终止支持通知:2027 年 3 月 31 日, AWS 将终止对亚马逊 WorkMail的支持。2027 年 3 月 31 日之后,您将无法再访问亚马逊 WorkMail 控制台或亚马逊 WorkMail 资源。有关更多信息,请参阅 [Amazon WorkMail 终止支持](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用访问控制规则
亚马逊的访问控制规则 WorkMail 允许管理员控制如何向其组织的用户和模拟角色授予访问亚马逊的权限。 WorkMail每个 Amazon WorkMail 组织都有默认的访问控制规则,该规则允许所有用户和添加到该组织中的模拟角色访问邮箱,无论他们使用哪种访问协议或 IP 地址。管理员可以编辑默认规则或将其替换为自己的规则、添加新规则或删除规则。
**警告**
如果管理员删除了组织的所有访问控制规则,Amazon 将 WorkMail阻止对该组织邮箱的所有访问权限。
管理员可以应用将根据以下条件允许或拒绝访问的访问控制规则:
+ **协议**:用于访问邮箱的协议。**示例包括**自动发现**、**EWS**、**IMAP、**SMTP **ActiveSync******、**Windows 版 Outlook** 和 Webmail。**
+ **IP 地址**:用于访问邮箱的 IPv4 CIDR 范围。
+ **Amazon WorkMail 用户**-贵组织中用于访问邮箱的用户。
+ **模拟角色**:贵组织中用于访问邮箱的模拟角色。有关更多信息,请参阅 [管理模拟角色](managing-impersonation-roles.md)。
除了用户的邮箱和文件夹权限之外,管理员还会应用访问控制规则。有关更多信息,请参阅[使用邮箱权限](mail_perms_overview.md)《*Amazon WorkMail 用户指南》*中的 “[共享文件夹和文件夹权限”](https://docs.aws.amazon.com/workmail/latest/userguide/share-folders.html)。
**注意**
启用 Windows 版 Outlook 的访问权限时,建议同时启用 Autodiscover 和 EWS 的访问权限。
访问控制规则不适用于 Amazon WorkMail 控制台或 SDK 访问权限。请改用 AWS Identity and Access Management (IAM) 角色或策略。有关更多信息,请参阅 [Amazon 的身份和访问管理 WorkMail](security-iam.md)。
## 创建访问控制规则
从 Amazon 控制台创建新的访问 WorkMail 控制规则。
**创建新的访问控制规则**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 选择 **Access control rules (访问控制规则)**。
1. 选择 **Create rule**(创建规则)。
1. 对于 **Description (描述)**,输入规则的描述。
1. 对于 **Effect (效果)**,选择 **Allow (允许)** 或 **Deny (拒绝)**。这将根据您在下一步中选择的条件来允许或拒绝访问。
1. 对于**此规则应用于符合以下条件的请求...**,选择要应用于规则的条件,例如,包含或排除特定的协议、IP 地址、用户或模拟角色。
1. (可选)如果输入 IP 地址范围、用户或模拟角色,请选择**添加**以将其添加到规则中。
1. 选择 **Create rule**(创建规则)。
## 编辑访问控制规则
从 Amazon 控制台编辑新的和默认的访问 WorkMail 控制规则。
**编辑访问控制规则**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 选择 **Access control rules (访问控制规则)**。
1. 选择要编辑的规则。
1. 选择**编辑规则**。
1. 根据需要编辑描述、效果和条件。
1. 选择**保存更改**。
**重要**
更改访问规则时,受影响的邮箱可能需要五分钟才能遵循更新的规则。在此期间,访问受影响邮箱的客户端可能会出现不一致的行为。但是,在测试规则时,您会立即看到正确的行为。有关测试规则的更多信息,请参阅下一部分中的相关步骤。
## 测试访问控制规则
要了解贵组织的访问控制规则是如何应用的,请在 Amazon WorkMail 控制台中测试这些规则。
**测试组织的访问控制规则**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 选择 **Access control rules (访问控制规则)**。
1. 选择 **Test rules (测试规则)**。
1. 对于 **Request context (请求上下文)**,选择要测试的协议。
1. 对于 **Source IP address (源 IP 地址)**,输入要测试的 IP 地址。
1. 对于**请求执行者**,选择要为其测试的**用户**或**模拟角色**。
1. 选择要为其测试的**用户**或**模拟角色**。
1. 选择**测试**。
测试结果将显示在 **Effect (效果)** 下。
## 删除访问控制规则
从 Amazon 控制台中删除您不再需要的访问 WorkMail控制规则。
**警告**
如果管理员删除了组织的所有访问控制规则,Amazon 将 WorkMail阻止对该组织邮箱的所有访问权限。
**删除访问控制规则**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 选择 **Access control rules (访问控制规则)**。
1. 选择要删除的规则。
1. 选择 **Delete rule (删除规则)**。
1. 选择**删除**。