启用电子邮件事件记录 - 亚马逊 WorkMail
启用电子邮件事件日志记录为电子邮件事件记录创建自定义日志组和IAM角色关闭电子邮件事件日志记录防止跨服务混淆座席

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用电子邮件事件记录

您可以在 Amazon WorkMail 控制台中启用电子邮件事件记录,以便跟踪贵组织的电子邮件。电子邮件事件记录使用 AWS Identity and Access Management 服务相关角色 (SLR) 授予向 Amazon CloudWatch 发布电子邮件事件日志的权限。有关IAM服务相关角色的更多信息,请参阅对 Amazon WorkMail 使用服务相关角色

在 CloudWatch 事件日志中,您可以使用 CloudWatch 搜索工具和指标来跟踪消息并解决电子邮件问题。有关 Amazon WorkMail 发送到的事件日志的更多信息 CloudWatch,请参阅监控 Amazon WorkMail 电子邮件事件日志。有关 CloudWatch 日志的更多信息,请参阅 Amazon CloudWatch 日志用户指南

启用电子邮件事件日志记录

当您使用默认设置(Amazon)开启电子邮件事件记录时,会出现以下情况 WorkMail:

  • 创建 AWS Identity and Access Management 服务相关角色-AmazonWorkMailEvents.

  • 创建 CloudWatch 日志组 — /aws/workmail/emailevents/organization-alias

  • 将 CloudWatch 日志保留时间设置为 30 天。

启用电子邮件事件日志记录

  1. 打开 Amazon WorkMail 控制台,网址为https://console.aws.amazon.com/workmail/

    如有必要,请更改 AWS 区域。在控制台窗口顶部的栏中,打开选择区域列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的区域和端点

  2. 在导航窗格中,选择组织,然后选择贵组织的名称。

  3. 在导航窗格中,选择日志设置

  4. 选择 “电子邮件流日志设置” 选项卡。

  5. 在 “电子邮件流日志设置” 部分,选择 “编辑”

  6. 将 “启用邮件事件” 滑块移至 “” 位置。

  7. 请执行以下操作之一:

    • (推荐)选择使用默认设置

    • (可选)清除 “使用默认设置”,然后从显示的列表中选择目标日志组IAM角色

      注意

      只有当您已经使用创建了日志组和自定义IAM角色时,才选择此选项 AWS CLI。有关更多信息,请参阅 为电子邮件事件记录创建自定义日志组和IAM角色

  8. 选择我授权 Amazon WorkMail 使用此配置在我的账户中发布日志

  9. 选择保存

为电子邮件事件记录创建自定义日志组和IAM角色

我们建议在为 Amazon 启用电子邮件事件记录时使用默认设置 WorkMail。如果您需要自定义监控配置,则可以使用创建 AWS CLI 用于电子邮件事件记录的专用日志组和自定义IAM角色。

为电子邮件事件记录创建自定义日志组和IAM角色

  1. 使用以下 AWS CLI 命令在与您的 Amazon WorkMail 组织相同的 AWS 区域中创建日志组。有关更多信息,请参阅《AWS CLI 命令参考create-log-group中的。

    aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

  2. 创建一个文件,其中包含以下策略:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 使用以下 AWS CLI 命令创建IAM角色并将此文件作为角色策略文档附加。有关更多信息,请参阅《AWS CLI 命令参考》中的 create-role

    aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
    注意

    如果您是WorkMailFullAccess托管策略用户,则必须在角色名称workmail中包含该术语。此托管策略仅允许您使用名称中带有 workmail 的角色配置电子邮件事件日志记录。有关更多信息,请参阅《用户指南》中的授予IAM用户向 AWS 服务传递角色的权限

  4. 创建一个文件,其中包含您在上一步中为该IAM角色创建的策略。至少,该策略必须向角色授予权限,使该角色可以创建日志流并将日志事件放入您在第 1 步创建的日志组。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*"
        }
    ]
}

  5. 使用以下 AWS CLI 命令将策略文件附加到IAM角色。有关更多信息,请参阅《AWS CLI 命令参考put-role-policy中的。

    aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

关闭电子邮件事件日志记录

从 Amazon WorkMail 控制台关闭电子邮件事件记录。如果您不再需要使用电子邮件事件日志记录,我们建议您同时删除相关的 CloudWatch 日志组和服务相关角色。有关更多信息,请参阅 为 Amazon WorkMail 删除服务相关角色

关闭电子邮件事件日志记录

  1. 打开 Amazon WorkMail 控制台,网址为https://console.aws.amazon.com/workmail/

    如有必要,请更改 AWS 区域。在控制台窗口顶部的栏中,打开选择区域列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的区域和端点

  2. 在导航窗格中,选择组织,然后选择贵组织的名称。

  3. 在导航窗格中,选择 Monitoring (监控)

  4. 日志设置部分中,选择编辑

  5. 启用邮件事件滑块移动到“关闭”位置。

  6. 选择保存

防止跨服务混淆座席

混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(呼叫服务)调用另一项服务(所谓的服务)时,可能会发生跨服务模拟。

可以操纵呼叫服务,使其使用其权限对其他客户原本无权访问的资源进行操作。

为了防止这种情况,我们 AWS 提供了一些工具,帮助您保护所有服务的数据,这些服务委托人已被授予对您账户中资源的访问权限。

我们建议在资源策略中使用aws:SourceArnaws:SourceAccount全局条件上下文密钥来限制 CloudWatch 日志和 Amazon S3 向生成日志的服务授予的权限。如果您同时使用两个全局条件上下文密钥,则在同一策略声明中使用这些值时必须使用相同的账户 ID。

的值aws:SourceArn必须是生成日志ARNs的传输源的值。

防止混乱的副手问题的最有效方法是使用具有全部资源的全aws:SourceArnARN局条件上下文密钥。如果您不知道资源的全部ARN内容,或者要指定多个资源,请使用带有通配符 (*) 的aws:SourceArn全局上下文条件键来表示未知部分。ARN