

Aviso de fim do suporte: em 31 de março de 2027, AWS encerrará o suporte para a Amazon WorkMail. Depois de 31 de março de 2027, você não poderá mais acessar o WorkMail console da Amazon ou os WorkMail recursos da Amazon. Para obter mais informações, consulte [ WorkMail Fim do suporte da Amazon](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitar o registro de eventos de e-mail
<a name="tracking"></a>

Você ativa o registro de eventos por e-mail no WorkMail console da Amazon para rastrear mensagens de e-mail da sua organização. O registro de eventos de e-mail usa uma função AWS Identity and Access Management vinculada ao serviço (SLR) para conceder permissões para publicar os registros de eventos de e-mail na Amazon. CloudWatch Para obter mais informações sobre funções vinculadas ao serviço do IAM, consulte [Usando funções vinculadas a serviços para a Amazon WorkMail](using-service-linked-roles.md).

Nos registros de CloudWatch eventos, você pode usar ferramentas e métricas de CloudWatch pesquisa para rastrear mensagens e solucionar problemas de e-mail. Para obter mais informações sobre os registros de eventos que a Amazon WorkMail envia para CloudWatch, consulte[Monitorando registros WorkMail de eventos de e-mail da Amazon](cw-events.md). Para obter mais informações sobre CloudWatch registros, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).

**Topics**
+ [Ativar o registro em log de eventos de e-mail](#enable-tracking)
+ [Criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail](#custom-tracking-role)
+ [Desativar o registro em log de eventos de e-mail](#turn-off-tracking)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](#cross-service-confused-deputy-prevention)

## Ativar o registro em log de eventos de e-mail
<a name="enable-tracking"></a>

O seguinte ocorre quando você ativa o registro de eventos por e-mail usando as configurações padrão da Amazon WorkMail:
+ Cria uma função AWS Identity and Access Management vinculada ao serviço —. `AmazonWorkMailEvents`
+ Cria um grupo de CloudWatch registros —`/aws/workmail/emailevents/organization-alias`.
+ Define a retenção de CloudWatch registros para 30 dias.

**Como ativar o registro de eventos de e-mail em log**

1. Abra o WorkMail console da Amazon em [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   Se necessário, altere a AWS região. Na barra na parte superior da janela do console, abra a lista **Selecionar uma região** e escolha uma região. Para obter mais informações, consulte [Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) na *Referência geral da Amazon Web Services*.

1. No painel de navegação, selecione **Organizações** e, em seguida, escolha o nome da organização.

1. No painel de navegação à esquerda, escolha **Configurações de registro**.

1. Escolha a guia **Configurações do registro de fluxo de e-mail**. 

1. Na seção **Configurações de log de fluxo de e-mail**, escolha **Editar**.

1. Mova o controle deslizante **Habilitar eventos de e-mail** para a posição **ativado**.

1. Execute um destes procedimentos:
   + (Recomendado) Escolha **Usar configurações padrão**.
   + (Opcional) Desmarque **Usar as configurações padrão** e selecione um **Grupo de logs de destino** e um **Perfil do IAM** da lista que for exibida.
**nota**  
Escolha essa opção somente se você já criou um grupo de logs e um perfil do IAM personalizado usando a AWS CLI. Para obter mais informações, consulte [Criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail](#custom-tracking-role).

1. Selecione **Eu autorizo WorkMail a Amazon a publicar registros em minha conta usando essa configuração**.

1. Escolha **Salvar**.

## Criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail
<a name="custom-tracking-role"></a>

Recomendamos usar as configurações padrão ao ativar o registro de eventos por e-mail para a Amazon WorkMail. Se você precisar de uma configuração de monitoramento personalizada, poderá usar o AWS CLI para criar um grupo de registros dedicado e uma função personalizada do IAM para o registro de eventos de e-mail.

**Para criar um grupo de logs e um perfil do IAM personalizados para o registro em log de eventos de e-mail**

1. Use o AWS CLI comando a seguir para criar um grupo de registros na mesma AWS região da sua WorkMail organização Amazon. Para obter mais informações, consulte [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) na *Referência de comandos da AWS CLI *.

   ```
   aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
   ```

1. Crie um arquivo contendo a seguinte política:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "events.workmail.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Use o AWS CLI comando a seguir para criar uma função do IAM e anexar esse arquivo como documento de política da função. Para obter mais informações, consulte [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) na *Referência de comandos da AWS CLI *.

   ```
   aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
   ```
**nota**  
Se você for um usuário da política gerenciada `WorkMailFullAccess`, deverá incluir o termo `workmail` no nome da função. Essa política gerenciada somente permite configurar registros de eventos de e-mail usando funções com `workmail` no nome. Para obter mais informações, consulte [Conceder permissões a um usuário para passar uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) no *Guia do usuário do IAM*.

1. Crie um arquivo contendo a política para o perfil do IAM que você criou na etapa anterior. No mínimo, a política deve conceder permissões à função para criar fluxos de log e colocar eventos no grupo de logs criado na etapa 1.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:example-log-group*"
           }
       ]
   }
   ```

------

1. Use o AWS CLI comando a seguir para anexar o arquivo de política à função do IAM. Para obter mais informações, consulte [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html) na *Referência de comandos da AWS CLI *.

   ```
   aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
   ```

## Desativar o registro em log de eventos de e-mail
<a name="turn-off-tracking"></a>

Desative o registro de eventos por e-mail no WorkMail console da Amazon. Se você não precisar mais usar o registro de eventos de e-mail, recomendamos que você exclua também o grupo de CloudWatch registros relacionado e a função vinculada ao serviço. Para obter mais informações, consulte [Excluindo uma função vinculada ao serviço para a Amazon WorkMail](using-service-linked-roles.md#delete-slr).

**Para desativar o registro de eventos de e-mail**

1. Abra o WorkMail console da Amazon em [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   Se necessário, altere a AWS região. Na barra na parte superior da janela do console, abra a lista **Selecionar uma região** e escolha uma região. Para obter mais informações, consulte [Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) na *Referência geral da Amazon Web Services*.

1. No painel de navegação, selecione **Organizações** e, em seguida, escolha o nome da organização.

1. No painel de navegação, escolha **Monitoring (Monitoramento)**.

1. Na seção **Configurações de log**, escolha **Editar**.

1. Mova o controle deslizante **Habilitar eventos de e-mail** para a posição desativado.

1. Escolha **Salvar**.

## Prevenção contra o ataque do “substituto confuso” em todos os serviços
<a name="cross-service-confused-deputy-prevention"></a>

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). 

O serviço que realiza a chamada pode ser manipulado para usar suas permissões e agir sobre os recursos de outro cliente aos quais, de outra forma, não teria permissão de acessar. 

 Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta. 

Recomendamos usar as [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global nas políticas de recursos para limitar as permissões que a CloudWatch Logs e o Amazon S3 concedem aos serviços que estão gerando registros. Se você usar ambas as chaves de contexto de condição global, os valores devem usar o mesmo ID de conta quando utilizados na mesma declaração de política.

Os valores de `aws:SourceArn` devem ser os ARNs das fontes de entrega que estão gerando registros.

A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se estiver especificando vários recursos, use a chave da condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN.