Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Audit-Protokollierung aktivieren
Sie können Auditprotokolle verwenden, um detaillierte Informationen über die Nutzung Ihrer WorkMail Amazon-Organisation zu erfassen. Die Auditprotokolle können verwendet werden, um den Zugriff von Benutzern auf Postfächer zu überwachen, nach verdächtigen Aktivitäten zu suchen und Konfigurationen von Zugriffskontrollen und Verfügbarkeitsanbietern zu debuggen.
Anmerkung
Die AmazonWorkMailFullAccessverwaltete Richtlinie umfasst nicht alle erforderlichen Berechtigungen für die Verwaltung von Protokollzustellungen. Wenn Sie diese Richtlinie zur Verwaltung verwenden WorkMail, stellen Sie sicher, dass der für die Konfiguration der Protokollzustellungen verwendete Prinzipal (z. B. die angenommene Rolle) auch über alle erforderlichen Berechtigungen verfügt.
Amazon WorkMail unterstützt drei Lieferziele für Audit-Logs: CloudWatch Logs, Amazon S3 und Amazon Data Firehose. Weitere Informationen finden Sie unter Protokollierung, für die zusätzliche Berechtigungen erforderlich sind [V2] im Amazon CloudWatch Logs-Benutzerhandbuch.
Zusätzlich zu den unter Protokollierung, für die zusätzliche Berechtigungen erforderlich sind [V2] aufgeführten Berechtigungen WorkMail benötigt Amazon eine zusätzliche Berechtigung, um die Protokollzustellung zu konfigurieren:workmail:AllowVendedLogDeliveryForResource
.
Eine funktionierende Protokollzustellung besteht aus drei Elementen:
-
DeliverySource, ein logisches Objekt, das die Ressource oder Ressourcen darstellt, die die Protokolle senden. Für Amazon WorkMail ist es die WorkMail Amazon-Organisation.
-
A DeliveryDestination, ein logisches Objekt, das das tatsächliche Lieferziel darstellt.
-
Eine Lieferung, die eine Zustellungsquelle mit einem Lieferziel verbindet.
Um die Protokollzustellung zwischen Amazon WorkMail und einem Ziel zu konfigurieren, können Sie wie folgt vorgehen:
-
Erstellen Sie eine Lieferquelle mit PutDeliverySource.
-
Erstellen Sie ein Lieferziel mit PutDeliveryDestination.
-
Wenn Sie Protokolle kontoübergreifend versenden, müssen Sie dies PutDeliveryDestinationPolicyim Zielkonto verwenden, um dem Ziel eine IAM Richtlinie zuzuweisen. Diese Richtlinie autorisiert die Erstellung einer Lieferung von der Lieferquelle in Konto A zum Lieferziel in Konto B.
-
Erstellen Sie eine Lieferung, indem Sie genau eine Lieferquelle und ein Lieferziel verknüpfen, indem Sie. CreateDelivery
In den folgenden Abschnitten finden Sie Einzelheiten zu den Berechtigungen, über die Sie verfügen müssen, wenn Sie angemeldet sind, um die Protokollzustellung an die einzelnen Zieltypen einzurichten. Diese Berechtigungen können einer IAM Rolle erteilt werden, mit der Sie angemeldet sind.
Wichtig
Es liegt in Ihrer Verantwortung, Ressourcen für die Protokollzustellung zu entfernen, nachdem Sie die Ressource gelöscht haben, die das Protokoll generiert hat.
Gehen Sie wie folgt vor, um Ressourcen für die Protokollübermittlung zu entfernen, nachdem Sie die Ressource gelöscht haben, die das Protokoll generiert hat.
-
Löschen Sie die Lieferung mithilfe des Vorgangs DeleteDelivery.
-
Löschen Sie die DeliverySourcemithilfe der DeleteDeliverySourceOperation.
-
Wenn das mit dem DeliverySource, was Sie gerade gelöscht haben, DeliveryDestinationverknüpft ist, nur für dieses spezielle DeliverySourceObjekt verwendet wird, können Sie es mithilfe des DeleteDeliveryDestinationsVorgangs entfernen.
