Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activer la journalisation des audits
Vous pouvez utiliser les journaux d'audit pour recueillir des informations détaillées sur WorkMail l'utilisation de votre organisation Amazon. Les journaux d'audit peuvent être utilisés pour surveiller l'accès des utilisateurs aux boîtes aux lettres, vérifier les activités suspectes et déboguer les configurations des fournisseurs de contrôle d'accès et de disponibilité.
Note
La politique AmazonWorkMailFullAccessgérée n'inclut pas toutes les autorisations requises pour gérer les livraisons de journaux. Si vous utilisez cette politique pour gérer WorkMail, assurez-vous que le principal (par exemple, le rôle assumé) utilisé pour configurer les livraisons de journaux dispose également de toutes les autorisations requises.
Amazon WorkMail prend en charge trois destinations de livraison pour les journaux d'audit : CloudWatch Logs, Amazon S3 et Amazon Data Firehose. Pour plus d'informations, consultez la section Journalisation nécessitant des autorisations supplémentaires [V2] dans le guide de l'utilisateur Amazon CloudWatch Logs.
Outre les autorisations répertoriées sous Logging qui nécessitent des autorisations supplémentaires [V2], Amazon a WorkMail besoin d'une autorisation supplémentaire pour configurer la livraison des journaux :workmail:AllowVendedLogDeliveryForResource.
La livraison d'un journal de travail comprend trois éléments :
-
DeliverySource, un objet logique qui représente la ou les ressources qui envoient les journaux. Pour Amazon WorkMail, il s'agit de l' WorkMailorganisation Amazon.
-
A DeliveryDestination, qui est un objet logique qui représente la destination de livraison réelle.
-
Une livraison, qui connecte une source de livraison à une destination de livraison.
Pour configurer la livraison des journaux entre Amazon WorkMail et une destination, vous pouvez effectuer les opérations suivantes :
-
Créez une source de diffusion avec PutDeliverySource.
-
Créez une destination de livraison avec PutDeliveryDestination.
-
Si vous distribuez des journaux entre comptes, vous devez les utiliser PutDeliveryDestinationPolicydans le compte de destination pour attribuer une IAM politique à la destination. Cette politique autorise la création d'une livraison depuis la source de livraison dans le compte A vers la destination de livraison dans le compte B.
-
Créez une livraison en associant exactement une source de livraison et une destination de livraison en utilisant CreateDelivery.
Les sections suivantes fournissent les détails des autorisations dont vous devez disposer lorsque vous êtes connecté pour configurer la livraison des journaux vers chaque type de destination. Ces autorisations peuvent être accordées à un IAM rôle avec lequel vous êtes connecté.
Important
Il est de votre responsabilité de supprimer les ressources de livraison de journaux après avoir supprimé la ressource génératrice de journaux.
Pour supprimer les ressources de livraison de journaux après avoir supprimé la ressource génératrice de journaux, procédez comme suit.
-
Supprimez la livraison à l'aide de l'DeleteDeliveryopération.
-
DeliverySourceSupprimez-le à l'aide de l'DeleteDeliverySourceopération.
-
Si le DeliveryDestinationfichier associé à DeliverySourcecelui que vous venez de supprimer n'est utilisé que pour ce DeliverySourceparamètre spécifique, vous pouvez le supprimer en utilisant l'DeleteDeliveryDestinationsopération.
Configuration de la journalisation des audits à l'aide de la WorkMail console Amazon
Vous pouvez configurer la journalisation des audits dans la WorkMail console Amazon :
-
Ouvrez la WorkMail console Amazon à l'adresse https://console.aws.amazon.com/workmail/
. Si nécessaire, modifiez la AWS région. Dans la barre en haut de la fenêtre de console, ouvrez la liste Sélectionnez une région et sélectionnez une région. Pour plus d'informations, consultez Régions et points de terminaison dans le Référence générale d'Amazon Web Services.
-
Dans le volet de navigation, choisissez Organizations, puis le nom de votre organisation.
Choisissez Paramètres de journalisation.
Choisissez l'onglet Paramètres du journal d'audit.
Configurez les livraisons pour le type de journal requis à l'aide du widget approprié.
-
Choisissez Save (Enregistrer).
Logs envoyés à CloudWatch Logs
Autorisations des utilisateurs
Pour activer l'envoi de CloudWatch journaux à Logs, vous devez être connecté avec les autorisations suivantes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyCWL", "Effect": "Allow", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:region:account-id:*" ] } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
Politique de ressources du groupe de journaux
Le groupe de journaux dans lequel les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le groupe de journaux n'a actuellement aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des logs:DescribeLogGroups autorisations logs:PutResourcePolicylogs:DescribeResourcePolicies, et pour le groupe de journaux, crée AWS automatiquement la politique suivante pour celui-ci lorsque vous commencez à envoyer les CloudWatch journaux à Logs.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSLogDeliveryWrite20150319", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":[ "arn:aws:logs:region:account-id:log-group:my-log-group:log-stream:*" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:*" ] } } } ] }
Considérations sur la limite de taille de la politique de ressources des groupes de journaux
Ces services doivent répertorier chaque groupe de journaux auquel ils envoient des journaux dans la politique de ressources. CloudWatch Les politiques relatives aux ressources des journaux sont limitées à 5 120 caractères. Un service qui envoie des journaux à un grand nombre de groupes de journaux peut respecter cette limite.
Pour atténuer ce problème, CloudWatch Logs surveille la taille des politiques de ressources utilisées par le service qui envoie les journaux. Lorsqu'il détecte qu'une politique approche la limite de taille de 5 120 caractères, CloudWatch Logs l'active automatiquement /aws/vendedlogs/* dans la politique de ressources pour ce service. Vous pouvez alors commencer à utiliser des groupes de journaux dont les noms commencent par /aws/vendedlogs/ comme destinations des journaux provenant de ces services.
Journaux envoyés à Amazon S3
Autorisations des utilisateurs
Pour activer l'envoi de journaux à Amazon S3, vous devez être connecté avec les autorisations suivantes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyS3", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucket-name" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
Le compartiment S3 où les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le compartiment n'a actuellement aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des S3:PutBucketPolicy autorisations S3:GetBucketPolicy et des autorisations pour le compartiment, il crée AWS
automatiquement la politique suivante pour celui-ci lorsque vous commencez à envoyer les journaux à Amazon S3.
{ "Version":"2012-10-17", "Id":"AWSLogDeliveryWrite20150319", "Statement":[ { "Sid":"AWSLogDeliveryAclCheck", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::my-bucket", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } }, { "Sid":"AWSLogDeliveryWrite", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket/AWSLogs/account-id/*", "Condition":{ "StringEquals":{ "s3:x-amz-acl":"bucket-owner-full-control", "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } } ] }
Dans la politique précédente, pouraws:SourceAccount, spécifiez la liste des comptes IDs pour lesquels les journaux sont envoyés à ce compartiment. Pouraws:SourceArn, spécifiez la liste ARNs des ressources qui génèrent les journaux, dans le formulairearn:aws:logs:. source-region:source-account-id:*
Si le bucket dispose d'une politique de ressources, mais que cette politique ne contient pas l'instruction indiquée dans la stratégie précédente, et que l'utilisateur qui configure la journalisation dispose des S3:PutBucketPolicy autorisations S3:GetBucketPolicy et pour le bucket, cette instruction est ajoutée à la politique de ressources du bucket.
Note
Dans certains cas, des AccessDenied erreurs peuvent s'afficher AWS CloudTrail si l's3:ListBucketautorisation n'a pas été accordéedelivery.logs.amazonaws.com. Pour éviter ces erreurs dans vos CloudTrail journaux, vous devez accorder l's3:ListBucketautorisation àdelivery.logs.amazonaws.com. Vous devez également inclure les Condition paramètres indiqués dans l's3:GetBucketAclautorisation définie dans la politique de compartiment précédente. Pour rationaliser cela, au lieu d'en créer un nouveauStatement, vous pouvez directement mettre à jour le AWSLogDeliveryAclCheck futur“Action”:
[“s3:GetBucketAcl”, “s3:ListBucket”].
Chiffrement côté serveur des compartiments Amazon S3
Vous pouvez protéger les données de votre compartiment Amazon S3 en activant le chiffrement côté serveur avec des clés gérées par Amazon SSE S3 (-S3) ou le chiffrement côté serveur avec une AWS KMS clé stockée dans (-). AWS Key Management Service SSE KMS Pour plus d'informations, consultez Protection des données à l'aide du chiffrement côté serveur.
Si vous choisissez SSE -S3, aucune configuration supplémentaire n'est requise. Amazon S3 gère la clé de chiffrement.
Avertissement
Si vous choisissez SSE -KMS, vous devez utiliser une clé gérée par le client, car l'utilisation d'une Clé gérée par AWS n'est pas prise en charge dans ce scénario. Si vous configurez le chiffrement à l'aide d'une clé AWS gérée, les journaux seront fournis dans un format illisible.
Lorsque vous utilisez une AWS KMS clé gérée par le client, vous pouvez spécifier le nom de ressource Amazon (ARN) de la clé gérée par le client lorsque vous activez le chiffrement des compartiments. Ajoutez ce qui suit à la politique de clé pour votre clé gérée par le client (et non à la politique de compartiment de votre compartiment S3), afin que le compte de livraison du journal puisse écrire dans votre compartiment S3.
Si vous choisissez SSE -KMS, vous devez utiliser une clé gérée par le client, car l'utilisation d'une clé AWS gérée n'est pas prise en charge dans ce scénario. Lorsque vous utilisez une AWS KMS clé gérée par le client, vous pouvez spécifier le nom de ressource Amazon (ARN) de la clé gérée par le client lorsque vous activez le chiffrement des compartiments. Ajoutez ce qui suit à la politique de clé pour votre clé gérée par le client (et non à la politique de compartiment de votre compartiment S3), afin que le compte de livraison du journal puisse écrire dans votre compartiment S3.
{ "Sid":"Allow Logs Delivery to use the key", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } }
Pouraws:SourceAccount, spécifiez la liste des comptes IDs pour lesquels les journaux sont envoyés à ce compartiment. Pouraws:SourceArn, spécifiez la liste ARNs des ressources qui génèrent les journaux, dans le formulairearn:aws:logs:. source-region:source-account-id:*
Logs envoyés à Firehose
Autorisations des utilisateurs
Pour activer l'envoi de logs à Firehose, vous devez être connecté avec les autorisations suivantes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyFH", "Effect": "Allow", "Action": [ "firehose:TagDeliveryStream" ], "Resource": [ "arn:aws:firehose:region:account-id:deliverystream/*" ] }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::account-id:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
IAMrôles utilisés pour les autorisations relatives aux ressources
Comme Firehose n'utilise pas de politiques de ressources, il AWS utilise des IAM rôles lors de la configuration de ces journaux à envoyer à Firehose. AWS crée un rôle lié à un service nommé AWSServiceRoleForLogDelivery. Ce rôle lié au service inclut les autorisations suivantes.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch", "firehose:ListTagsForDeliveryStream" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/LogDeliveryEnabled": "true" } }, "Effect": "Allow" } ] }
Ce rôle lié à un service accorde l'autorisation à tous les flux de diffusion Firehose dont la LogDeliveryEnabled balise est définie sur. true AWS attribue cette balise au flux de diffusion de destination lorsque vous configurez la journalisation.
Ce rôle lié à un service possède également une politique d'approbation qui permet au principal du service delivery.logs.amazonaws.com d'assumer le rôle lié au service nécessaire. Cette politique d'approbation est la suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Autorisations spécifiques à la console
Outre les autorisations répertoriées dans les sections précédentes, si vous configurez la livraison des journaux à l'aide de la console au lieu de laAPIs, vous devez également disposer des autorisations suivantes :
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowLogDeliveryActions", "Effect":"Allow", "Action":[ "firehose:DescribeDeliveryStream", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:logs:region:account-id:log-group:*", "arn:aws:firehose:region:account-id:deliverystream/*", "arn:aws:s3:::*" ] }, { "Sid":"ListAccessForDeliveryDestinations", "Effect":"Allow", "Action":[ "logs:DescribeLogGroups", "firehose:ListDeliveryStreams", "s3:ListAllMyBuckets" ], "Resource":"*" } ] }
