Voraussetzungen IAMRichtlinienbeispiele und Rollenerstellung Beispiel: Postfachinhalt exportieren Überlegungen

Postfachinhalt exportieren

Verwenden Sie die StartMailboxExportJobAPIAktion in der WorkMail APIAmazon-Referenz, um WorkMail Amazon-Postfachinhalte in einen Amazon Simple Storage Service (Amazon S3) -Bucket zu exportieren. Diese Aktion exportiert alle E-Mail-Nachrichten und Kalendereinträge aus dem angegebenen Postfach in eine .zip Datei im Amazon S3 S3-Bucket im MIME Format. Andere Elemente, wie Kontakte und Aufgaben, werden nicht exportiert.

Wie lange es dauert, bis der Postfachexport abgeschlossen ist, hängt von der Größe und Anzahl der Elemente im Postfach ab. Da der Postfachexportauftrag über einen bestimmten Zeitraum stattfindet, stellt er keine Momentaufnahme des Postfachinhalts zu einem bestimmten Zeitpunkt dar. Um den Status eines Exportauftrags zu sehen, verwenden Sie die ListMailboxExportJobsAPIAktionen DescribeMailboxExportJoboder in der WorkMail APIAmazon-Referenz.

Wenn ein Postfach-Exportauftrag abgeschlossen ist, wird die .zip Datei im Amazon S3 S3-Bucket mit dem von Ihnen angegebenen symmetrischen AWS Key Management Service (AWS KMS) Kundenhauptschlüssel (CMK) verschlüsselt. Da die AWS KMS Verschlüsselung in Amazon S3 integriert ist, sind die entschlüsselten Daten für den Benutzer sichtbar, der sie herunterlädt, solange der Benutzer Zugriff auf die AWS KMS CMK hat.

Voraussetzungen

Für den Export von Postfachinhalten gelten folgende Voraussetzungen:

Die Fähigkeit zu programmieren.
Ein WorkMail Amazon-Administratorkonto.
Ein Amazon S3 S3-Bucket, der keinen öffentlichen Zugriff erlaubt. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs mit Amazon S3 im Amazon Simple Storage Service-Benutzerhandbuch und im Amazon Simple Storage Service-Benutzerhandbuch.
Eine symmetrische AWS KMS CMK. Weitere Informationen finden Sie unter Erste Schritte im AWS Key Management Service -Entwicklerhandbuch.
Eine AWS Identity and Access Management (IAM) Rolle mit einer Richtlinie, die die Erlaubnis erteilt, in den Amazon S3 S3-Bucket zu schreiben und die gesendeten Dateien mit dem AWS KMS CMK zu verschlüsseln. Weitere Informationen finden Sie unter So WorkMail arbeitet Amazon mit IAM.

IAMRichtlinienbeispiele und Rollenerstellung

Das folgende Beispiel zeigt eine IAM Richtlinie, die die Erlaubnis erteilt, in den Amazon S3 S3-Bucket zu schreiben und die gesendeten Dateien mit dem AWS KMS CMK zu verschlüsseln. Um diese Beispielrichtlinie im folgenden Beispiel: Postfachinhalt exportieren Verfahren zu verwenden, speichern Sie die Richtlinie als JSON Datei mit einem Dateinamenmailbox-export-policy.json.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/S3-PREFIX*"
                }
            }
        }
    ]
}

Das folgende Beispiel zeigt eine IAM Vertrauensrichtlinie, die der von Ihnen erstellten IAM Rolle zugeordnet ist. Um diese Beispielrichtlinie im folgenden Beispiel: Postfachinhalt exportieren Verfahren zu verwenden, speichern Sie die Richtlinie als JSON Datei mit einem Dateinamenmailbox-export-trust-policy.json.

Sie müssen die aws:SourceAccount Bedingungen aws:SourceArn und nicht gleichzeitig verwenden. Sie können beispielsweise aws:SourceArn aus der Richtlinie streichen, wenn Sie dieselbe Rolle verwenden müssen, um Nachrichten von verschiedenen WorkMail Amazon-Organisationen unter demselben AWS Konto zu exportieren. Weitere Informationen zu Bedingungsschlüsseln finden Sie in den AWS globalen Bedingungskontextschlüsseln im AWS Identity and Access Management-Benutzerhandbuch.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

Sie können den verwenden AWS CLI , um die IAM Rolle in Ihrem Konto zu erstellen, indem Sie die folgenden Befehle ausführen.


aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1


aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

Weitere Informationen zu AWS CLI finden Sie im AWS Command Line Interface Benutzerhandbuch.

Beispiel: Postfachinhalt exportieren

Nachdem Sie die IAM Rolle und die Richtlinien im vorherigen Abschnitt erstellt haben, führen Sie die folgenden Schritte aus, um Ihren Postfachinhalt zu exportieren. Sie benötigen Ihre WorkMail Amazon-Organisations- und Benutzer-ID (Entitäts-ID), auf die Sie in der WorkMail Amazon-Konsole oder über Amazon zugreifen können WorkMail API.

Beispiel: Um Postfachinhalte zu exportieren

Verwenden Sie den AWS CLI , um den Postfach-Exportauftrag zu starten.


aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name amzn-s3-demo-bucket --s3-prefix S3-PREFIX

Verwenden Sie den AWS CLI , um den Status der Postfach-Exportaufträge für Ihre WorkMail Amazon-Organisation zu überwachen.
```
aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
```
Verwenden Sie alternativ die vom start-mailbox-export-job Befehl generierte Job-ID, um nur den Status dieses Postfach-Exportauftrags zu überwachen.
```
aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID
```

Wenn der Status des Postfach-Exportauftrags lautet COMPLETED, sind die exportierten Postfachelemente in einer .zip Datei im angegebenen Amazon S3 S3-Bucket verfügbar.

Im Folgenden finden Sie ein Beispiel für das Ausgabeprotokoll des exportierten Postfachs:



{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}

Anmerkung

totalNonExportableElemente wie Notizen und Kontakte werden nicht unterstützt.

Überlegungen

Beim Exportieren von Postfachaufträgen für Amazon gelten die folgenden Überlegungen WorkMail:

Sie können bis zu 10 Postfach-Exportaufträge gleichzeitig für eine bestimmte WorkMail Amazon-Organisation ausführen.
Sie können einen Postfach-Exportauftrag für ein bestimmtes Postfach bis zu einmal alle 24 Stunden ausführen.
Die folgenden Ressourcen müssen sich alle in derselben AWS Region befinden:
- WorkMail Amazon-Organisation
- AWS KMS CMK
- Amazon-S3-Bucket

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von Rollen für den Identitätswechsel

Fehlerbehebung