Konfiguration der Audit-Protokollierung mit der WorkMail Amazon-Konsole
Sie können die Audit-Protokollierung in der WorkMail Amazon-Konsole konfigurieren:
-
Öffnen Sie die WorkMail Amazon-Konsole unter https://console.aws.amazon.com/workmail/
. Ändern Sie gegebenenfalls die AWS Region. Öffnen Sie in der Leiste oben im Konsolenfenster die Liste Region auswählen und wählen Sie eine Region aus. For more information, see Regions and endpoints in the Allgemeine Amazon Web Services-Referenz.
-
Wählen Sie im Navigationsbereich Organizations und dann den Namen Ihrer Organisation aus.
Wählen Sie Protokollierungseinstellungen aus.
Wählen Sie den Tab Audit-Log-Einstellungen.
Konfigurieren Sie mithilfe des entsprechenden Widgets Lieferungen für den erforderlichen Protokolltyp.
-
Wählen Sie Save (Speichern) aus.
An Logs gesendete CloudWatch Protokolle
Benutzerberechtigungen
Um das Senden von Protokollen an CloudWatch Logs zu ermöglichen, müssen Sie mit den folgenden Berechtigungen angemeldet sein.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:
region
:account-id
:delivery:*", "arn:aws:logs:region
:account-id
:delivery-source:*", "arn:aws:logs:region
:account-id
:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyCWL", "Effect": "Allow", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:region
:account-id
:*" ] } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region
:account-id
:organization/organization-id
" ] } ] }
Protokollgruppe und Ressourcenrichtlinie
Die Protokollgruppe, an die die Protokolle gesendet werden, muss über eine Ressourcenrichtlinie verfügen, die bestimmte Berechtigungen enthält. Wenn die Protokollgruppe derzeit keine Ressourcenrichtlinie hat und der Benutzer, der die Protokollierung einrichtet, über die logs:DescribeLogGroups
Berechtigungen logs:PutResourcePolicy
logs:DescribeResourcePolicies
, und für die Protokollgruppe verfügt, erstellt er AWS automatisch die folgende Richtlinie für diese Gruppe, wenn Sie beginnen, die Protokolle an Logs zu CloudWatch senden.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSLogDeliveryWrite20150319", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":[ "arn:aws:logs:
region
:account-id
:log-group:my-log-group:log-stream:*" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id
" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region
:account-id
:*" ] } } } ] }
Überlegungen zur Größenbeschränkung der Protokollgruppen-Ressourcenrichtlinie
Diese Dienste müssen jede Protokollgruppe, an die sie Protokolle senden, in der Ressourcenrichtlinie auflisten. CloudWatch Die Ressourcenrichtlinien für Protokolle sind auf 5.120 Zeichen begrenzt. Ein Dienst, der Protokolle an eine große Anzahl von Protokollgruppen sendet, stößt möglicherweise auf dieses Limit.
Um dies zu verringern, überwacht CloudWatch Logs den Umfang der Ressourcenrichtlinien, die von dem Dienst verwendet werden, der Protokolle sendet. Wenn Logs feststellt, dass sich eine Richtlinie der Größenbeschränkung von 5.120 Zeichen nähert, aktiviert CloudWatch /aws/vendedlogs/*
Logs automatisch die Ressourcenrichtlinie für diesen Dienst. Sie können dann anfangen, Protokollgruppen als Ziele für Protokolle aus diesen Services zu verwenden, deren Namen mit /aws/vendedlogs/
beginnt.
An Amazon S3 gesendete Protokolle
Benutzerberechtigungen
Um das Senden von Protokollen an Amazon S3 zu aktivieren, müssen Sie mit den folgenden Berechtigungen angemeldet sein.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:
region
:account-id
:delivery:*", "arn:aws:logs:region
:account-id
:delivery-source:*", "arn:aws:logs:region
:account-id
:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyS3", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucket-name
" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region
:account-id
:organization/organization-id
" ] } ] }
Der S3-Bucket, an den die Protokolle gesendet werden, muss über eine Ressourcenrichtlinie verfügen, die bestimmte Berechtigungen enthält. Wenn der Bucket derzeit keine Ressourcenrichtlinie hat und der Benutzer, der die Protokollierung einrichtet, über die S3:GetBucketPolicy
und S3:PutBucketPolicy
-Berechtigungen für den Bucket verfügt, erstellt er AWS
automatisch die folgende Richtlinie dafür, wenn Sie beginnen, die Protokolle an Amazon S3 zu senden.
