Mengaktifkan pencatatan peristiwa email - Amazon WorkMail
Mengaktifkan pencatatan peristiwa emailMembuat grup log kustom dan IAM peran untuk pencatatan peristiwa emailMematikan pencatatan peristiwa emailPencegahan confused deputy lintas layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan pencatatan peristiwa email

Anda mengaktifkan pencatatan peristiwa email di WorkMail konsol Amazon untuk melacak pesan email untuk organisasi Anda. Pencatatan peristiwa email menggunakan peran AWS Identity and Access Management terkait layanan (SLR) untuk memberikan izin untuk mempublikasikan log peristiwa email ke Amazon. CloudWatch Untuk informasi selengkapnya tentang peran IAM terkait layanan, lihat. Menggunakan peran tertaut layanan untuk Amazon ECS WorkMail

Dalam log CloudWatch peristiwa, Anda dapat menggunakan alat CloudWatch pencarian dan metrik untuk melacak pesan dan memecahkan masalah email. Untuk informasi selengkapnya tentang log peristiwa yang WorkMail dikirimkan Amazon CloudWatch, lihatMemantau log peristiwa WorkMail email Amazon. Untuk informasi selengkapnya tentang CloudWatch Log, lihat Panduan Pengguna CloudWatch Log Amazon.

Mengaktifkan pencatatan peristiwa email

Berikut ini terjadi ketika Anda mengaktifkan pencatatan peristiwa email menggunakan pengaturan default, Amazon WorkMail:

  • Menciptakan peran AWS Identity and Access Management terkait layanan —. AmazonWorkMailEvents

  • Membuat grup CloudWatch log —/aws/workmail/emailevents/organization-alias.

  • Menetapkan retensi CloudWatch log ke 30 hari.

Cara mengaktifkan pencatatan peristiwa email

  1. Buka WorkMail konsol Amazon di https://console.aws.amazon.com/workmail/.

    Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar Pilih Wilayah dan pilih Wilayah. Untuk informasi selengkapnya, lihat Wilayah dan titik akhir di Referensi Umum Amazon Web.

  2. Di panel navigasi, pilih Organizations, lalu pilih nama organisasi Anda.

  3. Di panel navigasi, pilih Pengaturan logging.

  4. Pilih tab Pengaturan log alur email.

  5. Di bagian Pengaturan log alur email, pilih Edit.

  6. Pindahkan slider Aktifkan acara email ke posisi aktif.

  7. Lakukan salah satu hal berikut ini:

    • (Disarankan) Pilih Gunakan pengaturan default.

    • (Opsional) Hapus Gunakan pengaturan default, dan pilih Grup Log Tujuan dan IAMPeran dari daftar yang muncul.

      catatan

      Pilih opsi ini hanya jika Anda telah membuat grup log dan IAM peran kustom menggunakan AWS CLI. Untuk informasi selengkapnya, lihat Membuat grup log kustom dan IAM peran untuk pencatatan peristiwa email.

  8. Pilih Saya mengotorisasi Amazon WorkMail untuk menerbitkan log di akun saya menggunakan konfigurasi ini.

  9. Pilih Simpan.

Membuat grup log kustom dan IAM peran untuk pencatatan peristiwa email

Sebaiknya gunakan pengaturan default saat mengaktifkan pencatatan peristiwa email untuk Amazon WorkMail. Jika Anda memerlukan konfigurasi pemantauan khusus, Anda dapat menggunakannya AWS CLI untuk membuat grup log khusus dan IAM peran khusus untuk pencatatan peristiwa email.

Untuk membuat grup log kustom dan IAM peran untuk pencatatan peristiwa email

  1. Gunakan AWS CLI perintah berikut untuk membuat grup log di AWS Wilayah yang sama dengan WorkMail organisasi Amazon Anda. Untuk informasi selengkapnya, lihat create-log-groupdi Referensi AWS CLI Perintah.

    aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

  2. Buat file yang berisi kebijakan berikut ini:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. Gunakan AWS CLI perintah berikut untuk membuat IAM peran dan lampirkan file ini sebagai dokumen kebijakan peran. Untuk informasi lebih lanjut, lihat create-role dalam Referensi Perintah AWS CLI .

    aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
    catatan

    Jika Anda pengguna kebijakan WorkMailFullAccess terkelola, Anda harus menyertakan istilah tersebut workmail dalam nama peran. Kebijakan terkelola ini hanya memungkinkan Anda mengkonfigurasi pencatatan peristiwa email menggunakan peran dengan workmail dalam nama tersebut. Untuk informasi selengkapnya, lihat Memberikan izin pengguna untuk meneruskan peran ke AWS layanan di IAMPanduan Pengguna.

  4. Buat file yang berisi kebijakan untuk IAM peran yang Anda buat di langkah sebelumnya. Minimal, kebijakan harus memberikan izin untuk peran untuk membuat pengaliran log dan menempatkan peristiwa log ke grup log yang Anda buat pada langkah 1.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
        }
    ]
}

  5. Gunakan AWS CLI perintah berikut untuk melampirkan file kebijakan ke IAM peran. Untuk informasi selengkapnya, lihat put-role-policydi Referensi AWS CLI Perintah.

    aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

Mematikan pencatatan peristiwa email

Matikan pencatatan peristiwa email dari WorkMail konsol Amazon. Jika Anda tidak perlu lagi menggunakan pencatatan peristiwa email, sebaiknya hapus grup CloudWatch log terkait dan peran terkait layanan juga. Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan untuk Amazon ECS WorkMail.

Untuk mematikan pencatatan peristiwa email

  1. Buka WorkMail konsol Amazon di https://console.aws.amazon.com/workmail/.

    Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar Pilih Wilayah dan pilih Wilayah. Untuk informasi selengkapnya, lihat Wilayah dan titik akhir di Referensi Umum Amazon Web.

  2. Di panel navigasi, pilih Organizations, lalu pilih nama organisasi Anda.

  3. Di panel navigasi, pilih Pemantauan.

  4. Di bagian Pengaturan log, pilih Edit.

  5. Pindahkan penggeser Aktifkan acara email ke posisi mati.

  6. Pilih Simpan.

Pencegahan confused deputy lintas layanan

Masalah confused deputy adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil).

Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain yang tidak akan memiliki izin untuk mengaksesnya.

Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi aws:SourceAccountglobal aws:SourceArndan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan CloudWatch Log dan Amazon S3 ke layanan yang menghasilkan log. Jika Anda menggunakan kedua kunci konteks kondisi global, nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.

Nilai aws:SourceArn harus menjadi sumber pengiriman yang menghasilkan log. ARNs

Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci konteks kondisi aws:SourceArn global dengan penuh ARN sumber daya. Jika Anda tidak mengetahui sumber daya yang lengkap ARN atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian yang tidak diketahui dari file. ARN