Pemberitahuan akhir dukungan: Pada 31 Maret 2027, AWS akan mengakhiri dukungan untuk Amazon WorkMail. Setelah 31 Maret 2027, Anda tidak akan lagi dapat mengakses WorkMail konsol Amazon atau WorkMail sumber daya Amazon. Untuk informasi selengkapnya, lihat [dukungan WorkMail akhir Amazon](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengaktifkan pencatatan peristiwa email
Anda mengaktifkan pencatatan peristiwa email di WorkMail konsol Amazon untuk melacak pesan email untuk organisasi Anda. Pencatatan peristiwa email menggunakan peran AWS Identity and Access Management terkait layanan (SLR) untuk memberikan izin untuk mempublikasikan log peristiwa email ke Amazon. CloudWatch Untuk informasi selengkapnya tentang peran tertaut layanan IAM, lihat [Menggunakan peran terkait layanan untuk Amazon WorkMail](using-service-linked-roles.md).
Dalam log CloudWatch peristiwa, Anda dapat menggunakan alat CloudWatch pencarian dan metrik untuk melacak pesan dan memecahkan masalah email. Untuk informasi selengkapnya tentang log peristiwa yang WorkMail dikirimkan Amazon CloudWatch, lihat[Memantau log peristiwa WorkMail email Amazon](cw-events.md). Untuk informasi selengkapnya tentang CloudWatch Log, lihat [Panduan Pengguna CloudWatch Log Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
**Topics**
+ [Mengaktifkan pencatatan peristiwa email](#enable-tracking)
+ [Membuat grup log kustom dan IAM role untuk pencatatan peristiwa email](#custom-tracking-role)
+ [Mematikan pencatatan peristiwa email](#turn-off-tracking)
+ [Pencegahan "confused deputy" lintas layanan](#cross-service-confused-deputy-prevention)
## Mengaktifkan pencatatan peristiwa email
Berikut ini terjadi ketika Anda mengaktifkan pencatatan peristiwa email menggunakan pengaturan default, Amazon WorkMail:
+ Menciptakan peran AWS Identity and Access Management terkait layanan —. `AmazonWorkMailEvents`
+ Membuat grup CloudWatch log —`/aws/workmail/emailevents/organization-alias`.
+ Menetapkan retensi CloudWatch log ke 30 hari.
**Cara mengaktifkan pencatatan peristiwa email**
1. Buka WorkMail konsol Amazon di [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar **Pilih Wilayah** dan pilih Wilayah. Untuk informasi selengkapnya, lihat [ Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) di *Referensi Umum Amazon Web*.
1. Di panel navigasi, pilih **Organizations**, lalu pilih nama organisasi Anda.
1. Di panel navigasi, pilih **Pengaturan logging**.
1. Pilih tab **Pengaturan log alur email**.
1. Di bagian **Pengaturan log alur email**, pilih **Edit**.
1. **Pindahkan slider **Aktifkan acara email** ke posisi aktif.**
1. Lakukan salah satu tindakan berikut:
+ (Disarankan) Pilih **Gunakan pengaturan default**.
+ (Opsional) Hapus **pengaturan default Gunakan**, dan pilih **Grup Log Tujuan** dan **Peran IAM** dari daftar yang muncul.
**catatan**
Pilih opsi ini hanya jika Anda telah membuat grup log dan IAM role kustom menggunakan AWS CLI. Untuk informasi selengkapnya, lihat [Membuat grup log kustom dan IAM role untuk pencatatan peristiwa email](#custom-tracking-role).
1. Pilih **Saya mengotorisasi Amazon WorkMail untuk menerbitkan log di akun saya menggunakan konfigurasi ini**.
1. Pilih **Simpan**.
## Membuat grup log kustom dan IAM role untuk pencatatan peristiwa email
Sebaiknya gunakan pengaturan default saat mengaktifkan pencatatan peristiwa email untuk Amazon WorkMail. Jika Anda memerlukan konfigurasi pemantauan khusus, Anda dapat menggunakannya AWS CLI untuk membuat grup log khusus dan peran IAM khusus untuk pencatatan peristiwa email.
**Untuk membuat grup log dan IAM role kustom untuk pencatatan peristiwa email**
1. Gunakan AWS CLI perintah berikut untuk membuat grup log di AWS Wilayah yang sama dengan WorkMail organisasi Amazon Anda. Untuk informasi selengkapnya, lihat [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html) dalam *AWS CLI Referensi Perintah*.
```
aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
```
1. Buat file yang berisi kebijakan berikut ini:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.workmail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Gunakan AWS CLI perintah berikut untuk membuat peran IAM dan lampirkan file ini sebagai dokumen kebijakan peran. Untuk informasi lebih lanjut, lihat [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) dalam *Referensi Perintah AWS CLI *.
```
aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
```
**catatan**
Jika Anda pengguna kebijakan `WorkMailFullAccess` terkelola, Anda harus menyertakan istilah `workmail` dalam nama peran. Kebijakan terkelola ini hanya memungkinkan Anda mengkonfigurasi pencatatan peristiwa email menggunakan peran dengan `workmail` dalam nama tersebut. Untuk informasi selengkapnya, lihat [Memberikan izin pengguna untuk meneruskan peran ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) di Panduan Pengguna *IAM*.
1. Buat file yang berisi kebijakan untuk peran IAM yang Anda buat di langkah sebelumnya. Minimal, kebijakan harus memberikan izin untuk peran untuk membuat pengaliran log dan menempatkan peristiwa log ke grup log yang Anda buat pada langkah 1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:example-log-group*"
}
]
}
```
------
1. Gunakan AWS CLI perintah berikut untuk melampirkan file kebijakan ke peran IAM. Untuk informasi selengkapnya, lihat [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html) dalam *AWS CLI Referensi Perintah*.
```
aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
```
## Mematikan pencatatan peristiwa email
Matikan pencatatan peristiwa email dari WorkMail konsol Amazon. Jika Anda tidak perlu lagi menggunakan pencatatan peristiwa email, sebaiknya hapus grup CloudWatch log terkait dan peran terkait layanan juga. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan untuk Amazon WorkMail](using-service-linked-roles.md#delete-slr).
**Untuk mematikan pencatatan peristiwa email**
1. Buka WorkMail konsol Amazon di [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Jika perlu, ubah AWS Wilayah. Di bilah di bagian atas jendela konsol, buka daftar **Pilih Wilayah** dan pilih Wilayah. Untuk informasi selengkapnya, lihat [ Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) di *Referensi Umum Amazon Web*.
1. Di panel navigasi, pilih **Organizations**, lalu pilih nama organisasi Anda.
1. Di panel navigasi, pilih **Pemantauan**.
1. Di bagian **Pengaturan log**, pilih **Edit**.
1. Pindahkan penggeser **Aktifkan acara email** ke posisi mati.
1. Pilih **Simpan**.
## Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*).
Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain yang tidak akan memiliki izin untuk mengaksesnya.
Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan CloudWatch Log dan Amazon S3 ke layanan yang menghasilkan log. Jika Anda menggunakan kedua kunci konteks kondisi global, nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.
Nilai `aws:SourceArn` harus menjadi sumber pengiriman yang menghasilkan log. ARNs
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui.