支援終止通知:2027 年 3 月 31 日, AWS 將終止對 Amazon WorkMail 的支援。2027 年 3 月 31 日之後,您將無法再存取 Amazon WorkMail 主控台或 Amazon WorkMail 資源。如需詳細資訊,請參閱 [Amazon WorkMail 終止支援](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 匯出信箱內容
使用 Amazon WorkMail API 參考中的 [StartMailboxExportJob](https://docs.aws.amazon.com/workmail/latest/APIReference/API_StartMailboxExportJob.html) API 動作,將 Amazon WorkMail 信箱內容匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。 *Amazon WorkMail * 此動作會以 MIME 格式,將所有電子郵件訊息和行事曆項目從指定的信箱匯出至 Amazon S3 儲存貯體中的`.zip`檔案。不會匯出其他項目,例如聯絡人和任務。
信箱匯出任務完成所需的時間取決於信箱中的項目大小和數量。由於信箱匯出任務會在一段時間內進行,因此不代表信箱內容在單一時間點的快照。若要查看匯出任務的狀態,請使用 Amazon WorkMail API 參考中的 [DescribeMailboxExportJob](https://docs.aws.amazon.com/workmail/latest/APIReference/API_DescribeMailboxExportJob.html) 或 [ListMailboxExportJobs](https://docs.aws.amazon.com/workmail/latest/APIReference/API_ListMailboxExportJobs.html) API 動作。 *Amazon WorkMail *
信箱匯出任務完成後,Amazon S3 儲存貯體中的`.zip`檔案會使用您提供的對稱 AWS Key Management Service (AWS KMS) 客戶主金鑰 (CMK) 進行加密。由於 AWS KMS 加密已與 Amazon S3 整合,因此下載資料的使用者可以看到解密的資料,只要使用者可存取 AWS KMS CMK。
## 先決條件
以下是匯出信箱內容的先決條件:
+ 編寫程式的能力。
+ Amazon WorkMail 管理員帳戶。
+ 不允許公開存取的 Amazon S3 儲存貯體。如需詳細資訊,請參閱《[Amazon Simple Storage Service 使用者指南》和《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 封鎖公開存取](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)。 ** *[https://docs.aws.amazon.com/AmazonS3/latest/userguide/](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)*
+ 對稱 AWS KMS CMK。詳情請參閱 *AWS Key Management Service 開發人員指南*中的[開始使用](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)。
+ 具有政策的 AWS Identity and Access Management (IAM) 角色,可授予寫入 Amazon S3 儲存貯體並使用 CMK AWS KMS 加密已傳送檔案的許可。如需詳細資訊,請參閱[Amazon WorkMail 如何與 IAM 搭配使用](security_iam_service-with-iam.md)。
## IAM 政策範例和角色建立
下列範例顯示 IAM 政策,授予寫入 Amazon S3 儲存貯體並使用 CMK AWS KMS 加密已傳送檔案的許可。若要在下列[範例:匯出信箱內容](#example-export-mailbox)程序中使用此範例政策,請將政策儲存為檔案名稱為 的 JSON 檔案`mailbox-export-policy.json`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetBucketPolicyStatus"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{KEY-ID}}"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "s3.{{us-east-1}}.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/{{S3-PREFIX}}*"
}
}
}
]
}
```
------
下列範例顯示連接至您建立之 IAM 角色的 IAM 信任政策。若要在下列[範例:匯出信箱內容](#example-export-mailbox)程序中使用此範例政策,請將政策儲存為檔案名稱為 的 JSON 檔案`mailbox-export-trust-policy.json`。
您不需要同時使用 `aws:SourceArn`和 `aws:SourceAccount`條件。例如,如果您需要使用相同的角色從相同 AWS 帳戶下的不同 Amazon WorkMail 組織匯出訊息,您可以從`aws:SourceArn`政策中移除 。如需條件索引鍵的詳細資訊,請參閱 *AWS Identity and Access Management 使用者指南*中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "export.workmail.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:workmail:{{us-east-1}}:{{111122223333}}:organization/{{m-a123b4c5de678fg9h0ij1k2lm234no56}}"
}
}
}
]
}
```
------
您可以使用 執行下列命令 AWS CLI ,在帳戶中建立 IAM 角色。
```
aws iam create-role --role-name {{WorkmailMailboxExportRole}} --assume-role-policy-document {{file://mailbox-export-trust-policy.json}} --region {{us-east-1}}
```
```
aws iam put-role-policy --role-name {{WorkmailMailboxExportRole}} --policy-name {{MailboxExport}} --policy-document {{file://mailbox-export-policy.json}}
```
如需 的詳細資訊 AWS CLI,請參閱[AWS Command Line Interface 《 使用者指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
## 範例:匯出信箱內容
在上一節中建立 IAM 角色和政策後,請完成下列步驟以匯出信箱內容。您必須擁有可在 Amazon WorkMail 主控台或使用 Amazon WorkMail API 存取的 Amazon WorkMail 組織 ID 和使用者 ID (實體 ID)。
**範例:匯出信箱內容**
1. 使用 AWS CLI 啟動信箱匯出任務。
```
aws workmail start-mailbox-export-job --organization-id {{m-a123b4c5de678fg9h0ij1k2lm234no56}} --entity-id {{S-1-1-11-1111111111-2222222222-3333333333-3333}} --kms-key-arn arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{KEY-ID}} --role-arn arn:aws:iam::{{111122223333}}:role/{{WorkmailMailboxExportRole}} --s3-bucket-name {{amzn-s3-demo-bucket}} --s3-prefix {{S3-PREFIX}}
```
1. 使用 AWS CLI 監控 Amazon WorkMail 組織的信箱匯出任務狀態。
```
aws workmail list-mailbox-export-jobs --organization-id {{m-a123b4c5de678fg9h0ij1k2lm234no56}}
```
或者,使用 **start-mailbox-export-job**命令產生的任務 ID,僅監控該信箱匯出任務的狀態。
```
aws workmail describe-mailbox-export-job --organization-id {{m-a123b4c5de678fg9h0ij1k2lm234no56}} --job-id {{JOB-ID}}
```
當信箱匯出任務狀態為 **COMPLETED** 時,匯出的信箱項目可在指定 Amazon S3 儲存貯體的`.zip`檔案中使用。
以下是匯出信箱的輸出日誌範例:
```
{
"totalNonExportableItems" : "13",
"totalMessages" : "76",
"sha384Hash" : "4de93a***96a1dd",
"totalBytes" : "161892",
"totalFolders" : "15",
"startTime" : "168***380",
"endTime" : "168***384"
}
```
**注意**
*totalNonExportableItems* 是不支援的項目,例如備註和聯絡人。
## 考量事項
匯出 Amazon WorkMail 的信箱任務時,適用下列考量:
+ 您可以為指定的 Amazon WorkMail 組織執行最多 10 個並行信箱匯出任務。
+ 您可以為指定的信箱執行信箱匯出任務,頻率為每 24 小時一次。
+ 下列資源必須全部位於相同的 AWS 區域:
+ Amazon WorkMail 組織
+ AWS KMS CMK
+ Amazon S3 儲存貯體