Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitación del registro de auditoría
Puedes usar los registros de auditoría para recopilar información detallada sobre el uso que haces en tu WorkMail organización de Amazon. Los registros de auditoría se pueden utilizar para supervisar el acceso de los usuarios a los buzones, realizar auditorías en busca de actividades sospechosas y depurar las configuraciones de los proveedores de control de acceso y disponibilidad.
nota
La política AmazonWorkMailFullAccessadministrada no incluye todos los permisos necesarios para administrar las entregas de registros. Si utiliza esta política para administrar WorkMail, asegúrese de que el principal (por ejemplo, el rol asumido) utilizado para configurar las entregas de registros también tenga todos los permisos necesarios.
Amazon WorkMail admite tres destinos de entrega para los registros de auditoría: CloudWatch Logs, Amazon S3 y Amazon Data Firehose. Para obtener más información, consulte Registros que requieren permisos adicionales [V2] en la Guía del usuario de Amazon CloudWatch Logs.
Además de los permisos enumerados en Registro que requiere permisos adicionales [V2], Amazon WorkMail requiere un permiso adicional para configurar la entrega de registros:workmail:AllowVendedLogDeliveryForResource.
La entrega de un registro funcional consta de tres elementos:
-
DeliverySource, un objeto lógico que representa el recurso o los recursos que envían los registros. Para Amazon WorkMail, es la WorkMail Organización Amazon.
-
Un DeliveryDestination, que es un objeto lógico que representa el destino de entrega real.
-
Una entrega, que conecta una fuente de entrega con el destino de entrega.
Para configurar la entrega de registros entre Amazon WorkMail y un destino, puedes hacer lo siguiente:
-
Crea una fuente de entrega con PutDeliverySource.
-
Cree un destino de entrega con PutDeliveryDestination.
-
Si vas a entregar registros entre cuentas, debes usarlos PutDeliveryDestinationPolicyen la cuenta de destino para asignar una IAM política al destino. Esta política autoriza la creación de una entrega desde la fuente de entrega de la cuenta A hasta el destino de la entrega de la cuenta B.
-
Cree una entrega combinando exactamente una fuente de entrega y un destino de entrega mediante CreateDelivery.
En las siguientes secciones se proporcionan los detalles de los permisos que debe tener al iniciar sesión para configurar la entrega de registros a cada tipo de destino. Estos permisos se pueden conceder a un IAM rol con el que hayas iniciado sesión.
importante
Es tu responsabilidad eliminar los recursos de entrega de registros después de eliminar el recurso generador de registros.
Para eliminar los recursos de entrega de registros después de eliminar el recurso generador de registros, sigue estos pasos.
-
Elimine la entrega mediante la DeleteDeliveryoperación.
-
Elimine la DeliverySourcemediante la DeleteDeliverySourceoperación.
-
Si el DeliveryDestinationelemento asociado al DeliverySourceque acaba de eliminar se usa solo para este DeliverySourcepropósito específico, puede eliminarlo mediante la DeleteDeliveryDestinationsoperación.
Configuración del registro de auditoría mediante la WorkMail consola de Amazon
Puedes configurar el registro de auditoría en la WorkMail consola de Amazon:
-
Abre la WorkMail consola de Amazon en https://console.aws.amazon.com/workmail/
. Si es necesario, cambia la AWS región. En la barra situada en la parte superior de la ventana de la consola, abra la lista Seleccione una región y seleccione una región. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.
-
En el panel de navegación, elija Organizaciones y, a continuación, elija el nombre de su organización.
Seleccione la configuración de registro.
Seleccione la pestaña Configuración del registro de auditoría.
Configure las entregas para el tipo de registro requerido mediante el widget correspondiente.
-
Seleccione Guardar.
Los registros se envían a CloudWatch Logs
Permisos de usuario
Para habilitar el envío de CloudWatch registros a Logs, debe iniciar sesión con los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyCWL", "Effect": "Allow", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:region:account-id:*" ] } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
Política de recursos del grupo de registro
El grupo de registro al que se envían los registros debe tener una política de recursos que incluya determinados permisos. Si el grupo de registros actualmente no tiene una política de recursos y el usuario que configura el registro tiene los logs:PutResourcePolicy logs:DescribeLogGroups permisos y los permisos para el grupo de registros, crea AWS automáticamente la siguiente política para él cuando comience a enviar los CloudWatch registros a Logs. logs:DescribeResourcePolicies
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSLogDeliveryWrite20150319", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":[ "arn:aws:logs:region:account-id:log-group:my-log-group:log-stream:*" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:*" ] } } } ] }
Consideraciones de límite de tamaño de la política de recursos del grupo de registro
Estos servicios deben enumerar cada grupo de registros al que envían registros en la política de recursos. CloudWatch Las políticas de recursos de registros están limitadas a 5.120 caracteres. Un servicio que envía registros a un gran número de grupos de registro puede alcanzar este límite.
Para mitigar esta situación, CloudWatch Logs supervisa el tamaño de las políticas de recursos utilizadas por el servicio que envía los registros. Cuando detecta que una política se acerca al límite de tamaño de 5.120 caracteres, CloudWatch Logs activa automáticamente /aws/vendedlogs/* la política de recursos de ese servicio. Puede comenzar a utilizar grupos de registro con nombres que comiencen por /aws/vendedlogs/ como los destinos de los registros de estos servicios.
Registros enviados a Amazon S3
Permisos de usuario
Para habilitar el envío de registros a Amazon S3, debe iniciar sesión con los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyS3", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucket-name" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
El bucket de S3 al que se envían los registros debe tener una política de recursos que incluya determinados permisos. Si el bucket no tiene actualmente una política de recursos y el usuario que configura el registro tiene los S3:PutBucketPolicy permisos S3:GetBucketPolicy y para el bucket, creará AWS
automáticamente la siguiente política para él cuando comience a enviar los registros a Amazon S3.