{ "Version":"2012-10-17", "Id":"AWSLogDeliveryWrite20150319", "Statement":[ { "Sid":"AWSLogDeliveryAclCheck", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::my-bucket", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "
account-id
" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region
:account-id
:delivery-source:*" ] } } }, { "Sid":"AWSLogDeliveryWrite", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket/AWSLogs/account-id
/*", "Condition":{ "StringEquals":{ "s3:x-amz-acl":"bucket-owner-full-control", "aws:SourceAccount":[ "account-id
" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region
:account-id
:delivery-source:*" ] } } } ] }
Geben Sie in der vorherigen Richtlinie für aws:SourceAccount
die Liste der Konten an, IDs für die Protokolle an diesen Bucket übermittelt werden. Geben Sie für aws:SourceArn
die Liste ARNs der Ressource, die die Protokolle generiert, im folgenden Formular anarn:aws:logs:
. source-region
:source-account-id
:*
Wenn der Bucket über eine Ressourcenrichtlinie verfügt, diese Richtlinie jedoch nicht die in der vorherigen Richtlinie gezeigte Anweisung enthält und der Benutzer, der die Protokollierung einrichtet, über die S3:PutBucketPolicy
Berechtigungen S3:GetBucketPolicy
und für den Bucket verfügt, wird diese Anweisung an die Ressourcenrichtlinie des Buckets angehängt.
Anmerkung
In einigen Fällen werden möglicherweise AccessDenied
Fehler angezeigt, AWS CloudTrail wenn die s3:ListBucket
Berechtigung nicht erteilt wurde. delivery.logs.amazonaws.com
Um diese Fehler in Ihren CloudTrail Protokollen zu vermeiden, müssen Sie dem die s3:ListBucket
Erlaubnis erteilendelivery.logs.amazonaws.com
. Sie müssen auch die Condition
Parameter angeben, die zusammen mit dem in der vorherigen Bucket-Richtlinie festgelegten s3:GetBucketAcl
Berechtigungssatz angezeigt werden. Um dies zu vereinfachen, können Sie das Objekt direkt aktualisierenStatement
, anstatt ein neues AWSLogDeliveryAclCheck
zu “Action”:
[“s3:GetBucketAcl”, “s3:ListBucket”]
erstellen.
Serverseitige Verschlüsselung im Amazon-S3-Bucket
Sie können die Daten in Ihrem Amazon S3 S3-Bucket schützen, indem Sie entweder die serverseitige Verschlüsselung mit von Amazon SSE S3 verwalteten Schlüsseln (-S3) oder die serverseitige Verschlüsselung mit einem in (-) gespeicherten AWS KMS Schlüssel aktivieren. AWS Key Management Service SSE KMS Weitere Informationen finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung.
Wenn Sie SSE -S3 wählen, ist keine zusätzliche Konfiguration erforderlich. Amazon S3 verarbeitet den Verschlüsselungsschlüssel.
Warnung
Wenn Sie SSE - wählenKMS, müssen Sie einen vom Kunden verwalteten Schlüssel verwenden, da die Verwendung eines in diesem Szenario Von AWS verwalteter Schlüssel nicht unterstützt wird. Wenn Sie die Verschlüsselung mit einem AWS verwalteten Schlüssel einrichten, werden die Protokolle in einem unlesbaren Format geliefert.
