啟用電子郵件事件記錄 - Amazon WorkMail
啟用電子郵件事件記錄建立電子郵件事件記錄的自訂日誌群組和 IAM 角色關閉電子郵件事件日誌預防跨服務混淆代理人

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用電子郵件事件記錄

您可以在 Amazon WorkMail 主控台中啟用電子郵件事件記錄,以追蹤組織的電子郵件訊息。電子郵件事件記錄使用AWS Identity and Access Management服務連結角色 (SLR) 來授予將電子郵件事件日誌發佈至 Amazon CloudWatch 的許可。如需 IAM 服務連結角色的詳細資訊,請參閱 使用 Amazon WorkMail 的服務連結角色

在 CloudWatch 事件日誌中,您可以使用 CloudWatch 搜尋工具和指標來追蹤訊息和疑難排解電子郵件問題。如需 Amazon WorkMail 傳送至 CloudWatch 之事件日誌的詳細資訊,請參閱 監控 Amazon WorkMail 電子郵件事件日誌。如需 CloudWatch Logs 的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》

啟用電子郵件事件記錄

當您使用預設設定 Amazon WorkMail 開啟電子郵件事件記錄時,會發生下列情況:

  • 建立AWS Identity and Access Management服務連結角色 – AmazonWorkMailEvents

  • 建立 CloudWatch 日誌群組 – /aws/workmail/emailevents/organization-alias

  • 將 CloudWatch 日誌保留期設定為 30 天。

啟用電子郵件事件記錄

  1. 開啟位於 https://https://console.aws.amazon.com/workmail/ 的 Amazon WorkMail 主控台。

    如有必要,請變更 AWS區域。在主控台視窗頂端的列中,開啟選取區域清單,然後選擇區域。如需詳細資訊,請參閱 Amazon Web Services 一般參考 中的 區域與端點

  2. 在導覽窗格中,選擇組織,然後選擇組織的名稱。

  3. 在導覽窗格中,選擇記錄設定

  4. 選擇電子郵件流程日誌設定索引標籤。

  5. 電子郵件流程日誌設定區段中,選擇編輯

  6. 啟用郵件事件滑桿移至開啟位置。

  7. 執行以下任意一項:

    • (建議) 選擇使用預設設定

    • (選用) 清除使用預設設定,然後從出現的清單中選取目的地日誌群組IAM 角色

      注意

      只有在您已使用 建立日誌群組和自訂 IAM 角色時,才選擇此選項AWS CLI。如需詳細資訊,請參閱建立電子郵件事件記錄的自訂日誌群組和 IAM 角色

  8. 選取我授權 Amazon WorkMail 使用此組態在我的帳戶中發佈日誌

  9. 選擇儲存

建立電子郵件事件記錄的自訂日誌群組和 IAM 角色

為 Amazon WorkMail 啟用電子郵件事件記錄時,建議使用預設設定。如果您需要自訂監控組態,您可以使用 來AWS CLI建立專用日誌群組和電子郵件事件記錄的自訂 IAM 角色。

建立電子郵件事件記錄的自訂日誌群組和 IAM 角色

  1. 使用下列AWS CLI命令,在與您的 Amazon WorkMail 組織相同的AWS區域中建立日誌群組。如需詳細資訊,請參閱《 AWS CLI命令參考》中的 create-log-group

    aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

  2. 建立包含以下政策的檔案:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 使用下列AWS CLI命令來建立 IAM 角色,並將此檔案附加為角色政策文件。如需詳細資訊,請參閱《AWS CLI 命令參考》中的《create-role》。

    aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
    注意

    如果您是 WorkMailFullAccess 受管政策使用者,您必須在角色名稱workmail中包含 詞彙。此受管政策僅允許您使用名稱中包含 workmail 的角色來設定電子郵件事件日誌。如需詳細資訊,請參閱《IAM 使用者指南》中的授予使用者將角色傳遞至 AWS服務的許可

  4. 建立檔案,其中包含您在上一個步驟中建立之 IAM 角色的政策。此政策至少必須將建立日誌串流的許可授與至該角色,並將日誌事件放到您在步驟 1 中建立的日誌群組。

  5. 使用下列AWS CLI命令將政策檔案連接至 IAM 角色。如需詳細資訊,請參閱《 AWS CLI命令參考》中的 put-role-policy

    aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

關閉電子郵件事件日誌

從 Amazon WorkMail 主控台關閉電子郵件事件記錄。如果您不再需要使用電子郵件事件記錄,我們建議您也刪除相關的 CloudWatch 日誌群組和服務連結角色。如需詳細資訊,請參閱刪除 Amazon WorkMail 的服務連結角色

關閉電子郵件事件日誌

  1. 開啟位於 https://https://console.aws.amazon.com/workmail/ 的 Amazon WorkMail 主控台。

    如有必要,請變更 AWS區域。在主控台視窗頂端的列中,開啟選取區域清單,然後選擇區域。如需詳細資訊,請參閱 Amazon Web Services 一般參考 中的 區域與端點

  2. 在導覽窗格中,選擇組織,然後選擇組織的名稱。

  3. 在導覽窗格中,選擇 Monitoring (監控)

  4. 日誌設定區段中,選擇編輯

  5. 啟用郵件事件滑桿移至關閉位置。

  6. 選擇儲存

預防跨服務混淆代理人

混淆代理人問題屬於安全性問題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時,可能會發生跨服務模擬。

可以操縱呼叫服務,以使用其許可來對其他客戶的資源採取行動,否則其將無權存取。

為了防止這種情況, AWS提供工具,協助您保護所有 服務的資料,讓 服務主體能夠存取您帳戶中的資源。

我們建議在資源政策中使用 aws:SourceArnaws:SourceAccount 全域條件內容金鑰,以限制 CloudWatch Logs 和 Amazon S3 授予給正在產生日誌的服務的許可。如果您同時使用兩個全域條件內容索引鍵,則值在相同政策陳述式中使用時必須使用相同的帳戶 ID。

aws:SourceArn 的值必須是正在產生日誌之傳遞資源的 ARN。

防範混淆代理人問題的最有效方法是使用 aws:SourceArn 全域條件內容索引鍵,以及資源的完整 ARN。如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 aws:SourceArn 全域條件內容索引鍵,同時使用萬用字元 (*) 表示 ARN 的未知部分。