{ "Version":"2012-10-17", "Id":"AWSLogDeliveryWrite20150319", "Statement":[ { "Sid":"AWSLogDeliveryAclCheck", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::my-bucket", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } }, { "Sid":"AWSLogDeliveryWrite", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket/AWSLogs/account-id/*", "Condition":{ "StringEquals":{ "s3:x-amz-acl":"bucket-owner-full-control", "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } } ] }
En la política anterior, paraaws:SourceAccount, especifique la lista de cuentas IDs para las que se van a entregar los registros a este depósito. Paraaws:SourceArn, especifique la lista ARNs del recurso que genera los registros, en el formularioarn:aws:logs:. source-region:source-account-id:*
Si el depósito tiene una política de recursos, pero esa política no contiene la declaración que se muestra en la política anterior y el usuario que configura el registro tiene S3:PutBucketPolicy los permisos S3:GetBucketPolicy y los permisos para el depósito, esa declaración se adjunta a la política de recursos del depósito.
nota
En algunos casos, es posible que veas AccessDenied errores al AWS CloudTrail indicar si no se ha concedido el s3:ListBucket permiso. delivery.logs.amazonaws.com Para evitar estos errores en tus CloudTrail registros, debes conceder el s3:ListBucket permiso adelivery.logs.amazonaws.com. También debe incluir los Condition parámetros que se muestran con el s3:GetBucketAcl permiso establecido en la política de bucket anterior. Para simplificarlo, en lugar de crear uno nuevoStatement, puedes actualizar directamente el AWSLogDeliveryAclCheck futuro“Action”:
[“s3:GetBucketAcl”, “s3:ListBucket”].
Uso de cifrado del servidor del bucket de Amazon S3
Puede proteger los datos de su bucket de Amazon S3 habilitando el cifrado del lado del servidor con claves administradas por Amazon SSE S3 (-S3) o el cifrado del lado del servidor con una AWS KMS clave almacenada en (-). AWS Key Management Service SSE KMS Para obtener más información, consulte Protección de los datos con el cifrado del servidor.
Si elige SSE -S3, no se requiere ninguna configuración adicional. Amazon S3 se encarga de la clave de cifrado.
aviso
Si elige SSE -KMS, debe usar una clave administrada por el cliente, ya que Clave administrada de AWS no se admite el uso de una en este escenario. Si configuras el cifrado con una clave AWS gestionada, los registros se entregarán en un formato ilegible.
Cuando utilizas una AWS KMS clave gestionada por el cliente, puedes especificar el nombre del recurso de Amazon (ARN) de la clave gestionada por el cliente al activar el cifrado de buckets. Añada lo siguiente a la política de claves de su clave gestionada por el cliente (no a la política de bucket de su bucket de S3), de modo que la cuenta de entrega de registros pueda escribir en su bucket de S3.
Si eliges SSE -KMS, debes usar una clave administrada por el cliente, ya que no se admite el uso de una clave AWS administrada en este escenario. Cuando utilizas una AWS KMS clave gestionada por el cliente, puedes especificar el nombre del recurso de Amazon (ARN) de la clave gestionada por el cliente al activar el cifrado de buckets. Añada lo siguiente a la política de claves de su clave gestionada por el cliente (no a la política de bucket de su bucket de S3), de modo que la cuenta de entrega de registros pueda escribir en su bucket de S3.
{ "Sid":"Allow Logs Delivery to use the key", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } }
Para elloaws:SourceAccount, especifique la lista de cuentas IDs para las que se van a entregar los registros a este depósito. Paraaws:SourceArn, especifique la lista ARNs del recurso que genera los registros, en el formularioarn:aws:logs:. source-region:source-account-id:*
Registros enviados a Firehose
Permisos de usuario
Para habilitar el envío de registros a Firehose, debe iniciar sesión con los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyFH", "Effect": "Allow", "Action": [ "firehose:TagDeliveryStream" ], "Resource": [ "arn:aws:firehose:region:account-id:deliverystream/*" ] }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::account-id:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
IAMroles utilizados para los permisos de recursos
Como Firehose no usa políticas de recursos, AWS usa IAM roles al configurar estos registros para enviarlos a Firehose. AWS crea un rol vinculado a un servicio denominado AWSServiceRoleForLogDelivery. Esta función vinculada al servicio incluye los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch", "firehose:ListTagsForDeliveryStream" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/LogDeliveryEnabled": "true" } }, "Effect": "Allow" } ] }
Esta función vinculada al servicio concede permisos para todas las transmisiones de entrega de Firehose que tengan la LogDeliveryEnabled etiqueta establecida en. true AWS asigna esta etiqueta al flujo de entrega de destino cuando configuras el registro.
Este rol vinculado a un servicio también tiene una política de confianza que permite que la entidad principal de servicio delivery.logs.amazonaws.com asuma el rol vinculado al servicio necesario. Esta política de confianza es la siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Permisos específicos de la consola
Además de los permisos enumerados en las secciones anteriores, si va a configurar la entrega de registros mediante la consola en lugar de mediante la consolaAPIs, también necesitará los siguientes permisos:
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowLogDeliveryActions", "Effect":"Allow", "Action":[ "firehose:DescribeDeliveryStream", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:logs:region:account-id:log-group:*", "arn:aws:firehose:region:account-id:deliverystream/*", "arn:aws:s3:::*" ] }, { "Sid":"ListAccessForDeliveryDestinations", "Effect":"Allow", "Action":[ "logs:DescribeLogGroups", "firehose:ListDeliveryStreams", "s3:ListAllMyBuckets" ], "Resource":"*" } ] }
