支援終止通知:2027 年 3 月 31 日, AWS 將終止對 Amazon WorkMail 的支援。2027 年 3 月 31 日之後,您將無法再存取 Amazon WorkMail 主控台或 Amazon WorkMail 資源。如需詳細資訊,請參閱 [Amazon WorkMail 終止支援](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用存取控制規則
Amazon WorkMail 的存取控制規則可讓管理員控制其組織的使用者和模擬角色如何獲得 Amazon WorkMail 的存取權。每個 Amazon WorkMail 組織都有預設存取控制規則,可將信箱存取權授予新增至組織的所有使用者和模擬角色,無論他們使用哪個存取通訊協定或 IP 地址。管理員可以編輯或使用自己的其中一個規則取代預設規則、新增規則或刪除規則。
**警告**
如果管理員刪除組織的所有存取控制規則,Amazon WorkMail 會封鎖組織信箱的所有存取。
管理員可以根據下列準則套用允許或拒絕存取的存取控制規則:
+ **通訊協定** – 用來存取信箱的通訊協定。範例包括 **Autodiscover**、**EWS**、**IMAP**、**SMTP**、**ActiveSync**、適用於 **Windows 的 Outlook** 和 **Webmail**。
+ **IP 地址** – 用來存取信箱的 IPv4 CIDR 範圍。
+ **Amazon WorkMail 使用者** – 組織中用來存取信箱的使用者。
+ **模擬角色** – 組織中用來存取信箱的模擬角色。如需詳細資訊,請參閱[管理模擬角色](managing-impersonation-roles.md)。
除了使用者的信箱和資料夾權限之外,管理員還會套用存取控制規則。如需詳細資訊,請參閱《*Amazon WorkMail 使用者指南*》中的[使用信箱許可](mail_perms_overview.md)和[共用資料夾和資料夾許可](https://docs.aws.amazon.com/workmail/latest/userguide/share-folders.html)。
**注意**
當您啟用 Outlook for Windows 的存取權時,建議您也啟用 Autodiscover 和 EWS 的存取權。
存取控制規則不適用於 Amazon WorkMail 主控台或 SDK 存取。請改用 AWS Identity and Access Management (IAM) 角色或政策。如需詳細資訊,請參閱[Amazon WorkMail 的身分和存取管理](security-iam.md)。
## 建立存取控制規則
從 Amazon WorkMail 主控台建立新的存取控制規則。
**建立新的存取控制規則**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 選擇 **Access Control List (存取控制規則)**。
1. 選擇**建立規則**。
1. 對於 **Description (描述)**,請輸入規則的描述。
1. 對於 **Effect (效果)**,請選擇 **Allow (允許)** 或 **Deny (拒絕)**。這會根據您在下列步驟中選取的條件允許或拒絕存取。
1. 對於**此規則適用於 ... 的請求**,請選取要套用至規則的條件,例如是否包含或排除特定通訊協定、IP 地址或使用者,或是模擬角色。
1. (選用) 如果您輸入 IP 地址範圍、使用者或模擬角色,請選擇**新增**以將其新增至規則。
1. 選擇**建立規則**。
## 編輯存取控制規則
從 Amazon WorkMail 主控台編輯新的和預設存取控制規則。
**編輯存取控制規則**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 選擇 **Access Control List (存取控制規則)**。
1. 選取要編輯的規則。
1. 選擇**編輯規則**。
1. 視需要編輯描述、效果和條件。
1. 選擇**儲存變更**。
**重要**
當您變更存取規則時,受影響的信箱可能需要五分鐘的時間才能遵循更新後的規則。存取受影響信箱的用戶端在此期間可能會顯示不一致的行為。不過,當您測試規則時,會立即看到正確的行為。如需測試規則的詳細資訊,請參閱下一節中的步驟。
## 測試存取控制規則
若要查看如何套用組織的存取控制規則,請從 Amazon WorkMail 主控台測試規則。
**測試組織的存取控制規則**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 選擇 **Access Control List (存取控制規則)**。
1. 選擇**測試規則**。
1. 在 **Request context (要求內容)** 中,請選取要測試的通訊協定。
1. 在 **Source IP address (來源 IP 地址)** 中,輸入要測試的 IP 地址。
1. 針對 **執行的請求**,選擇要測試**的使用者**或**模擬角色**。
1. 選取要測試**的使用者**或**模擬角色**。
1. 選擇**測試**。
測試結果會出現在 **Effect (效果)** 下。
## 刪除存取控制規則
從 Amazon WorkMail 主控台刪除不再需要的存取控制規則。
**警告**
如果管理員刪除組織的所有存取控制規則,Amazon WorkMail 會封鎖組織信箱的所有存取。
**刪除存取控制規則**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 選擇 **Access Control List (存取控制規則)**。
1. 選取要刪除的規則。
1. 選擇 **Delete rule (刪除規則)**。
1. 選擇 **刪除**。