイズと数によって異なります。メールボックスのエクスポートジョブは一定期間にわたって行われるため、単一の時点でのメールボックスコンテンツのスナップショットを表すものではありません。エクスポートジョブのステータスを確認するには、*Amazon WorkMail API リファレンス*の [DescribeMailboxExportJob](https://docs.aws.amazon.com/workmail/latest/APIReference/API_DescribeMailboxExportJob.html) または [ListMailboxExportJobs](https://docs.aws.amazon.com/workmail/latest/APIReference/API_ListMailboxExportJobs.html) API アクションを使用してください。

メールボックスのエクスポートジョブが完了すると、Amazon S3 バケット内の`.zip`ファイルは、指定した symmetric AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) を使用して暗号化されます。 AWS KMS 暗号化は Amazon S3 と統合されているため、ユーザーが AWS KMS CMK にアクセスできる限り、復号されたデータはダウンロードしたユーザーに表示されます。

## 前提条件
<a name="export-prereqs"></a>

メールボックスコンテンツをエクスポートするための前提条件は次のとおりです。
+ プログラムする機能。
+ Amazon WorkMail 管理者アカウント。
+ Amazon S3 バケットでパブリックアクセスが許可されていないことを確認します。詳細については、*Amazon Simple Storage Service ユーザーガイド*の [Amazon S3 ブロックパブリックアクセスの使用](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)および *[Amazon Simple Storage Service ユーザーガイド](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)*を参照してください。
+ 対称 AWS KMS CMK。詳細については、『*AWS Key Management Service デベロッパーガイド*』の「[使用開始](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)」を参照してください。
+ Amazon S3 バケットに書き込み、CMK を使用して送信されたファイルを暗号化するアクセス許可を付与するポリシーを持つ AWS Identity and Access Management (IAM) AWS KMS ロール。詳細については、「[Amazon WorkMail で IAM が機能する仕組み](security_iam_service-with-iam.md)」を参照してください。

## IAM ポリシーの例とロールの作成
<a name="example-export-iam"></a>

次の例は、Amazon S3 バケットに書き込み、CMK を使用して送信されたファイルを暗号化するアクセス許可を付与する IAM AWS KMS ポリシーを示しています。この例のポリシーを以下の [例: メールボックスコンテンツのエクスポート](#example-export-mailbox) 手順で使用するには、ポリシーをJSON ファイルとして `mailbox-export-policy.json` のファイル名で保存します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{KEY-ID}}"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.{{us-east-1}}.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/{{S3-PREFIX}}*"
                }
            }
        }
    ]
}
```

------

次の例は、作成した IAM ロールにアタッチされている IAM 信頼ポリシーです。この例のポリシーを以下の [例: メールボックスコンテンツのエクスポート](#example-export-mailbox) 手順で使用するには、ポリシーをJSON ファイルとして `mailbox-export-trust-policy.json` のファイル名で保存します。

`aws:SourceArn` および `aws:SourceAccount` の条件を同時に使用する必要はありません。たとえば、同じ AWS アカウント内の異なる Amazon WorkMail 組織からメッセージをエクスポートするために同じロールを使用する必要がある場合は、ポリシー`aws:SourceArn`から を削除できます。条件キーの詳細については、*AWS Identity and Access Management ユーザーガイド*の [AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)を参照してください。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "{{111122223333}}"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:{{us-east-1}}:{{111122223333}}:organization/{{m-a123b4c5de678fg9h0ij1k2lm234no56}}"
        }
      }
    }
  ]
}
```

------

を使用して AWS CLI アカウントに IAM ロールを作成するには、次のコマンドを実行します。

```
aws iam create-role --role-name {{WorkmailMailboxExportRole}} --assume-role-policy-document {{file://mailbox-export-trust-policy.json}} --region {{us-east-1}}
```

```
aws iam put-role-policy --role-name {{WorkmailMailboxExportRole}} --policy-name {{MailboxExport}} --policy-document {{file://mailbox-export-policy.json}}
```

の詳細については AWS CLI、[AWS Command Line Interface 「 ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。

## 例: メールボックスコンテンツのエクスポート
<a name="example-export-mailbox"></a>

前のセクションで IAM ロールとポリシーを作成したら、次のステップを実行してメールボックスのコンテンツをエクスポートします。Amazon WorkMail 組織 ID とユーザー ID (エンティティ ID) が必要です。これは、Amazon WorkMail コンソールまたは Amazon WorkMail API を使用してアクセスできます。

**例: メールボックスコンテンツをエクスポートするには**

1. を使用してメールボックスのエクスポートジョブ AWS CLI を開始します。

   ```
   aws workmail start-mailbox-export-job --organization-id {{m-a123b4c5de678fg9h0ij1k2lm234no56}} --entity-id {{S-1-1-11-1111111111-2222222222-3333333333-3333}} --kms-key-arn arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{KEY-ID}} --role-arn arn:aws:iam::{{111122223333}}:role/{{WorkmailMailboxExportRole}} --s3-bucket-name {{amzn-s3-demo-bucket}} --s3-prefix {{S3-PREFIX}}
   ```

1. を使用して AWS CLI 、Amazon WorkMail 組織のメールボックスエクスポートジョブの状態をモニタリングします。

   ```
   aws workmail list-mailbox-export-jobs --organization-id {{m-a123b4c5de678fg9h0ij1k2lm234no56}}
   ```

   または、**start-mailbox-export-job** コマンドによって生成されたジョブ ID を使用して、そのメールボックスエクスポートジョブの状態のみをモニタリングします。

   ```
   aws workmail describe-mailbox-export-job --organization-id {{m-a123b4c5de678fg9h0ij1k2lm234no56}} --job-id {{JOB-ID}}
   ```

メールボックスのエクスポートジョブの状態が**完了済み**の場合、エクスポートされたメールボックスアイテムは指定した Amazon S3 バケットの `.zip` ファイルにあります。

以下は、エクスポートされたメールボックスの出力ログの例です。

```
{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}
```

**注記**  
*TotalNonExportableItems* は、メモや連絡先などのサポートされていないアイテムです。

## 考慮事項
<a name="export-considerations"></a>

Amazon WorkMail のメールボックスジョブをエクスポートする場合は、以下の考慮事項が適用されます。
+ 特定の Amazon WorkMail 組織に対して、最大 10 個のメールボックスエクスポートジョブを同時に実行できます。
+ 1 つのメールボックスのメールボックスエクスポートジョブは、24 時間に 1 回だけ実行できます。
+ 次のリソースはすべて同じ AWS リージョンに存在する必要があります。
  + Amazon WorkMail 組織ごとのユーザー組織
  + AWS KMS CMK
  + Amazon S3 バケット