Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon WorkMail
Amazon WorkMail (préfixe de service :workmail) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par Amazon WorkMail
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [autorisation uniquement] | Accorde l'autorisation de configurer la livraison des journaux vendus pour les journaux WorkMail d'audit | Écrire | |||
| AssociateDelegateToResource | Accorde l'autorisation d'ajouter un membre (utilisateur ou groupe) à l'ensemble de délégués de la ressource. | Écriture | |||
| AssociateMemberToGroup | Accorde l'autorisation d'ajouter un membre (utilisateur ou groupe) à l'ensemble du groupe | Écrire | |||
| AssumeImpersonationRole | Accorde l'autorisation d'assumer un rôle d'usurpation d'identité pour l'organisation Amazon donnée WorkMail | Écrire | |||
| CancelMailboxExportJob | Accorde l'autorisation d'annuler une tâche d'exportation de boîte aux lettres en cours d'exécution | Écrire | |||
| CreateAlias | Accorde l'autorisation d'ajouter un alias à l'ensemble d'un membre donné (utilisateur ou groupe) de WorkMail | Écrire | |||
| CreateAvailabilityConfiguration | Accorde l'autorisation de créer un AvailabilityConfiguration pour l' WorkMail organisation et le domaine Amazon concernés | Écrire | |||
| CreateGroup | Accorde l'autorisation de créer un groupe qui peut être utilisé WorkMail en appelant l' RegisterToWorkMail opération | Écrire | |||
| CreateIdentityCenterApplication | Accorde l'autorisation de créer une application Identity Center pour WorkMail | Écrire | |||
| CreateImpersonationRole | Accorde l'autorisation de créer un rôle d'usurpation d'identité pour l'organisation Amazon donnée WorkMail | Écrire | |||
| CreateInboundMailFlowRule [autorisation uniquement] | Accorde l'autorisation de créer une règle de flux de messagerie entrant qui s'applique à tous les messages envoyés à une organisation | Écriture | |||
| CreateMailDomain [autorisation uniquement] | Accorde l'autorisation de créer un domaine de messagerie. | Écrire | |||
| CreateMobileDeviceAccessRule | Accorde l'autorisation de créer une règle d'accès aux appareils mobiles | Écrire | |||
| CreateOrganization | Accorde l'autorisation de créer une nouvelle WorkMail organisation Amazon | Écrire | |||
| CreateOutboundMailFlowRule [autorisation uniquement] | Accorde l'autorisation de créer une règle de flux de messagerie sortant qui s'applique à tous les messages envoyés à partir d'une organisation | Écrire | |||
| CreateResource | Accorde l'autorisation de créer une nouvelle WorkMail ressource | Écrire | |||
| CreateSmtpGateway [autorisation uniquement] | Accorde l'autorisation d'enregistrer une passerelle SMTP auprès d'une organisation WorkMail | Écrire | |||
| CreateUser | Accorde l'autorisation de créer un utilisateur, qui peut être activée ultérieurement en appelant l' RegisterToWorkMail opération | Écrire | |||
| DeleteAccessControlRule | Accorde l'autorisation de supprimer une règle de contrôle d'accès | Écriture | |||
| DeleteAlias | Accorde l'autorisation de supprimer un ou plusieurs alias spécifiés d'un ensemble d'alias pour un utilisateur donné. | Écrire | |||
| DeleteAvailabilityConfiguration | Accorde l'autorisation de supprimer le AvailabilityConfiguration pour l' WorkMail organisation et le domaine Amazon concernés | Écrire | |||
| DeleteEmailMonitoringConfiguration | Accorde l'autorisation de supprimer la configuration de surveillance des e-mails d'une organisation | Écrire | |||
| DeleteGroup | Accorde l'autorisation de supprimer un groupe de WorkMail | Écrire | |||
| DeleteIdentityCenterApplication | Accorde l'autorisation de supprimer une application Identity Center pour WorkMail | Écrire | |||
| DeleteIdentityProviderConfiguration | Accorde l'autorisation de supprimer la configuration du fournisseur d'identité pour l'organisation | Écrire | |||
| DeleteImpersonationRole | Accorde l'autorisation de supprimer un rôle d'usurpation d'identité pour l'organisation Amazon donnée WorkMail | Écrire | |||
| DeleteInboundMailFlowRule [autorisation uniquement] | Accorde l'autorisation de supprimer une règle de flux de messagerie entrant pour qu'elle ne s'applique plus aux e-mails envoyés à une organisation | Écriture | |||
| DeleteMailDomain [autorisation uniquement] | Accorde l'autorisation de supprimer un domaine de messagerie inutilisé d'une organisation | Écriture | |||
| DeleteMailboxPermissions | Accorde l'autorisation de supprimer les autorisations accordées à un membre (utilisateur ou groupe) | Écriture | |||
| DeleteMobileDevice [autorisation uniquement] | Accorde l'autorisation de supprimer un appareil mobile d'un utilisateur | Écrire | |||
| DeleteMobileDeviceAccessOverride | Accorde l'autorisation de supprimer un remplacement d'accès aux appareils mobiles | Écrire | |||
| DeleteMobileDeviceAccessRule | Accorde l'autorisation de supprimer une règle d'accès aux appareils mobiles | Écrire | |||
| DeleteOrganization | Accorde l'autorisation de supprimer une WorkMail organisation Amazon et toutes les AWS ressources sous-jacentes gérées par Amazon dans le WorkMail cadre de l'organisation | Écrire | |||
| DeleteOutboundMailFlowRule [autorisation uniquement] | Accorde l'autorisation de supprimer une règle de flux de messagerie sortant pour qu'elle ne s'applique plus aux e-mails envoyés à partir d'une organisation | Écrire | |||
| DeletePersonalAccessToken | Autorise la suppression d'un jeton d'accès personnel | Écrire | |||
| DeleteResource | Accorde l'autorisation de supprimer la ressource spécifiée | Écriture | |||
| DeleteRetentionPolicy | Accorde l'autorisation de supprimer la politique de rétention en fonction des identifiants d'organisation et de politique fournis. | Écriture | |||
| DeleteSmtpGateway [autorisation uniquement] | Accorde l'autorisation de supprimer une passerelle SMTP d'une organisation | Écrire | |||
| DeleteUser | Accorde l'autorisation de supprimer un utilisateur du système WorkMail et de tous les systèmes suivants | Écrire | |||
| DeliverToMailbox [autorisation uniquement] | Autorise l'envoi d'e-mails à une WorkMail organisation via l' MailManager DeliverToMailbox action SES | Écrire | |||
| DeregisterFromWorkMail | Accorde l'autorisation de marquer un utilisateur, un groupe ou une ressource comme n'étant plus utilisé dans WorkMail | Écrire | |||
| DeregisterMailDomain | Accorde l'autorisation d'annuler l'enregistrement d'un domaine de messagerie d'une organisation | Écrire | |||
| DescribeEmailMonitoringConfiguration | Accorde l'autorisation de récupérer la configuration de surveillance des e-mails d'une organisation | Lecture | |||
| DescribeEntity | Accorde l'autorisation de lire les détails d'une entité | Lecture | |||
| DescribeGroup | Accorde l'autorisation de lire les détails d'un groupe | Liste | |||
| DescribeIdentityProviderConfiguration | Accorde l'autorisation de lire la configuration du fournisseur d'identité pour l'organisation | Lecture | |||
| DescribeInboundDmarcSettings | Accorde l'autorisation de lire les paramètres d'une stratégie DMARC pour une organisation spécifiée | Lecture | |||
| DescribeInboundMailFlowRule [autorisation uniquement] | Accorde l'autorisation de lire les détails d'une règle de flux de messagerie entrant configurée pour une organisation | Lecture | |||
| DescribeMailDomains [autorisation uniquement] | Accorde l'autorisation d'affiche les détails de tous les domaines de messagerie associés à l'organisation | Liste | |||
| DescribeMailboxExportJob | Accorde l'autorisation de récupérer les détails d'une tâche d'exportation de boîte aux lettres | Lecture | |||
| DescribeOrganization | Accorde l'autorisation de lire les détails d'une organisation | Liste | |||
