建立組織 - Amazon WorkMail
Managed AD 的重要變更建立組織受管 AD 整合檢視組織的詳細資訊整合 WorkSpaces 目錄組織狀態和說明

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立組織

若要使用 Amazon WorkMail,您必須先建立組織。一個AWS帳戶可以有多個 Amazon WorkMail 組織。建立組織時,您也可以為組織選取網域,並設定使用者目錄和加密設定。

您可以建立新的 Amazon WorkMail 目錄以與 WorkMail 組織搭配使用,或整合 Amazon WorkMail 與現有目錄。您可以搭配下列類型的現有目錄使用 Amazon WorkMail:

透過與您的現場部署目錄整合,您可以在 Amazon WorkMail 中使用現有的使用者和群組,使用者可以使用其現有的登入資料登入。如果您使用的是內部部署目錄,您必須先在其中設定 AD ConnectorAWS Directory Service。AD Connector 會將您的使用者和群組與 Amazon WorkMail 通訊錄同步,並執行使用者身分驗證請求。如需詳細資訊,請參閱《 Directory Service管理指南》中的 Active Directory Connector

您也可以選擇 AWS KMS keyAmazon WorkMail 用來加密信箱內容的 。您可以選取 Amazon WorkMail 的預設AWS受管主金鑰,或在 AWS Key Management Service() 中使用現有的 KMS 金鑰AWS KMS。如需有關建立新的 KMS 金鑰的資訊,請參閱《 AWS Key Management Service開發人員指南》中的建立金鑰。如果您以 AWS Identity and Access Management(IAM) 使用者身分登入,請讓自己成為 KMS 金鑰的金鑰管理員。如需詳細資訊,請參閱《 AWS Key Management Service開發人員指南》中的啟用和停用金鑰

考量事項

建立 Amazon WorkMail 組織時,請記住下列事項:

  • Amazon WorkMail 目前不支援您與多個帳戶共用的受管 Microsoft Active Directory 服務。

  • 如果您有具有 Microsoft Exchange 和 AD Connector 的內部部署 Active Directory,建議您為組織設定互通性設定。這可讓您在將信箱遷移至 Amazon WorkMail 時將對使用者的干擾降至最低,或使用 Amazon WorkMail 做為公司信箱的子集。如需詳細資訊,請參閱Amazon WorkMail 與 Microsoft Exchange 之間的互通性

  • 如果選取免費測試網域選項,您可以開始將 Amazon WorkMail 組織與提供的測試網域搭配使用。測試網域使用此格式: example.awsapps.com。只要您在 Amazon WorkMail 組織中維持已啟用的使用者,您就可以將測試郵件網域與 Amazon WorkMail 和其他支援的 AWS服務搭配使用。不過,您無法將測試網域用於其他用途。如果您的 Amazon WorkMail 組織未維護至少一個已啟用的使用者,則測試網域可能可供其他客戶註冊和使用。

  • Amazon WorkMail 不支援多區域目錄。

  • Amazon WorkMail 每四小時同步目錄資料與 AWSManaged Active Directory、Simple AD 和 AD Connector。

使用 AWSManaged Active Directory 的重要變更

Amazon WorkMail 正在為使用 AWSManaged Active Directory (受管 AD) 的組織更新其授權模型。此變更會影響 Amazon WorkMail 與目錄資料互動的方式,並要求您採取特定動作以確保持續功能。

先前,當使用 AWSManaged Active Directory 建立 Amazon WorkMail 組織時,Amazon WorkMail 會使用服務層級許可來與 Managed AD 互動。為了為客戶提供額外的彈性來分隔目錄管理和信箱管理角色,WorkMail APIs 和主控台現在將使用 AWS Directory Service Data (DS-Data) APIs 在 AWS Managed Active Directory 中建立或更新使用者和群組。透過 WorkMail 主控台或 APIs 執行這些操作的 IAM 主體還需要授權,才能針對與其 WorkMail 組織相關聯的 Managed AD 使用同等的 DS-Data 動作,從而提供更精細的控制,並與 IAM 政策更好地整合。

無論您是使用 Managed AD 建立新組織,還是擁有使用 Managed AD 的現有組織,如果您想要繼續透過 WorkMail 主控台或 APIs 建立、更新或刪除使用者和群組,您都必須完成額外的組態步驟,以確保使用更新的授權模型的適當功能。這會在 中說明設定 AWS Managed Active Directory 整合

建立組織

在 Amazon WorkMail 主控台中建立新組織。

建立組織

  1. 開啟位於 https://https://console.aws.amazon.com/workmail/ 的 Amazon WorkMail 主控台。

    如有必要請變更 AWS 區域。在主控台視窗頂端的列中,開啟選取區域清單,然後選擇區域。如需詳細資訊,請參閱《》中的區域和端點Amazon Web Services 一般參考

  2. 在導覽列中,選取組織

    組織頁面隨即出現,如果有的話會顯示您的組織。

  3. 選擇建立組織

  4. 電子郵件網域下,選取要用於組織中電子郵件地址的網域:

    • 現有 Route 53 網域 – 選取您使用 Amazon Route 53 (Route 53) 託管區域管理的現有網域。

    • 新的 Route 53 網域 – 註冊要與 Amazon WorkMail 搭配使用的新 Route 53 網域名稱。

    • 外部網域 – 輸入您使用外部網域名稱系統 (DNS) 供應商管理的現有網域。

    • 免費測試網域 – 使用 Amazon WorkMail 提供的免費測試網域。您可以使用測試網域探索 Amazon WorkMail,稍後再將網域新增至您的組織。

  5. (選用) 如果您的網域是透過 Amazon Route 53 管理,請針對 Route 53 託管區域選取您的 Route 53 網域。

  6. 針對別名,輸入組織的唯一別名。

  7. 選擇進階設定,然後針對使用者目錄,選取下列其中一個選項:

    • 建立新的 Amazon WorkMail 目錄 – 建立新的目錄以新增和管理使用者。

    • 使用現有目錄 – 使用現有目錄來管理您的使用者,例如內部部署 Microsoft Active Directory、AWS受管 Active Directory 或 Simple AD。

  8. 針對加密,選取下列其中一個選項:

    • 使用 Amazon WorkMail 受管金鑰 – 在帳戶中建立新的加密金鑰。

    • 使用現有的 KMS 金鑰 – 使用您已在 中建立的現有 KMS 金鑰AWS KMS。

  9. 選擇建立組織

如果您使用外部網域,請將適當的文字 (TXT) 和郵件交換程式 (MX) 記錄新增至 DNS 服務來驗證它。TXT 記錄可讓您輸入有關 DNS 服務的備註。MX 記錄會指定傳入郵件伺服器。

請務必將網域設定為組織的預設值。如需詳細資訊,請參閱驗證網域選擇預設網域

當您的組織處於作用中狀態時,您可以將使用者新增至其中,並設定其電子郵件用戶端。如需詳細資訊,請參閱新增使用者設定 Amazon WorkMail 的電子郵件用戶端

設定 AWS Managed Active Directory 整合

搭配 Amazon WorkMail 組織使用 AWS Managed Active Directory 時,其他組態步驟可確保透過更新的授權模型正常運作。

設定新組織的 Managed AD 整合

  1. 在 Directory Service主控台中,導覽至 Managed AD (Microsoft AD),或從 Amazon WorkMail 主控台選取左側導覽面板中的使用者群組,然後按一下頁面頂端備註方塊中的目錄連結。

  2. 選擇啟用使用者和群組管理。此設定預設為停用,且必須啟用才能對使用者和群組執行寫入操作。

  3. 使用下列動作連接政策,確保您的 IAM 主體具有必要的許可:

    ds:AccessDSData
ds:ResetUserPassword
ds-data:CreateGroup
ds-data:DeleteGroup
ds-data:AddGroupMember
ds-data:RemoveGroupMember
ds-data:CreateUser
ds-data:DeleteUser
ds-data:UpdateUser
遷移現有的 Managed AD 組織

  1. 監控 Amazon WorkMail 主控台中的使用者或群組頁面,以取得遷移通知。

  2. 出現通知時,開啟啟用更新的目錄操作以遷移至新的 Directory Service APIs。

  3. 最後,請確定您已在Directory Service主控台中啟用使用者和群組管理,並使用必要的 DS-Data 許可更新您的 IAM 政策,如上一節所述。

使用 AWSDirectory Service Data (DS-Data) APIs 來建立、更新和刪除使用者,將會針對任何使用 Managed AD 且先前尚未啟用的其餘 Amazon WorkMail 組織啟用。

檢視組織的詳細資訊

每個 Amazon WorkMail 組織都可以顯示組織詳細資訊頁面。此頁面會顯示其組織的相關資訊,包括您可以搭配 IDsAWS Command Line Interface。頁面上的訊息也可以顯示完成設定和組織所需的任何步驟,例如未驗證的網域或缺少使用者。訊息也提供設定指定電子郵件用戶端時所遵循的第一個步驟。

檢視組織詳細資訊

  1. 在導覽列中,選擇組織

    組織頁面隨即出現,並顯示您的組織。

  2. 選擇您要檢視的組織。

整合 WorkSpaces 目錄

若要將 Amazon WorkMail 與 WorkSpaces 搭配使用,請使用下列步驟建立相容的目錄。

新增相容的 WorkSpaces 目錄

  1. 使用 WorkSpaces 建立相容的目錄。如需 WorkSpaces 說明,請參閱《Amazon WorkSpaces 管理指南》中的開始使用 Amazon WorkSpaces 快速設定Amazon WorkSpaces

  2. 在 Amazon WorkMail 主控台中,建立您的 Amazon WorkMail 組織,然後選擇使用現有的目錄。如需詳細資訊,請參閱建立組織

組織狀態和說明

在您建立組織後,它可以有以下其中一個狀態。

Description

Active (作用中)

您的組織正常並已做好使用準備。

正在建立

工作流程正在執行以建立您的組織。

失敗

您的組織無法被建立。

Impaired (受損)

您的組織故障或已偵測到問題。

非作用中

您的組織失效。

Requested (已請求)

您的組織在佇列中建立請求並等待建立。

Validating (驗證)

組織的所有設定都被檢查運作狀態。