终止支持通知:2027 年 3 月 31 日, AWS 将终止对亚马逊 WorkMail的支持。2027 年 3 月 31 日之后,您将无法再访问亚马逊 WorkMail 控制台或亚马逊 WorkMail 资源。有关更多信息,请参阅 [Amazon WorkMail 终止支持](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 启用电子邮件事件日志记录
您可以在 Amazon WorkMail 控制台中启用电子邮件事件记录,以便跟踪贵组织的电子邮件。电子邮件事件记录使用 AWS Identity and Access Management 服务相关角色 (SLR) 授予将电子邮件事件日志发布到 Amazon 的权限。 CloudWatch有关 IAM 服务相关角色的更多信息,请参阅[使用适用于 Amazon 的服务相关角色 WorkMail](using-service-linked-roles.md)。
在 CloudWatch 事件日志中,您可以使用 CloudWatch 搜索工具和指标来跟踪消息并解决电子邮件问题。有关 Amazon WorkMail 发送到的事件日志的更多信息 CloudWatch,请参阅[监控 Amazon WorkMail 电子邮件事件日志](cw-events.md)。有关 CloudWatch 日志的更多信息,请参阅 [Amazon CloudWatch 日志用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)。
**Topics**
+ [启用电子邮件事件日志记录](#enable-tracking)
+ [创建自定义日志组和 IAM 角色以进行电子邮件事件日志记录](#custom-tracking-role)
+ [关闭电子邮件事件日志记录](#turn-off-tracking)
+ [防止跨服务混淆座席](#cross-service-confused-deputy-prevention)
## 启用电子邮件事件日志记录
当您使用默认设置(Amazon)开启电子邮件事件记录时,会出现以下情况 WorkMail:
+ 创建 AWS Identity and Access Management 服务相关角色-`AmazonWorkMailEvents`.
+ 创建 CloudWatch 日志组 — `/aws/workmail/emailevents/{{organization-alias}}`。
+ 将 CloudWatch 日志保留时间设置为 30 天。
**启用电子邮件事件日志记录**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如有必要,请更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 在导航窗格中,选择**日志记录设置**。
1. 选择**电子邮件流日志设置**选项卡。
1. 在**电子邮件流日志设置**部分中,选择**编辑**。
1. 将**启用邮件事件**滑块移到**开启**位置。
1. 请执行以下操作之一:
+ (推荐)选择**使用默认设置**。
+ (可选)清除**使用默认设置**,然后从显示的列表中选择**目标日志组**和 **IAM 角色**。
**注意**
仅当您已使用 AWS CLI创建日志组和自定义 IAM 角色时,才选择此选项。有关更多信息,请参阅 [创建自定义日志组和 IAM 角色以进行电子邮件事件日志记录](#custom-tracking-role)。
1. 选择**我授权 Amazon WorkMail 使用此配置在我的账户中发布日志**。
1. 选择**保存**。
## 创建自定义日志组和 IAM 角色以进行电子邮件事件日志记录
我们建议在为 Amazon 启用电子邮件事件记录时使用默认设置 WorkMail。如果您需要自定义监控配置,则可以使用创建用于电子邮件事件记录的专用日志组和自定义 IAM 角色。 AWS CLI
**创建自定义日志组和 IAM 角色以进行电子邮件事件日志记录**
1. 使用以下 AWS CLI 命令在与您的 Amazon WorkMail 组织相同的 AWS 区域中创建日志组。有关更多信息,请参阅《AWS CLI 命令参考》**中的 [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)。
```
aws –-region {{us-east-1}} logs create-log-group --log-group-name {{workmail-monitoring}}
```
1. 创建一个文件,其中包含以下策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.workmail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 使用以下 AWS CLI 命令创建 IAM 角色并将此文件作为角色策略文档附加。有关更多信息,请参阅《AWS CLI 命令参考**》中的 [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)。
```
aws iam create-role --role-name {{workmail-monitoring-role}} --assume-role-policy-document file://{{trustpolicyforworkmail.json}}
```
**注意**
如果您是 `WorkMailFullAccess` 托管式策略用户,您必须在角色名称中包括术语 `workmail`。此托管策略仅允许您使用名称中带有 `workmail` 的角色配置电子邮件事件日志记录。有关更多信息,请参阅 *IAM 用户指南中的授予用户*[向 AWS 服务传递角色的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
1. 创建一个文件,其中包含您在上一步中创建的 IAM 角色的策略。至少,该策略必须向角色授予权限,使该角色可以创建日志流并将日志事件放入您在第 1 步创建的日志组。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{example-log-group}}*"
}
]
}
```
------
1. 使用以下 AWS CLI 命令将策略文件附加到 IAM 角色。有关更多信息,请参阅《AWS CLI 命令参考》**中的 [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)。
```
aws iam put-role-policy --role-name {{workmail-monitoring-role}} --policy-name {{workmail-permissions}} --policy-document file://{{rolepolicy.json}}
```
## 关闭电子邮件事件日志记录
从 Amazon WorkMail 控制台关闭电子邮件事件记录。如果您不再需要使用电子邮件事件日志记录,我们建议您同时删除相关的 CloudWatch 日志组和服务相关角色。有关更多信息,请参阅 [删除 Amazon 的服务相关角色 WorkMail](using-service-linked-roles.md#delete-slr)。
**关闭电子邮件事件日志记录**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如有必要,请更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 在导航窗格中,选择 **Monitoring (监控)**。
1. 在**日志设置**部分中,选择**编辑**。
1. 将**启用邮件事件**滑块移动到“关闭”位置。
1. 选择**保存**。
## 防止跨服务混淆座席
混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。
可以操纵调用服务以使用其权限对另一个客户的资源进行操作(该服务原本不应拥有访问权限)。
为了防止这种情况,我们 AWS 提供了一些工具,帮助您保护所有服务的数据,这些服务委托人已被授予访问您账户中资源的权限。
我们建议在资源策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥来限制 CloudWatch 日志和 Amazon S3 向生成日志的服务授予的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,这些值必须使用相同的账户 ID。
的值`aws:SourceArn`必须是生成日志 ARNs 的传输源的值。
防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果您不知道资源的完整 ARN,或正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (`*`) 的 `aws:SourceArn` 全局上下文条件键。