As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição para a Amazon WorkMail
A Amazon WorkMail (prefixo do serviço:workmail) fornece os seguintes recursos, ações e chaves de contexto de condições específicos do serviço para uso em IAM políticas de permissão.
Referências:
-
Saiba como configurar este serviço.
-
Veja uma lista das APIoperações disponíveis para esse serviço.
-
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pela Amazon WorkMail
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando você usa uma ação em uma política, geralmente permite ou nega acesso à API operação ou ao CLI comando com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o Resource elemento em uma IAM política, deverá incluir um padrão ARN ou para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [somente permissão] | Concede permissão para configurar a entrega de registros vendidos para registros de WorkMail auditoria | Escrever | |||
| AssociateDelegateToResource | Concede permissão para adicionar um membro (usuário ou grupo) ao conjunto de delegados do recurso. | Write | |||
| AssociateMemberToGroup | Concede permissão para adicionar um membro (usuário ou grupo) ao conjunto do grupo. | Escrever | |||
| AssumeImpersonationRole | Concede permissão para assumir uma função de falsificação de identidade para uma determinada organização da Amazon WorkMail | Escrever | |||
| CancelMailboxExportJob | Concede permissão para cancelar um trabalho de exportação de caixa postal em execução no momento. | Escrever | |||
| CreateAlias | Concede permissão para adicionar um alias ao conjunto de um determinado membro (usuário ou grupo) do WorkMail | Escrever | |||
| CreateAvailabilityConfiguration | Concede permissão para criar um AvailabilityConfiguration para a WorkMail organização e domínio da Amazon em questão | Escrever | |||
| CreateGroup | Concede permissão para criar um grupo que pode ser usado WorkMail chamando a RegisterToWorkMail operação | Escrever | |||
| CreateIdentityCenterApplication | Concede permissão para criar um aplicativo Identity Center para WorkMail | Escrever | |||
| CreateImpersonationRole | Concede permissão para criar uma função de falsificação de identidade para uma determinada organização da Amazon WorkMail | Escrever | |||
| CreateInboundMailFlowRule [somente permissão] | Concede permissão para criar uma regra de fluxo de e-mails de entrada que será aplicada a todos os e-mails enviados para uma organização. | Write | |||
| CreateMailDomain [somente permissão] | Concede permissão para criar um domínio de e-mail. | Escrever | |||
| CreateMobileDeviceAccessRule | Concede permissão para criar uma regra de acesso por dispositivos móveis. | Escrever | |||
| CreateOrganization | Concede permissão para criar uma nova WorkMail organização na Amazon | Escrever | |||
| CreateOutboundMailFlowRule [somente permissão] | Concede permissão para criar uma regra de fluxo de e-mails de saída que será aplicada a todos os e-mails enviados de uma organização. | Escrever | |||
| CreateResource | Concede permissão para criar um novo WorkMail recurso | Escrever | |||
| CreateSmtpGateway [somente permissão] | Concede permissão para registrar um SMTP gateway para uma WorkMail organização | Escrever | |||
| CreateUser | Concede permissão para criar um usuário, que pode ser ativado posteriormente chamando a RegisterToWorkMail operação | Escrever | |||
| DeleteAccessControlRule | Concede permissão para excluir uma regra de controle de acesso. | Write | |||
| DeleteAlias | Concede permissão para remover um ou mais aliases especificados de um conjunto de aliases de determinado usuário. | Escrever | |||
| DeleteAvailabilityConfiguration | Concede permissão para excluir o AvailabilityConfiguration domínio e WorkMail organização da Amazon em questão | Escrever | |||
| DeleteEmailMonitoringConfiguration | Concede permissão para excluir a configuração de monitoramento de e-mail de uma organização | Escrever | |||
| DeleteGroup | Concede permissão para excluir um grupo de WorkMail | Escrever | |||
| DeleteIdentityCenterApplication | Concede permissão para excluir um aplicativo do Identity Center para WorkMail | Escrever | |||
| DeleteIdentityProviderConfiguration | Concede permissão para excluir a configuração do provedor de identidade para a organização | Escrever | |||
| DeleteImpersonationRole | Concede permissão para excluir uma função de falsificação de identidade para uma determinada organização da Amazon WorkMail | Escrever | |||
| DeleteInboundMailFlowRule [somente permissão] | Concede permissão para remover uma regra de fluxo de e-mails de entrada para que ela não seja mais aplicada aos e-mails enviados a uma organização. | Write | |||
| DeleteMailDomain [somente permissão] | Concede permissão para remover um domínio de e-mail não utilizado de uma organização. | Write | |||
| DeleteMailboxPermissions | Concede permissão para excluir permissões concedidas a um membro (usuário ou grupo). | Write | |||
| DeleteMobileDevice [somente permissão] | Concede permissão para remover um dispositivo móvel de um usuário. | Escrever | |||
| DeleteMobileDeviceAccessOverride | Concede permissão para excluir uma sobreposição de acesso de dispositivo móvel | Escrever | |||
| DeleteMobileDeviceAccessRule | Concede permissão para excluir uma regra de acesso de dispositivo móvel | Escrever | |||
| DeleteOrganization | Concede permissão para excluir uma WorkMail organização da Amazon e todos os AWS recursos subjacentes gerenciados pela Amazon WorkMail como parte da organização | Escrever | |||
| DeleteOutboundMailFlowRule [somente permissão] | Concede permissão para remover uma regra de fluxo de e-mails de saída para que ela não se aplique mais a e-mails enviados de uma organização. | Escrever | |||
| DeletePersonalAccessToken | Concede permissão para excluir um token de acesso pessoal | Escrever | |||
| DeleteResource | Concede permissão para excluir o recurso especificado. | Write | |||
| DeleteRetentionPolicy | Concede permissão para excluir a política de retenção com base na organização fornecida e nos identificadores da política. | Write | |||
| DeleteSmtpGateway [somente permissão] | Concede permissão para remover um SMTP gateway de uma organização | Escrever | |||
| DeleteUser | Concede permissão para excluir um usuário de todos WorkMail os sistemas subsequentes | Escrever | |||
| DeliverToMailbox [somente permissão] | Concede permissão para enviar e-mails para uma WorkMail organização por meio da SES MailManager DeliverToMailbox ação | Escrever | |||
| DeregisterFromWorkMail | Concede permissão para marcar um usuário, grupo ou recurso como não mais usado no WorkMail | Escrever | |||
| DeregisterMailDomain | Concede permissão para remover o registro de um domínio de e-mail de uma organização | Escrever | |||
| DescribeEmailMonitoringConfiguration | Concede permissão para recuperar a configuração de monitoramento de e-mail de uma organização | Leitura | |||
| DescribeEntity | Concede permissão para ler detalhes de uma entidade | Leitura | |||
| DescribeGroup | Concede permissão para ler os detalhes de um grupo. | Lista | |||
| DescribeIdentityProviderConfiguration | Concede permissão para ler a configuração do provedor de identidade para a organização | Leitura | |||
| DescribeInboundDmarcSettings | Concede permissão para ler as configurações em uma DMARC política para uma organização específica | Leitura | |||
| DescribeInboundMailFlowRule [somente permissão] | Concede permissão para ler os detalhes de uma regra de fluxo de e-mails de entrada configurada para uma organização. | Read | |||
| DescribeMailDomains [somente permissão] | Concede permissão para mostrar os detalhes de todos os domínios de e-mail associados à organização. | Lista | |||
| DescribeMailboxExportJob | Concede permissão para recuperar detalhes de um trabalho de exportação de caixa postal. | Read | |||
| DescribeOrganization | Concede permissão para ler os detalhes de uma organização. | List | |||
| DescribeOutboundMailFlowRule [somente permissão] | Concede permissão para ler os detalhes de uma regra de fluxo de e-mails de saída configurada para uma organização. | Read | |||
| DescribeResource | Concede permissão para ler os detalhes de um recurso | List | |||
| DescribeSmtpGateway [somente permissão] | Concede permissão para ler os detalhes de um SMTP gateway registrado em uma organização | Leitura | |||
| DescribeUser | Concede permissão para ler detalhes de um usuário. | Lista | |||
| DisassociateDelegateFromResource | Concede permissão para remover um membro do conjunto de delegados do recurso. | Write | |||
| DisassociateMemberFromGroup | Concede permissão para remover um membro de um grupo. | Write | |||
| EnableMailDomain [somente permissão] | Concede permissão para habilitar um domínio de e-mail na organização. | Escrever | |||
| GetAccessControlEffect | Concede permissão para obter os efeitos das regras de controle de acesso conforme elas se aplicam a um IPv4 endereço específico, ação de protocolo de acesso ou ID de usuário | Leitura | |||
| GetDefaultRetentionPolicy | Concede permissão para recuperar a política de retenção associada a um nível organizacional. | Leitura | |||
| GetImpersonationRole | Concede permissão para recuperar uma função de falsificação de identidade para uma determinada organização da Amazon WorkMail | Leitura | |||
| GetImpersonationRoleEffect | Concede permissão para obter o efeito das regras associadas a uma função de representação para um usuário específico | Leitura | |||
| GetJournalingRules [somente permissão] | Concede permissão para ler os endereços de e-mail configurados de registro e fallback para o registro de e-mail. | Leitura | |||
| GetMailDomain | Concede permissão para recuperar detalhes de um determinado domínio de e-mail em uma organização | Leitura | |||
| GetMailDomainDetails [somente permissão] | Concede permissão para obter os detalhes do domínio de e-mail. | Leitura | |||
| GetMailboxDetails | Concede permissão para ler os detalhes da caixa postal do usuário. | Read | |||
| GetMobileDeviceAccessEffect | Concede permissão para simular o efeito das regras de acesso por dispositivos móveis para os atributos determinados de um evento de acesso de exemplo. | Leitura | |||
| GetMobileDeviceAccessOverride | Concede permissão para recuperar uma sobreposição de um acesso de dispositivo móvel | Leitura | |||
| GetMobileDeviceDetails [somente permissão] | Concede permissão para obter os detalhes do dispositivo móvel. | Read | |||
| GetMobileDevicesForUser [somente permissão] | Concede permissão para obter uma lista dos dispositivos móveis associados ao usuário. | Read | |||
| GetMobilePolicyDetails [somente permissão] | Concede permissão para obter os detalhes da política de dispositivos móveis associada à organização. | Leitura | |||
| GetPersonalAccessTokenMetadata | Concede permissão para ler metadados de um token de acesso pessoal | Leitura | |||
| ListAccessControlRules | Concede permissão para listar as regras de controle de acesso. | Leitura | |||
| ListAliases | Concede permissão para listar os aliases associados a determinada entidade. | Lista | |||
| ListAvailabilityConfigurations | Concede permissão para listar todos os AvailabilityConfiguration itens de uma determinada WorkMail organização da Amazon | Leitura | |||
| ListGroupMembers | Concede permissão para ler uma visão geral dos membros de um grupo. Usuários e grupos podem ser membros de um grupo. | List | |||
| ListGroups | Concede permissão para listar os resumos dos grupos da organização. | Lista | |||
| ListGroupsForEntity | Concede permissão para listar os grupos aos quais uma entidade pertence | Lista | |||
| ListImpersonationRoles | Concede permissão para listar as funções de falsificação de identidade de uma determinada organização da Amazon WorkMail | Lista | |||
| ListInboundMailFlowRules [somente permissão] | Concede permissão para listar as regras de fluxo de e-mails de entrada configuradas para uma organização. | Lista | |||
| ListMailDomains | Concede permissão para listar o domínio de e-mail de uma determinada organização | Lista | |||
| ListMailboxExportJobs | Concede permissão para listar os trabalhos de exportação de caixa postal. | List | |||
| ListMailboxPermissions | Concede permissão para listar as permissões da caixa postal associadas a um usuário, a um grupo ou a uma caixa postal de recurso. | Lista | |||
| ListMobileDeviceAccessOverrides | Concede permissão para listar as sobreposições de acesso por dispositivos móveis | Leitura | |||
| ListMobileDeviceAccessRules | Concede permissão para listar as regras de acesso por dispositivos móveis. | Leitura | |||
| ListOrganizations | Concede permissão para listar as organizações não excluídas. | List | |||
| ListOutboundMailFlowRules [somente permissão] | Concede permissão para listar as regras de fluxo de e-mails recebidos configuradas para uma organização. | Lista | |||
| ListPersonalAccessTokens | Concede permissão para listar metadados para tokens de acesso pessoal | Lista | |||
| ListResourceDelegates | Concede permissão para listar os delegados associados a um recurso. | List | |||
| ListResources | Concede permissão para listar os recursos da organização | List | |||
| ListSmtpGateways [somente permissão] | Concede permissão para listar SMTP gateways registrados na organização | Lista | |||
| ListTagsForResource | Concede permissão para listar as tags aplicadas a um recurso WorkMail organizacional da Amazon | Lista | |||
| ListUsers | Concede permissão para listar os usuários da organização | List | |||
| PutAccessControlRule | Concede permissão para adicionar uma nova regra de controle de acesso. | Escrever | |||
| PutEmailMonitoringConfiguration | Concede permissão para adicionar ou atualizar a configuração de monitoramento de e-mail de uma organização | Escrever | |||
| PutIdentityProviderConfiguration | Concede permissão para adicionar ou atualizar a configuração do provedor de identidade para a organização | Escrever | |||
| PutInboundDmarcSettings | Concede permissão para ativar ou desativar uma DMARC política para uma determinada organização | Escrever | |||
| PutMailboxPermissions | Concede permissão para definir as permissões de um usuário, grupo ou recurso, substituindo as permissões existentes. | Escrever | |||
| PutMobileDeviceAccessOverride | Concede permissão para adicionar ou atualizar uma sobreposição de acesso de dispositivo móvel | Escrever | |||
| PutRetentionPolicy | Concede permissão para adicionar ou atualizar a política de retenção. | Escrever | |||
| RegisterMailDomain | Concede permissão para registrar um novo domínio de e-mail de uma organização | Escrever | |||
| RegisterToWorkMail | Concede permissão para registrar um usuário, um grupo ou um recurso existente e desabilitado para uso associando uma caixa postal e recursos de calendário. | Escrever | |||
| ResetPassword | Concede permissão para permitir que o administrador redefina a senha de um usuário. | Write | |||
| SearchMembers [somente permissão] | Concede permissão para realizar uma pesquisa de prefixo para localizar um usuário específico em um grupo de e-mails. | Read | |||
| SetDefaultMailDomain [somente permissão] | Concede permissão para definir o domínio-padrão de e-mail da organização. | Write | |||
| SetJournalingRules [somente permissão] | Concede permissão para definir os endereços de e-mail de registro e fallback do registro de e-mail. | Write | |||
| SetMobilePolicyDetails [somente permissão] | Concede permissão para definir os detalhes de uma política de dispositivos móveis associada à organização. | Write | |||
| StartMailboxExportJob | Concede permissão para iniciar um novo trabalho de exportação de caixa postal. | Escrever | |||
| TagResource | Concede permissão para marcar o recurso específico WorkMail da organização Amazon | Tags | |||
| TestAvailabilityConfiguration | Concede permissão para realizar um teste em um provedor de disponibilidade para garantir que o acesso seja permitido | Leitura | |||
| TestInboundMailFlowRules [somente permissão] | Concede permissão para testar quais regras de entrada serão aplicadas a um e-mail com determinado remetente e destinatário. | Write | |||
| TestOutboundMailFlowRules [somente permissão] | Concede permissão para testar quais regras de saída serão aplicadas a um e-mail com determinado remetente e destinatário. | Escrever | |||
| UntagResource | Concede permissão para desmarcar o recurso específico da WorkMail organização Amazon | Tags | |||
| UpdateAvailabilityConfiguration | Concede permissão para atualizar uma WorkMail organização e domínio existentes AvailabilityConfiguration para a Amazon em questão | Escrever | |||
| UpdateDefaultMailDomain | Concede permissão para atualizar qual domínio é o domínio padrão para uma organização | Escrever | |||
| UpdateGroup | Concede permissão para atualizar os detalhes de um grupo | Escrever | |||
| UpdateImpersonationRole | Concede permissão para atualizar uma função de representação existente para uma determinada organização da Amazon WorkMail | Escrever | |||
| UpdateInboundMailFlowRule [somente permissão] | Concede permissão para atualizar os detalhes de uma regra de fluxo de e-mails de entrada que será aplicada a todos os e-mails enviados para uma organização. | Write | |||
| UpdateMailboxQuota | Concede permissão para atualizar o tamanho máximo (em MB) da caixa postal do usuário. | Escrever | |||
| UpdateMobileDeviceAccessRule | Concede permissão para atualizar uma regra de acesso por dispositivos móveis | Escrever | |||
| UpdateOutboundMailFlowRule [somente permissão] | Concede permissão para atualizar os detalhes de uma regra de fluxo de e-mails recebidos que será aplicada a todos os e-mails enviados de uma organização. | Write | |||
| UpdatePrimaryEmailAddress | Concede permissão para atualizar o e-mail principal de um usuário, grupo ou recurso. | Write | |||
| UpdateResource | Concede permissão para atualizar os detalhes do recurso. | Write | |||
| UpdateSmtpGateway [somente permissão] | Concede permissão para atualizar os detalhes de um SMTP gateway existente registrado em uma organização | Escrever | |||
| UpdateUser | Concede permissão para atualizar os detalhes de um usuário | Escrever | |||
| WipeMobileDevice [somente permissão] | Concede permissão para limpar remotamente o dispositivo móvel associado à conta de um usuário. | Escrever |
Tipos de recursos definidos pela Amazon WorkMail
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| organization |
arn:${Partition}:workmail:${Region}:${Account}:organization/${ResourceId}
|
Chaves de condição para a Amazon WorkMail
A Amazon WorkMail define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma IAM política. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pelos pares de chave-valor da etiqueta que são transmitidos na solicitação | String |
| aws:ResourceTag/${TagKey} | Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso | String |
| aws:TagKeys | Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação | ArrayOfString |
