As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitando o registro de eventos de e-mail
Você ativa o registro de eventos de e-mail no WorkMail console da Amazon para rastrear mensagens de e-mail da sua organização. O registro de eventos de e-mail usa uma função AWS Identity and Access Management vinculada ao serviço (SLR) para conceder permissões para publicar os registros de eventos de e-mail na Amazon. CloudWatch Para obter mais informações sobre funções vinculadas ao serviço do IAM, consulte Usar funções vinculadas ao serviço no Amazon WorkMail.
Nos registros de CloudWatch eventos, você pode usar ferramentas e métricas de CloudWatch pesquisa para rastrear mensagens e solucionar problemas de e-mail. Para obter mais informações sobre os registros de eventos que a Amazon WorkMail envia para CloudWatch, consulteMonitorando registros WorkMail de eventos de e-mail da Amazon. Para obter mais informações sobre CloudWatch registros, consulte o Guia do usuário do Amazon CloudWatch Logs.
Tópicos
Ativar o registro em log de eventos de e-mail
O seguinte ocorre quando você ativa o registro de eventos por e-mail usando as configurações padrão da Amazon WorkMail:
-
Cria uma função AWS Identity and Access Management vinculada ao serviço —.
AmazonWorkMailEvents -
Cria um grupo de CloudWatch registros —
/aws/workmail/emailevents/.organization-alias -
Define a retenção de CloudWatch registros para 30 dias.
Como ativar o registro de eventos de e-mail em log
-
Abra o WorkMail console da Amazon em https://console.aws.amazon.com/workmail/
. Se necessário, altere a AWS região. Na barra na parte superior da janela do console, abra a lista Selecionar uma região e escolha uma região. Para obter mais informações, consulte Regiões e endpoints na Referência geral da Amazon Web Services.
-
No painel de navegação, selecione Organizações e, em seguida, escolha o nome da organização.
-
No painel de navegação, escolha Configurações de registro.
-
Escolha a guia Configurações do registro de fluxo de e-mail.
-
Na seção Configurações do registro de fluxo de e-mail, escolha Editar.
-
Mova o controle deslizante Ativar eventos de e-mail para a posição ligado.
-
Execute um destes procedimentos:
-
(Recomendado) Escolha Usar configurações padrão.
-
(Opcional) Limpe a opção Usar configurações padrão e selecione um Grupo de Registros de Destino e uma IAMFunção nas listas exibidas.
nota
Escolha essa opção somente se você já criou um grupo de logs e uma função do IAM personalizada usando a AWS CLI. Para obter mais informações, consulte Criar uma função do IAM e um grupo de logs personalizados para o registro em log de eventos de e-mail.
-
-
Selecione Eu autorizo WorkMail a Amazon a publicar registros em minha conta usando essa configuração.
-
Escolha Salvar.
Criar uma função do IAM e um grupo de logs personalizados para o registro em log de eventos de e-mail
Recomendamos usar as configurações padrão ao ativar o registro de eventos por e-mail para a Amazon WorkMail. Se você precisar de uma configuração de monitoramento personalizada, poderá usar o AWS CLI para criar um grupo de registros dedicado e uma IAM função personalizada para o registro de eventos de e-mail.
Para criar uma função do IAM e um grupo de logs personalizados para o registro de eventos de e-mail
-
Use o AWS CLI comando a seguir para criar um grupo de registros na mesma AWS região da sua WorkMail organização Amazon. Para obter mais informações, consulte create-log-group na Referência de comandos da AWS CLI .
aws –-regionus-east-1logs create-log-group --log-group-nameworkmail-monitoring -
Crie um arquivo contendo a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "events.workmail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Use o AWS CLI comando a seguir para criar uma IAM função e anexar esse arquivo como documento de política de função. Para obter mais informações, consulte create-role na Referência de comandos da AWS CLI .
aws iam create-role --role-nameworkmail-monitoring-role--assume-role-policy-document file://trustpolicyforworkmail.jsonnota
Se você for um usuário de política
WorkMailFullAccessgerenciada, deverá incluir o termoworkmailno nome da função. Essa política gerenciada somente permite configurar registros de eventos de e-mail usando funções comworkmailno nome. Para obter mais informações, consulte Conceder permissões a um usuário para passar uma função para um AWS serviço no Guia do IAM usuário. -
Crie um arquivo contendo a política para a IAM função que você criou na etapa anterior. No mínimo, a política deve conceder permissões à função para criar fluxos de log e colocar eventos no grupo de logs criado na etapa 1.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*" } ] } -
Use o AWS CLI comando a seguir para anexar o arquivo de política à IAM função. Para obter mais informações, consulte put-role-policy na Referência de comandos da AWS CLI .
aws iam put-role-policy --role-nameworkmail-monitoring-role--policy-nameworkmail-permissions--policy-document file://rolepolicy.json
Desativar o registro em log de eventos de e-mail
Desative o registro de eventos por e-mail no WorkMail console da Amazon. Se você não precisar mais usar o registro de eventos de e-mail, recomendamos que você exclua também o grupo de CloudWatch registros relacionado e a função vinculada ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Amazon WorkMail.
Para desativar o registro de eventos de e-mail
-
Abra o WorkMail console da Amazon em https://console.aws.amazon.com/workmail/
. Se necessário, altere a AWS região. Na barra na parte superior da janela do console, abra a lista Selecionar uma região e escolha uma região. Para obter mais informações, consulte Regiões e endpoints na Referência geral da Amazon Web Services.
-
No painel de navegação, selecione Organizações e, em seguida, escolha o nome da organização.
-
No painel de navegação, escolha Monitoring (Monitoramento).
-
Na seção Configurações de log, escolha Editar.
-
Mova o controle deslizante Habilitar eventos de e-mail para a posição desativado.
-
Escolha Salvar.
Prevenção contra o ataque do “substituto confuso” em todos os serviços
“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado).
O serviço de chamadas pode ser manipulado para usar suas permissões para agir sobre os recursos de outro cliente que, de outra forma, ele não teria permissão para acessar.
Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as aws:SourceArnchaves de contexto de condição aws:SourceAccountglobal nas políticas de recursos para limitar as permissões que a CloudWatch Logs e o Amazon S3 concedem aos serviços que estão gerando registros. Se você usar as duas chaves de contexto de condição global, os valores deverão usar o mesmo ID de conta quando usados na mesma declaração de política.
Os valores de aws:SourceArn devem ser os ARNs das fontes de entrega que estão gerando registros.
A maneira mais eficaz de se proteger contra o confuso problema do deputado é usar a chave de contexto ARN de condição aws:SourceArn global com todo o recurso. Se você não souber a totalidade ARN do recurso ou se estiver especificando vários recursos, use a chave de condição de contexto aws:SourceArn global com curingas (*) para as partes desconhecidas do. ARN
