前提条件 IAM ポリシーの例とロールの作成例: メールボックスコンテンツのエクスポート考慮事項

メールボックスコンテンツのエクスポート

Amazon WorkMail API リファレンスの StartMailboxExportJobAPIアクションを使用して、Amazon WorkMail メールボックスのコンテンツを Amazon Simple Storage Service (Amazon S3) バケットにエクスポートします。このアクションは、指定されたメールボックスから Amazon S3 バケット内の.zipファイルに、すべての E メールメッセージとカレンダー項目を MIME形式でエクスポートします。 Amazon S3 連絡先やタスクなどのその他のアイテムはエクスポートされません。

メールボックスのエクスポートジョブの終了にかかる時間は、メールボックス内のアイテムのサイズと数によって異なります。メールボックスのエクスポートジョブは一定期間にわたって行われるため、単一の時点でのメールボックスコンテンツのスナップショットを表すものではありません。エクスポートジョブのステータスを確認するには、Amazon リファレンスの DescribeMailboxExportJobまたは ListMailboxExportJobsAPIアクションを使用します。 WorkMail API

メールボックスのエクスポートジョブが完了すると、Amazon S3 バケット内の.zipファイルは、指定した対称 AWS Key Management Service （AWS KMS) カスタマーマスターキー (CMK) を使用して暗号化されます。 AWS KMS 暗号化は Amazon S3 と統合されているため、復号化されたデータは、ユーザーがにアクセスできる限り、ダウンロードしたユーザーに表示されます AWS KMS CMK。

前提条件

メールボックスコンテンツをエクスポートするための前提条件は次のとおりです。

プログラムする機能。
Amazon WorkMail 管理者アカウント。
Amazon S3 バケットでパブリックアクセスが許可されていないことを確認します。詳細については、Amazon Simple Storage Service ユーザーガイドの Amazon S3 ブロックパブリックアクセスの使用および Amazon Simple Storage Service ユーザーガイドを参照してください。
対称 AWS KMS CMK。詳細については、『AWS Key Management Service デベロッパーガイド』の「使用開始」を参照してください。
Amazon S3 バケットに書き込むアクセス許可を付与し、送信されたファイルをで暗号化するポリシーを持つ AWS Identity and Access Management （IAM) ロール AWS KMS CMK。詳細については、「Amazon との WorkMail 連携方法 IAM」を参照してください。

IAM ポリシーの例とロールの作成

次の例は、Amazon S3 バケットに書き込むアクセス許可を付与し、送信されたファイルをで暗号化する IAMポリシーを示しています AWS KMS CMK。例: メールボックスコンテンツのエクスポート次の手順でこのポリシー例を使用するには、ポリシーをファイル名のJSONファイルとして保存しますmailbox-export-policy.json。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:GetBucketPolicyStatus"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/KEY-ID"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/S3-PREFIX*"
                }
            }
        }
    ]
}

次の例は、作成したIAMロールにアタッチされたIAM信頼ポリシーを示しています。例: メールボックスコンテンツのエクスポート次の手順でこのポリシー例を使用するには、ポリシーをファイル名のJSONファイルとして保存しますmailbox-export-trust-policy.json。

aws:SourceArn および aws:SourceAccount の条件を同時に使用する必要はありません。例えば、同じロールを使用して、同じ AWS アカウントで異なる Amazon WorkMail 組織からメッセージをエクスポートする必要がある場合は、ポリシーaws:SourceArnからを削除できます。条件キーの詳細については、AWS Identity and Access Management ユーザーガイドの AWS グローバル条件コンテキストキーを参照してください。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "export.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": { 
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
      }
    }
  ]
}

次のコマンドを実行する AWS CLI と、を使用してアカウントにIAMロールを作成できます。


aws iam create-role --role-name WorkmailMailboxExportRole --assume-role-policy-document file://mailbox-export-trust-policy.json --region us-east-1


aws iam put-role-policy --role-name WorkmailMailboxExportRole --policy-name MailboxExport --policy-document file://mailbox-export-policy.json

の詳細については AWS CLI、「 AWS Command Line Interface ユーザーガイド」を参照してください。

例: メールボックスコンテンツのエクスポート

前のセクションでIAMロールとポリシーを作成したら、次の手順を実行してメールボックスコンテンツをエクスポートします。Amazon WorkMail コンソールまたは Amazon WorkMail を使用してアクセスできる Amazon 組織 ID とユーザー ID (エンティティ ID) が必要です WorkMail API。

例: メールボックスコンテンツをエクスポートするには

AWS CLI を使用してメールボックスエクスポートジョブを開始します。


aws workmail start-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --entity-id S-1-1-11-1111111111-2222222222-3333333333-3333 --kms-key-arn arn:aws:kms:us-east-1:111122223333:key/KEY-ID --role-arn arn:aws:iam::111122223333:role/WorkmailMailboxExportRole --s3-bucket-name amzn-s3-demo-bucket --s3-prefix S3-PREFIX

AWS CLI を使用して、Amazon WorkMail 組織のメールボックスエクスポートジョブの状態をモニタリングします。
```
aws workmail list-mailbox-export-jobs --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
```
または、start-mailbox-export-job コマンドによって生成されたジョブ ID を使用して、そのメールボックスエクスポートジョブの状態のみをモニタリングします。
```
aws workmail describe-mailbox-export-job --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --job-id JOB-ID
```

メールボックスのエクスポートジョブの状態がの場合COMPLETED、エクスポートされたメールボックス項目は、指定された Amazon S3 バケットの .zip ファイルで使用できます。

以下は、エクスポートされたメールボックスの出力ログの例です。



{
  "totalNonExportableItems" : "13",
  "totalMessages" : "76",
  "sha384Hash" : "4de93a***96a1dd",
  "totalBytes" : "161892",
  "totalFolders" : "15",
  "startTime" : "168***380",
  "endTime" : "168***384"
}

注記

totalNonExportable項目は、メモや連絡先など、サポートされていない項目です。

考慮事項

Amazon のメールボックスジョブをエクスポートする場合、次の考慮事項が適用されます WorkMail。

特定の Amazon WorkMail 組織に対して、最大 10 個のメールボックスエクスポートジョブを同時に実行できます。
1 つのメールボックスのメールボックスエクスポートジョブは、24 時間に 1 回だけ実行できます。
次のリソースはすべて同じ AWS リージョンに存在する必要があります。
- Amazon WorkMail 組織
- AWS KMS CMK
- Amazon S3 バケット

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

なりすましロールを使用する

トラブルシューティング