| DescribeOutboundMailFlowRule [autorisation uniquement] | Accorde l'autorisation de lire les détails d'une règle de flux de messagerie sortant configurée pour une organisation | Lecture | |||
| DescribeResource | Accorde l'autorisation de lire les détails d'une ressource | Liste | |||
| DescribeSmtpGateway [autorisation uniquement] | Accorde l'autorisation de lire les détails d'une passerelle SMTP enregistrée auprès d'une organisation | Lecture | |||
| DescribeUser | Accorde l'autorisation de lire les détails d'un utilisateur | Liste | |||
| DisassociateDelegateFromResource | Accorde l'autorisation de supprimer un membre de l'ensemble de délégués de la ressource | Écriture | |||
| DisassociateMemberFromGroup | Accorde l'autorisation de supprimer un membre d'un groupe. | Écriture | |||
| EnableMailDomain [autorisation uniquement] | Accorde l'autorisation d'activer un domaine de messagerie dans l'organisation | Écrire | |||
| GetAccessControlEffect | Accorde l'autorisation d'obtenir les effets des règles de contrôle d'accès telles qu'elles s'appliquent à une IPv4 adresse, à une action de protocole d'accès ou à un ID utilisateur spécifiés | Lecture | |||
| GetDefaultRetentionPolicy | Accorde l'autorisation de récupérer la politique de rétention associée au niveau de l'organisation | Lecture | |||
| GetImpersonationRole | Accorde l'autorisation de récupérer un rôle d'usurpation d'identité pour l'organisation Amazon donnée WorkMail | Lecture | |||
| GetImpersonationRoleEffect | Accorde l’autorisation d'obtenir l'effet des règles associées à un rôle d'usurpation d'identité pour un utilisateur spécifique | Lecture | |||
| GetJournalingRules [autorisation uniquement] | Accorde l'autorisation de lires les adresses e-mail de journalisation et de secours configurées pour la journalisation des e-mails | Lecture | |||
| GetMailDomain | Accorde l'autorisation de récupérer les détails d'un domaine de messagerie donné dans une organisation | Lecture | |||
| GetMailDomainDetails [autorisation uniquement] | Accorde l'autorisation d'obtenir les détails du domaine de messagerie | Lecture | |||
| GetMailboxDetails | Accorde l'autorisation de lire les détails de la boîte aux lettres de l'utilisateur | Lecture | |||
| GetMobileDeviceAccessEffect | Accorde l'autorisation de simuler l'effet des règles d'accès aux appareils mobiles pour les attributs donnés d'un exemple d'événement d'accès | Lecture | |||
| GetMobileDeviceAccessOverride | Accorde l'autorisation de récupérer un remplacement d'accès aux appareils mobiles | Lecture | |||
| GetMobileDeviceDetails [autorisation uniquement] | Accorde l'autorisation d'obtenir les détails de l'appareil mobile | Lecture | |||
| GetMobileDevicesForUser [autorisation uniquement] | Accorde l'autorisation d'obtenir la liste des appareils mobiles associés à l'utilisateur | Lecture | |||
| GetMobilePolicyDetails [autorisation uniquement] | Accorde l'autorisation d'obtenir les détails de la politique d'appareil mobile associée à l'organisation | Lecture | |||
| GetPersonalAccessTokenMetadata | Accorde l'autorisation de lire les métadonnées d'un jeton d'accès personnel | Lecture | |||
| ListAccessControlRules | Accorde l'autorisation de répertorier les règles de contrôle d'accès | Lecture | |||
| ListAliases | Accorde l'autorisation de répertorier les alias associés à une entité donnée | Liste | |||
| ListAvailabilityConfigurations | Accorde l'autorisation de répertorier tous AvailabilityConfiguration les éléments pour l' WorkMail organisation Amazon donnée | Lecture | |||
| ListGroupMembers | Accorde l'autorisation de lire une vue d'ensemble des membres d'un groupe. Les utilisateurs et les groupes peuvent être membres d'un groupe | Liste | |||
| ListGroups | Accorde l'autorisation de répertorier des récapitulatifs des groupes de l'organisation. | Liste | |||
| ListGroupsForEntity | Accorde l'autorisation de répertorier les groupes auxquels une entité appartient | Liste | |||
| ListImpersonationRoles | Accorde l'autorisation de répertorier les rôles d'usurpation d'identité pour l'organisation Amazon donnée WorkMail | Liste | |||
| ListInboundMailFlowRules [autorisation uniquement] | Accorde l'autorisation de répertorier les règles de flux de messagerie entrant configurées pour une organisation | Liste | |||
| ListMailDomains | Accorde l'autorisation de répertorier les domaines de messagerie d'une organisation donnée | Liste | |||
| ListMailboxExportJobs | Accorde l'autorisation de répertorier les tâches d'exportation de boîtes aux lettres | Liste | |||
| ListMailboxPermissions | Accorde l'autorisation de répertorier les autorisations de boîte aux lettres associées à une boîte aux lettres utilisateur, groupe ou ressource. | Liste | |||
| ListMobileDeviceAccessOverrides | Accorde l'autorisation de répertorier les remplacements d'accès aux appareils mobiles | Lecture | |||
| ListMobileDeviceAccessRules | Accorde l'autorisation de répertorier les règles d'accès aux appareils mobiles | Lecture | |||
| ListOrganizations | Accorde l'autorisation de répertorier les organisations non supprimées | Liste | |||
| ListOutboundMailFlowRules [autorisation uniquement] | Accorde l'autorisation de répertorier les règles de flux de messagerie sortant configurées pour une organisation | Liste | |||
| ListPersonalAccessTokens | Accorde l'autorisation de répertorier les métadonnées pour les jetons d'accès personnels | Liste | |||
| ListResourceDelegates | Accorde l'autorisation de répertorier les délégués associés à une ressource. | Liste | |||
| ListResources | Accorde l'autorisation de répertorier les ressources de l'organisation | Liste | |||
| ListSmtpGateways [autorisation uniquement] | Accorde l'autorisation de répertorier les passerelles SMTP enregistrées dans l'organisation | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises appliquées à une ressource d' WorkMail organisation Amazon | Liste | |||
| ListUsers | Accorde l'autorisation de répertorier les utilisateurs de l'organisation | Liste | |||
| PutAccessControlRule | Accorde l'autorisation d'ajouter une nouvelle règle de contrôle d'accès | Écrire | |||
| PutEmailMonitoringConfiguration | Accorde l'autorisation d'ajouter ou de mettre à jour la configuration de surveillance des e-mails d'une organisation | Écrire | |||
| PutIdentityProviderConfiguration | Accorde l'autorisation d'ajouter ou de mettre à jour la configuration du fournisseur d'identité pour l'organisation | Écrire | |||
| PutInboundDmarcSettings | Accorde l'autorisation d'activer ou de désactiver une stratégie DMARC pour une organisation donnée | Écrire | |||
| PutMailboxPermissions | Accorde l'autorisation de définir des autorisations pour un utilisateur, un groupe ou une ressource, en remplaçant toutes les autorisations existantes | Écrire | |||
| PutMobileDeviceAccessOverride | Accorde l'autorisation d'aouter ou de mettre à jour un remplacement d'accès aux appareils mobiles | Écrire | |||
| PutRetentionPolicy | Accorde l'autorisation d'ajouter ou de mettre à jour la politique de rétention | Écrire | |||
| RegisterMailDomain | Accorde l'autorisation d'enregistrer un nouveau domaine de messagerie dans une organisation | Écrire | |||
| RegisterToWorkMail | Accorde l'autorisation d'enregistrer un utilisateur, un groupe ou une ressource existant ou désactivé à utiliser en associant une boîte aux lettres et des fonctionnalités de calendrier | Écrire | |||
| ResetPassword | Accorde l'autorisation à l'administrateur de réinitialiser le mot de passe d'un utilisateur | Écriture | |||
| SearchMembers [autorisation uniquement] | Accorde l'autorisation d'effectuer une recherche par préfixe pour trouver un utilisateur spécifique dans un groupe de messagerie | Lecture | |||
| SetDefaultMailDomain [autorisation uniquement] | Accorde l'autorisation de définir le domaine de messagerie par défaut pour l'organisation | Écriture | |||
| SetJournalingRules [autorisation uniquement] | Accorde l'autorisation de définir les adresses e-mail de journalisation et de secours pour la journalisation des e-mails | Écriture | |||
| SetMobilePolicyDetails [autorisation uniquement] | Accorde l'autorisation de définir les détails d'une politique mobile associée à l'organisation | Écriture | |||
| StartMailboxExportJob | Accorde l'autorisation de démarrer une nouvelle tâche d'exportation de boîtes aux lettres | Écrire | |||
| TagResource | Accorde l'autorisation de baliser la ressource d' WorkMail organisation Amazon spécifiée | Identification | |||
| TestAvailabilityConfiguration | Accorde l'autorisation d'effectuer un test sur un fournisseur de disponibilité pour s'assurer que l'accès est autorisé | Lecture | |||
| TestInboundMailFlowRules [autorisation uniquement] | Accorde l'autorisation de tester les règles entrantes qui s'appliqueront à un e-mail avec un expéditeur et un destinataire donnés | Écriture | |||
| TestOutboundMailFlowRules [autorisation uniquement] | Accorde l'autorisation de tester les règles sortantes qui s'appliqueront à un e-mail avec un expéditeur et un destinataire donnés | Écrire | |||
| UntagResource | Accorde l'autorisation de supprimer le balisage de la ressource d' WorkMail organisation Amazon spécifiée | Identification | |||
| UpdateAvailabilityConfiguration | Autorise la mise à jour d'une WorkMail organisation et d'un domaine Amazon existants AvailabilityConfiguration | Écrire | |||
| UpdateDefaultMailDomain | Accorde l'autorisation de mettre à jour quel domaine est le domaine par défaut d'une organisation. | Écrire | |||
| UpdateGroup | Accorde l'autorisation de mettre à jour les détails d'un groupe | Écrire | |||
| UpdateImpersonationRole | Accorde l'autorisation de mettre à jour un rôle d'usurpation d'identité existant pour l'organisation Amazon donnée WorkMail | Écrire | |||
| UpdateInboundMailFlowRule [autorisation uniquement] | Accorde l'autorisation de mettre à jour les détails d'une règle de flux de messagerie entrant qui s'applique à tous les messages envoyés à une organisation | Écriture | |||
| UpdateMailboxQuota | Accorde l'autorisation de mettre à jour la taille maximale (en Mo) de la boîte aux lettres de l'utilisateur. | Écrire | |||
| UpdateMobileDeviceAccessRule | Accorde l'autorisation de mettre à jour une règle d'accès aux appareils mobiles | Écrire | |||
| UpdateOutboundMailFlowRule [autorisation uniquement] | Accorde l'autorisation de mettre à jour les détails d'une règle de flux de messagerie sortant qui s'applique à tous les messages envoyés à partir d'une organisation | Écriture | |||
| UpdatePrimaryEmailAddress | Accorde l'autorisation de mettre à jour l'e-mail principal d'un utilisateur, d'un groupe ou d'une ressource. | Écriture | |||
| UpdateResource | Accorde l'autorisation de mettre à jour des détails de la ressource. | Écriture | |||
| UpdateSmtpGateway [autorisation uniquement] | Accorde l'autorisation de mettre à jour les détails d'une passerelle SMTP existante enregistrée auprès d'une organisation | Écrire | |||
| UpdateUser | Accorde l'autorisation de mettre à jour les détails d'un utilisateur | Écrire | |||
| WipeMobileDevice [autorisation uniquement] | Accorde l'autorisation d'effacer à distance l'appareil mobile associé au compte d'un utilisateur | Écrire |
Types de ressources définis par Amazon WorkMail
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| organization |
arn:${Partition}:workmail:${Region}:${Account}:organization/${ResourceId}
|
Clés de condition pour Amazon WorkMail
Amazon WorkMail définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur de la balise transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |
