启用电子邮件事件日志记录 - Amazon WorkMail
启用电子邮件事件日志记录创建自定义日志组和 IAM 角色以进行电子邮件事件日志记录关闭电子邮件事件日志记录防止跨服务混淆座席

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用电子邮件事件日志记录

您可以在 Amazon WorkMail 控制台中启用电子邮件事件记录,以便跟踪贵组织的电子邮件。电子邮件事件记录使用AWS Identity and Access Management服务相关角色 (SLR) 授予将电子邮件事件日志发布到 Amazon 的权限。 CloudWatch有关 IAM 服务相关角色的更多信息,请参阅使用适用于 Amazon 的服务相关角色 WorkMail

在 CloudWatch 事件日志中,您可以使用 CloudWatch 搜索工具和指标来跟踪消息并解决电子邮件问题。有关 Amazon WorkMail 发送到的事件日志的更多信息 CloudWatch,请参阅监控 Amazon WorkMail 电子邮件事件日志。有关 CloudWatch 日志的更多信息,请参阅 Amazon CloudWatch 日志用户指南

启用电子邮件事件日志记录

当您使用默认设置(Amazon)开启电子邮件事件记录时,会出现以下情况 WorkMail:

  • 创建AWS Identity and Access Management服务相关角色-AmazonWorkMailEvents.

  • 创建 CloudWatch 日志组 — /aws/workmail/emailevents/organization-alias

  • 将 CloudWatch 日志保留时间设置为 30 天。

启用电子邮件事件日志记录

  1. 打开 Amazon WorkMail 控制台,网址为https://console.aws.amazon.com/workmail/

    如有必要,请更改AWS区域。在控制台窗口顶部的栏中,打开选择区域列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的区域和端点

  2. 在导航窗格中,选择组织,然后选择贵组织的名称。

  3. 在导航窗格中,选择日志记录设置

  4. 选择电子邮件流日志设置选项卡。

  5. 电子邮件流日志设置部分中,选择编辑

  6. 启用邮件事件滑块移到开启位置。

  7. 请执行以下操作之一:

  8. 选择我授权 Amazon WorkMail 使用此配置在我的账户中发布日志

  9. 选择保存

创建自定义日志组和 IAM 角色以进行电子邮件事件日志记录

我们建议在为 Amazon 启用电子邮件事件记录时使用默认设置 WorkMail。如果您需要自定义监控配置,则可以使用创建用于电子邮件事件记录的专用日志组和自定义 IAM 角色。AWS CLI

创建自定义日志组和 IAM 角色以进行电子邮件事件日志记录

  1. 使用以下AWS CLI命令在与您的 Amazon WorkMail 组织相同的AWS区域中创建日志组。有关更多信息,请参阅《AWS CLI Command Reference》中的 create-log-group

    aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

  2. 创建一个文件,其中包含以下策略:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 使用以下AWS CLI命令创建 IAM 角色并将此文件作为角色策略文档附加。有关更多信息,请参阅《AWS CLI 命令参考》中的 create-role

    aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
    注意

    如果您是 WorkMailFullAccess 托管式策略用户,您必须在角色名称中包括术语 workmail。此托管策略仅允许您使用名称中带有 workmail 的角色配置电子邮件事件日志记录。有关更多信息,请参阅 IAM 用户指南中的授予用户向AWS服务传递角色的权限

  4. 创建一个文件,其中包含您在上一步中创建的 IAM 角色的策略。至少,该策略必须向角色授予权限,使该角色可以创建日志流并将日志事件放入您在第 1 步创建的日志组。

  5. 使用以下AWS CLI命令将策略文件附加到 IAM 角色。有关更多信息,请参阅《AWS CLI Command Reference》中的 put-role-policy

    aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

关闭电子邮件事件日志记录

从 Amazon WorkMail 控制台关闭电子邮件事件记录。如果您不再需要使用电子邮件事件日志记录,我们建议您同时删除相关的 CloudWatch 日志组和服务相关角色。有关更多信息,请参阅 删除 Amazon 的服务相关角色 WorkMail

关闭电子邮件事件日志记录

  1. 打开 Amazon WorkMail 控制台,网址为https://console.aws.amazon.com/workmail/

    如有必要,请更改AWS区域。在控制台窗口顶部的栏中,打开选择区域列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的区域和端点

  2. 在导航窗格中,选择组织,然后选择贵组织的名称。

  3. 在导航窗格中,选择 Monitoring (监控)

  4. 日志设置部分中,选择编辑

  5. 启用邮件事件滑块移动到“关闭”位置。

  6. 选择保存

防止跨服务混淆座席

混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(呼叫服务)调用另一项服务(所谓的服务)时,可能会发生跨服务模拟。

可以操纵调用服务以使用其权限对另一个客户的资源进行操作(该服务原本不应拥有访问权限)。

为了防止这种情况,我们AWS提供了一些工具,帮助您保护所有服务的数据,这些服务委托人已被授予对您账户中资源的访问权限。

我们建议在资源策略中使用aws:SourceArnaws:SourceAccount全局条件上下文密钥来限制 CloudWatch 日志和 Amazon S3 向生成日志的服务授予的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,这些值必须使用相同的账户 ID。

的值aws:SourceArn必须是生成日志 ARNs 的传输源的值。

防范混淆代理问题最有效的方法是使用 aws:SourceArn 全局条件上下文键和资源的完整 ARN。如果您不知道资源的完整 ARN,或正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (*) 的 aws:SourceArn 全局上下文条件键。