Wenn Sie einen vom Kunden verwalteten AWS KMS Schlüssel verwenden, können Sie den Amazon-Ressourcennamen (ARN) des vom Kunden verwalteten Schlüssels angeben, wenn Sie die Bucket-Verschlüsselung aktivieren. Fügen Sie Folgendes zur Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel hinzu (nicht zur Bucket-Richtlinie für Ihren S3-Bucket), damit das Konto für die Protokollzustellung in Ihren S3-Bucket schreiben kann.
Wenn Sie SSE - wählenKMS, müssen Sie einen vom Kunden verwalteten Schlüssel verwenden, da die Verwendung eines AWS verwalteten Schlüssels in diesem Szenario nicht unterstützt wird. Wenn Sie einen vom Kunden verwalteten AWS KMS Schlüssel verwenden, können Sie den Amazon-Ressourcennamen (ARN) des vom Kunden verwalteten Schlüssels angeben, wenn Sie die Bucket-Verschlüsselung aktivieren. Fügen Sie Folgendes zur Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel hinzu (nicht zur Bucket-Richtlinie für Ihren S3-Bucket), damit das Konto für die Protokollzustellung in Ihren S3-Bucket schreiben kann.
{ "Sid":"Allow Logs Delivery to use the key", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "
account-id
" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region
:account-id
:delivery-source:*" ] } } }
Geben Sie für aws:SourceAccount
die Liste der Konten an, IDs für die Protokolle an diesen Bucket gesendet werden. Geben Sie für aws:SourceArn
die Liste ARNs der Ressource, die die Protokolle generiert, im folgenden Formular anarn:aws:logs:
. source-region
:source-account-id
:*
An Firehose gesendete Logs
Benutzerberechtigungen
Um das Senden von Protokollen an Firehose zu ermöglichen, müssen Sie mit den folgenden Berechtigungen angemeldet sein.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:
region
:account-id
:delivery:*", "arn:aws:logs:region
:account-id
:delivery-source:*", "arn:aws:logs:region
:account-id
:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyFH", "Effect": "Allow", "Action": [ "firehose:TagDeliveryStream" ], "Resource": [ "arn:aws:firehose:region
:account-id
:deliverystream/*" ] }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::account-id
:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region
:account-id
:organization/organization-id
" ] } ] }
IAMRollen, die für Ressourcenberechtigungen verwendet werden
Da Firehose keine Ressourcenrichtlinien AWS verwendet, verwendet es IAM Rollen bei der Einrichtung dieser Protokolle, die an Firehose gesendet werden sollen. AWS erstellt eine mit dem Dienst verknüpfte Rolle mit dem Namen AWSServiceRoleForLogDelivery. Diese dienstbezogene Rolle umfasst die folgenden Berechtigungen.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch", "firehose:ListTagsForDeliveryStream" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/LogDeliveryEnabled": "true" } }, "Effect": "Allow" } ] }
Diese dienstbezogene Rolle gewährt Berechtigungen für alle Firehose-Lieferdatenströme, für die das LogDeliveryEnabled
Tag auf gesetzt ist. true
AWS weist dieses Tag dem Ziel-Lieferstream zu, wenn Sie die Protokollierung einrichten.
Diese serviceverknüpfte Rolle verfügt auch über eine Vertrauensrichtlinie, die es dem delivery.logs.amazonaws.com
-Service-Prinzipal erlaubt, die erforderliche serviceverknüpfte Rolle zu übernehmen. Diese Vertrauensrichtlinie lautet wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Konsolenspezifische Berechtigungen
Wenn Sie die Protokollzustellung über die Konsole statt über die einrichten, benötigen Sie zusätzlich zu den in den APIs vorherigen Abschnitten aufgeführten Berechtigungen auch die folgenden Berechtigungen:
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowLogDeliveryActions", "Effect":"Allow", "Action":[ "firehose:DescribeDeliveryStream", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:logs:
region
:account-id
:log-group:*", "arn:aws:firehose:region
:account-id
:deliverystream/*", "arn:aws:s3:::*" ] }, { "Sid":"ListAccessForDeliveryDestinations", "Effect":"Allow", "Action":[ "logs:DescribeLogGroups", "firehose:ListDeliveryStreams", "s3:ListAllMyBuckets" ], "Resource":"*" } ] }