Habilitar o registro de eventos de e-mail - Amazon WorkMail
Ativar o registro em log de eventos de e-mailCriar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mailDesativar o registro em log de eventos de e-mailPrevenção contra o ataque do “substituto confuso” em todos os serviços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o registro de eventos de e-mail

Você ativa o registro de eventos de e-mail no WorkMail console da Amazon para rastrear mensagens de e-mail da sua organização. O registro de eventos de e-mail usa uma função AWS Identity and Access Management vinculada ao serviço (SLR) para conceder permissões para publicar os registros de eventos de e-mail na Amazon. CloudWatch Para obter mais informações sobre funções vinculadas ao serviço do IAM, consulte Usando funções vinculadas a serviços para a Amazon WorkMail.

Nos registros de CloudWatch eventos, você pode usar ferramentas e métricas de CloudWatch pesquisa para rastrear mensagens e solucionar problemas de e-mail. Para obter mais informações sobre os registros de eventos que a Amazon WorkMail envia para CloudWatch, consulteMonitorando registros WorkMail de eventos de e-mail da Amazon. Para obter mais informações sobre CloudWatch registros, consulte o Guia do usuário do Amazon CloudWatch Logs.

Ativar o registro em log de eventos de e-mail

O seguinte ocorre quando você ativa o registro de eventos por e-mail usando as configurações padrão da Amazon WorkMail:

  • Cria uma função AWS Identity and Access Management vinculada ao serviço —. AmazonWorkMailEvents

  • Cria um grupo de CloudWatch registros —/aws/workmail/emailevents/organization-alias.

  • Define a retenção de CloudWatch registros para 30 dias.

Como ativar o registro de eventos de e-mail em log

  1. Abra o WorkMail console da Amazon em https://console.aws.amazon.com/workmail/.

    Se necessário, altere a AWS região. Na barra na parte superior da janela do console, abra a lista Selecionar uma região e escolha uma região. Para obter mais informações, consulte Regiões e endpoints na Referência geral da Amazon Web Services.

  2. No painel de navegação, selecione Organizações e, em seguida, escolha o nome da organização.

  3. No painel de navegação à esquerda, escolha Configurações de registro.

  4. Escolha a guia Configurações do registro de fluxo de e-mail.

  5. Na seção Configurações de log de fluxo de e-mail, escolha Editar.

  6. Mova o controle deslizante Habilitar eventos de e-mail para a posição ativado.

  7. Execute um destes procedimentos:

  8. Selecione Eu autorizo WorkMail a Amazon a publicar registros em minha conta usando essa configuração.

  9. Escolha Salvar.

Criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail

Recomendamos usar as configurações padrão ao ativar o registro de eventos por e-mail para a Amazon WorkMail. Se você precisar de uma configuração de monitoramento personalizada, poderá usar o AWS CLI para criar um grupo de registros dedicado e uma função personalizada do IAM para o registro de eventos de e-mail.

Para criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail

  1. Use o AWS CLI comando a seguir para criar um grupo de registros na mesma AWS região da sua WorkMail organização Amazon. Para obter mais informações, consulte create-log-group na Referência de comandos da AWS CLI.

    aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

  2. Crie um arquivo contendo a seguinte política:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. Use o AWS CLI comando a seguir para criar uma função do IAM e anexar esse arquivo como documento de política da função. Para obter mais informações, consulte create-role na Referência de comandos da AWS CLI.

    aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
    nota

    Se você for um usuário da política gerenciada WorkMailFullAccess, deverá incluir o termo workmail no nome da função. Essa política gerenciada somente permite configurar registros de eventos de e-mail usando funções com workmail no nome. Para obter mais informações, consulte Conceder permissões a um usuário para passar uma função para um AWS serviço no Guia do usuário do IAM.

  4. Crie um arquivo contendo a política para o perfil do IAM que você criou na etapa anterior. No mínimo, a política deve conceder permissões à função para criar fluxos de log e colocar eventos no grupo de logs criado na etapa 1.

  5. Use o AWS CLI comando a seguir para anexar o arquivo de política à função do IAM. Para obter mais informações, consulte put-role-policy na Referência de comandos da AWS CLI.

    aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

Desativar o registro em log de eventos de e-mail

Desative o registro de eventos por e-mail no WorkMail console da Amazon. Se você não precisar mais usar o registro de eventos de e-mail, recomendamos que você exclua também o grupo de CloudWatch registros relacionado e a função vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço para a Amazon WorkMail.

Para desativar o registro de eventos de e-mail

  1. Abra o WorkMail console da Amazon em https://console.aws.amazon.com/workmail/.

    Se necessário, altere a AWS região. Na barra na parte superior da janela do console, abra a lista Selecionar uma região e escolha uma região. Para obter mais informações, consulte Regiões e endpoints na Referência geral da Amazon Web Services.

  2. No painel de navegação, selecione Organizações e, em seguida, escolha o nome da organização.

  3. No painel de navegação, escolha Monitoring (Monitoramento).

  4. Na seção Configurações de log, escolha Editar.

  5. Mova o controle deslizante Habilitar eventos de e-mail para a posição desativado.

  6. Escolha Salvar.

Prevenção contra o ataque do “substituto confuso” em todos os serviços

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. EmAWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado).

O serviço que realiza a chamada pode ser manipulado para usar suas permissões e agir sobre os recursos de outro cliente aos quais, de outra forma, não teria permissão de acessar.

Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.

Recomendamos usar as chaves de contexto de condição aws:SourceAccountglobal aws:SourceArne as chaves de contexto nas políticas de recursos para limitar as permissões que a CloudWatch Logs e o Amazon S3 concedem aos serviços que estão gerando registros. Se você usar ambas as chaves de contexto de condição global, os valores devem usar o mesmo ID de conta quando utilizados na mesma declaração de política.

Os valores de aws:SourceArn devem ser os ARNs das fontes de entrega que estão gerando registros.

A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave de contexto de condição global aws:SourceArn com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se estiver especificando vários recursos, use a chave da condição de contexto global aws:SourceArn com curingas (*) para as partes desconhecidas do ARN.