Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation des organisations
Sur Amazon WorkMail, votre organisation représente les utilisateurs de votre entreprise. Dans la WorkMail console Amazon, vous pouvez consulter la liste des organisations disponibles. Si vous n'en avez pas, vous devez créer une organisation pour pouvoir utiliser Amazon WorkMail.
**Topics**
+ [Création d'une organisation](add_new_organization.md)
+ [Suppression d'une organisation](delete_organization.md)
+ [Trouver une adresse e-mail](find-emails.md)
+ [Utilisation des paramètres de l'organisation](org-settings.md)
+ [Balisage d'une organisation](org-tag.md)
+ [Utilisation des règles de contrôle d'accès](access-rules.md)
+ [Définition des stratégies de rétention des boîtes aux lettres](mailbox-retention-policy.md)
# Création d'une organisation
Pour utiliser Amazon WorkMail, vous devez d'abord créer une organisation. Un AWS compte peut avoir plusieurs WorkMail organisations Amazon. Lorsque vous créez une organisation, vous sélectionnez également un domaine pour l'organisation et vous configurez l'annuaire des utilisateurs et les paramètres de chiffrement.
Vous pouvez créer un nouvel WorkMail annuaire Amazon à utiliser par votre WorkMail organisation ou intégrer Amazon WorkMail à un annuaire existant. Vous pouvez utiliser Amazon WorkMail avec des annuaires existants des types suivants :
+ Microsoft Active Directory sur site
+ AWS Managed Active Directory (qui est un [Microsoft AD géré par AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html))
+ Simple AD
En intégrant votre annuaire local, vous pouvez utiliser vos utilisateurs et groupes existants sur Amazon WorkMail et les utilisateurs peuvent se connecter avec leurs informations d'identification existantes. Si vous utilisez un annuaire local, vous devez d'abord configurer un AD Connector dans AWS Directory Service. L'AD Connector synchronise vos utilisateurs et vos groupes avec le carnet d' WorkMail adresses Amazon et exécute les demandes d'authentification des utilisateurs. Pour plus d'informations, consultez la section [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) dans le *Guide d'Directory Service administration*.
Vous avez également la possibilité d'en sélectionner un AWS KMS key qu'Amazon WorkMail utilise pour chiffrer le contenu de la boîte aux lettres. Vous pouvez soit sélectionner la clé principale AWS gérée par défaut pour Amazon WorkMail, soit utiliser une clé KMS existante dans AWS Key Management Service (AWS KMS). Pour plus d'informations sur la création d'une nouvelle clé KMS, consultez la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *guide du AWS Key Management Service développeur*. Si vous êtes connecté en tant qu'utilisateur Gestion des identités et des accès AWS (IAM), devenez un administrateur clé sur la clé KMS. Pour plus d'informations, consultez la section [Activation et désactivation des clés](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) dans le *guide du AWS Key Management Service développeur*.
**Considérations**
N'oubliez pas les points suivants lorsque vous créez une WorkMail organisation Amazon :
+ Amazon WorkMail ne prend actuellement pas en charge les services Microsoft Active Directory gérés que vous partagez avec plusieurs comptes.
+ Si vous disposez d'un Active Directory local avec Microsoft Exchange et un AD Connector, nous vous recommandons de configurer les paramètres d'interopérabilité pour votre organisation. Cela vous permet de minimiser les perturbations pour vos utilisateurs lorsque vous migrez des boîtes aux lettres vers Amazon WorkMail ou que vous utilisez Amazon WorkMail pour un sous-ensemble de vos boîtes aux lettres d'entreprise. Pour de plus amples informations, veuillez consulter [Interopérabilité entre Amazon WorkMail et Microsoft Exchange](interoperability.md).
+ Si vous sélectionnez l'option de **domaine de test gratuit**, vous pouvez commencer à utiliser votre WorkMail organisation Amazon avec le domaine de test fourni. Le domaine de test utilise le format suivant : *example* .awsapps.com. Vous pouvez utiliser le domaine de messagerie de test avec Amazon WorkMail et d'autres AWS services pris en charge tant que vous conservez les utilisateurs autorisés au sein de votre WorkMail organisation Amazon. Toutefois, vous ne pouvez pas utiliser le domaine de test à d'autres fins. Le domaine de test peut être disponible à l'enregistrement et à l'utilisation par d'autres clients si votre WorkMail organisation Amazon ne possède pas au moins un utilisateur activé.
+ Amazon WorkMail ne prend pas en charge les annuaires multirégionaux.
+ Amazon WorkMail synchronise les données de l'annuaire avec AWS Managed Active Directory, Simple AD et AD Connector toutes les quatre heures.
## Changements importants relatifs à l'utilisation de AWS Managed Active Directory
Amazon WorkMail met à jour son modèle d'autorisation pour les organisations qui utilisent AWS Managed Active Directory (Managed AD). Cette modification affecte la manière dont Amazon WorkMail interagit avec les données de l'annuaire et vous oblige à prendre des mesures spécifiques pour garantir le fonctionnement continu.
Auparavant, lorsqu'une WorkMail organisation Amazon était créée avec AWS Managed Active Directory, Amazon WorkMail utilisait des autorisations de niveau de service pour interagir avec Managed AD. Pour offrir aux clients une flexibilité supplémentaire leur permettant de séparer les rôles de gestion des annuaires et d'administration des boîtes aux lettres, WorkMail la console utilisera désormais AWS Directory Service Data (DS-Data) APIs pour créer ou mettre à jour des utilisateurs et des groupes dans AWS Managed Active Directories. APIs Un responsable IAM exécute ces opérations par le biais de la WorkMail console ou APIs devra également être autorisé à utiliser les actions DS-Data équivalentes contre le Managed AD associé à son WorkMail organisation, offrant ainsi un contrôle plus précis et une meilleure intégration aux politiques IAM.
Que vous créiez une nouvelle organisation avec Managed AD ou que vous ayez une organisation existante qui utilise Managed AD, si vous souhaitez continuer à créer, mettre à jour ou supprimer des utilisateurs et des groupes via la WorkMail console APIs, vous devrez également effectuer des étapes de configuration supplémentaires pour garantir le bon fonctionnement du modèle d'autorisation mis à jour. Ceci est expliqué dans[Configuration de l'intégration d'AWS Managed Active Directory](#configure-managed-ad-integration).
**Topics**
+ [Changements importants relatifs à l'utilisation de AWS Managed Active Directory](#important-changes)
+ [Création d'une organisation](#create-organization)
+ [Configuration de l'intégration d'AWS Managed Active Directory](#configure-managed-ad-integration)
+ [Afficher les détails d'une organisation](#view-org-details)
+ [Intégration d'un WorkSpaces annuaire](#compatible)
+ [États des organisations et descriptions](#org-states)
## Création d'une organisation
Créez une nouvelle organisation dans la WorkMail console Amazon.
**Pour créer une organisation**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [la section Région et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans la barre de navigation, sélectionnez **Organisation**.
La page **Organizations** apparaît et affiche vos organisations, le cas échéant.
1. Choisissez **Créer une organisation**.
1. Sous **Domaine de messagerie**, sélectionnez le domaine à utiliser pour les adresses e-mail de votre organisation :
+ ****Domaine Route 53 existant**** : sélectionnez un domaine existant que vous gérez avec une zone hébergée Amazon Route 53 (Route 53).
+ ****Nouveau domaine Route 53**** — Enregistrez un nouveau nom de domaine Route 53 à utiliser avec Amazon WorkMail.
+ ****Domaine externe :**** entrez un domaine existant que vous gérez avec un fournisseur de système de noms de domaine (DNS) externe.
+ ****Domaine de test gratuit**** — Utilisez un domaine de test gratuit fourni par Amazon WorkMail. Vous pouvez explorer Amazon WorkMail à l'aide d'un domaine de test, puis ajouter un domaine à votre organisation ultérieurement.
1. (Facultatif) Si votre domaine est géré via Amazon Route 53, pour la **zone hébergée Route 53**, sélectionnez votre domaine Route 53.
1. Pour **Alias**, entrez un alias unique pour votre organisation.
1. Choisissez **Paramètres avancés**, puis **dans Répertoire des utilisateurs**, sélectionnez l'une des options suivantes :
+ **Créer un nouvel WorkMail annuaire Amazon** — Crée un nouveau répertoire pour ajouter et gérer vos utilisateurs.
+ **Utiliser un annuaire existant** : utilise un annuaire existant pour gérer vos utilisateurs, tel qu'un répertoire Microsoft Active Directory, AWS Managed Active Directory ou Simple AD sur site.
1. Pour **le chiffrement**, sélectionnez l'une des options suivantes :
+ **Utiliser une clé WorkMail gérée par Amazon** : crée une nouvelle clé de chiffrement dans votre compte.
+ **Utiliser une clé KMS existante** — Utilise une clé KMS existante que vous avez déjà créée dans AWS KMS.
1. Choisissez **Créer une organisation**.
Si vous utilisez un domaine externe, vérifiez-le en ajoutant le texte (TXT) et les enregistrements d'échange de courrier (MX) appropriés à votre service DNS. Les enregistrements TXT vous permettent de saisir des notes sur le service DNS. Les enregistrements MX indiquent le serveur de courrier entrant.
Assurez-vous de définir votre domaine comme domaine par défaut pour votre organisation. Pour plus d’informations, consultez [Vérification des domaines](domain_verification.md) et [Choix du domaine par défaut](default_domain.md).
Lorsque votre organisation est **active**, vous pouvez y ajouter des utilisateurs et configurer leurs clients de messagerie. Pour plus d'informations, consultez [Ajout d'un utilisateur](add_user.md) la section [Configuration des clients de messagerie pour Amazon WorkMail](https://docs.aws.amazon.com/workmail/latest/userguide/clients.html).
## Configuration de l'intégration d'AWS Managed Active Directory
Lorsque vous utilisez AWS Managed Active Directory avec votre WorkMail organisation Amazon, des étapes de configuration supplémentaires garantissent le bon fonctionnement du modèle d'autorisation mis à jour.
**Pour configurer l'intégration de Managed AD pour les nouvelles organisations**
1. Dans la Directory Service console, accédez à votre compte Managed AD (Microsoft AD) ou, depuis la WorkMail console Amazon, sélectionnez **Utilisateurs** ou **groupes** dans le panneau de navigation de gauche, puis cliquez sur le lien du répertoire dans la zone de note en haut de la page.
1. Choisissez **Activer** pour la **gestion des utilisateurs et des groupes**. Ce paramètre est désactivé par défaut et doit être activé pour effectuer des opérations d'écriture sur des utilisateurs et des groupes.
1. Assurez-vous que votre principal IAM dispose des autorisations requises en associant une politique aux actions suivantes :
```
ds:AccessDSData
ds:ResetUserPassword
ds-data:CreateGroup
ds-data:DeleteGroup
ds-data:AddGroupMember
ds-data:RemoveGroupMember
ds-data:CreateUser
ds-data:DeleteUser
ds-data:UpdateUser
```
**Pour migrer les organisations Managed AD existantes**
1. Surveillez la page Utilisateurs ou groupes de la WorkMail console Amazon pour les notifications de migration.
1. Lorsque la notification apparaît, activez l'option **Activer les opérations d'annuaire mises à jour** pour migrer vers le nouveau Service APIs d'annuaire.
1. Enfin, assurez-vous d'avoir activé la **gestion des utilisateurs et des groupes** dans la Directory Service console et d'avoir mis à jour vos politiques IAM avec les autorisations DS-Data requises, comme décrit dans la section précédente.
L'utilisation de AWS Directory Service Data (DS-Data) APIs pour créer, mettre à jour et supprimer des utilisateurs sera activée pour toutes les WorkMail organisations Amazon restantes utilisant Managed AD lorsque cela n'a pas été activé auparavant.
## Afficher les détails d'une organisation
Chacune de vos WorkMail organisations Amazon peut afficher une page détaillée de l'organisation. La page vous présente des informations sur leur organisation, y compris celles IDs que vous pouvez utiliser avec le AWS Command Line Interface. Les messages sur la page peuvent également vous indiquer toutes les étapes nécessaires pour terminer la configuration et l'organisation, telles qu'un domaine non vérifié ou un manque d'utilisateurs. Les messages fournissent également la première étape à suivre pour configurer un client de messagerie donné.
**Pour consulter les détails de l'organisation**
1. Dans la barre de navigation, sélectionnez **Organisation**.
La page **Organizations** apparaît et affiche vos organisations.
1. Choisissez l'organisation que vous souhaitez consulter.
## Intégration d'un WorkSpaces annuaire
Pour utiliser Amazon WorkMail avec WorkSpaces, créez un répertoire compatible en suivant les étapes ci-dessous.
**Pour ajouter un WorkSpaces répertoire compatible**
1. Créez un répertoire compatible à l'aide de WorkSpaces. Pour [obtenir WorkSpaces des instructions, consultez Get started with Amazon WorkSpaces Quick Setup](https://docs.aws.amazon.com/workspaces/latest/adminguide/getting-started.html) dans le *guide d' WorkSpaces administration Amazon*.
1. Dans la WorkMail console Amazon, créez votre WorkMail organisation Amazon et choisissez d'utiliser votre répertoire existant à cette fin. Pour de plus amples informations, veuillez consulter [Création d'une organisation](#create-organization).
## États des organisations et descriptions
Une fois une organisation créée, son état peut être l'un des suivants.
****
| **État** | Description |
| --- | --- |
| **Actif** | Votre organisation est saine et prête à être utilisée. |
| **Création** | Un flux de travail est en cours d'exécution pour créer votre organisation. |
| **Échec** | Votre organisation n'a pas pu être créée. |
| **Dégradé** | Votre organisation fonctionne mal ou un problème a été détecté. |
| **Inactif** | Votre organisation est inactive. |
| **Demandé** | Votre demande de création d'organisation est dans la file d'attente et en attente d'être créée. |
| **Validation en cours** | L'état de tous les paramètres de l'organisation est en train d'être vérifié. |
# Suppression d'une organisation
Si vous ne souhaitez plus utiliser Amazon WorkMail pour les e-mails de votre organisation, vous pouvez supprimer votre organisation d'Amazon WorkMail.
**Note**
Cette opération ne peut pas être annulée. Vous ne pourrez pas récupérer les données de votre boîte aux lettres après la suppression d'une organisation.
**Pour supprimer une organisation**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Sur l'écran **Organisations**, dans la liste des organisations, sélectionnez l'organisation à supprimer et choisissez **Supprimer**.
1. Pour **Supprimer l'organisation**, choisissez de supprimer ou de conserver l'annuaire des utilisateurs existant, puis entrez le nom de l'organisation.
1. Choisissez **Supprimer l'organisation**.
**Note**
Si vous n'avez pas fourni votre propre répertoire pour Amazon WorkMail, nous en créerons un pour vous. Si vous conservez ce répertoire existant lorsque vous supprimez l'organisation, il vous sera facturé, sauf s'il est utilisé par Amazon WorkMail WorkDocs, ou WorkSpaces. Pour de plus amples informations sur la tarification, veuillez consulter la [tarification des autres types d'annuaires](https://aws.amazon.com/directoryservice/other-directories-pricing/).
Pour supprimer le répertoire, aucune autre AWS application ne doit être activée. Pour plus d'informations, consultez [la section Suppression d'un annuaire Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_delete.html) ou [Suppression d'un répertoire AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_delete.html) dans le *Guide d'AWS Directory Service administration*.
Vous pouvez recevoir un message d'erreur non valide relatif à l'ensemble de règles Amazon Simple Email Service (Amazon SES) lorsque vous tentez de supprimer une organisation. Si vous recevez cette erreur, modifiez la règle Amazon SES dans la console Amazon SES et supprimez l'ensemble de règles non valide. Le nom de la règle que vous modifiez doit contenir votre identifiant d' WorkMailorganisation Amazon. Pour plus d'informations sur la modification des règles Amazon SES, consultez la section [Création de règles de réception](https://docs.aws.amazon.com/ses/latest/dg/receiving-email-receipt-rules-console-walkthrough.html) dans le manuel *Amazon Simple Email Service Developer Guide*.
Si vous devez déterminer quel ensemble de règles n'est pas valide, enregistrez d'abord la règle. Un message d'erreur s'affiche pour l'ensemble de règles.
# Trouver une adresse e-mail
Vous pouvez savoir si une adresse e-mail est utilisée dans votre organisation par utilisateur, ressource ou groupe.
**Pour trouver une adresse e-mail**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis choisissez le nom d'une organisation.
1. Sur la page **Organisation**, choisissez **Rechercher une adresse e-mail**.
1. Choisissez **Rechercher**.
# Utilisation des paramètres de l'organisation
Les sections suivantes expliquent comment utiliser les paramètres disponibles pour les WorkMail organisations Amazon. Les paramètres que vous choisissez s'appliqueront à l'ensemble de l'organisation.
**Topics**
+ [Activer la migration des boîtes aux lettres](migration-settings.md)
+ [Activation de la journalisation](journaling.md)
+ [Permettre l'interopérabilité](enable-interop.md)
+ [Activation des passerelles SMTP](smtp-gateway.md)
+ [Gestion des flux de messagerie](email-flows.md)
+ [Application de stratégies DMARC sur les e-mails entrants](inbound-dmarc.md)
# Activer la migration des boîtes aux lettres
Vous activez la migration de boîtes aux lettres lorsque vous souhaitez transférer des boîtes aux lettres d'une source, telle que Microsoft Exchange ou G Suite Basic, vers Amazon WorkMail. Vous activez la migration dans le cadre d'un processus de migration plus vaste. Pour plus d'informations, y compris les étapes à suivre, consultez la section *Mise [Migration vers Amazon WorkMail](migration_overview.md) en route* de ce guide.
# Activation de la journalisation
Vous activez la journalisation pour enregistrer vos communications par e-mail. Lorsque vous utilisez la journalisation, vous utilisez généralement des outils tiers intégrés d'archivage et d'eDiscovery. La journalisation permet de garantir que vous respectez les réglementations de conformité en matière de stockage des données, de protection de la confidentialité et de protection des informations.
Pour plus d'informations, y compris les étapes à suivre, consultez la section *Mise [Utilisation de la journalisation des e-mails avec Amazon WorkMail](journaling_overview.md) en route* de ce guide.
# Permettre l'interopérabilité
L'interopérabilité vous permet de migrer depuis Microsoft Exchange et d'utiliser Amazon WorkMail comme sous-ensemble de vos boîtes aux lettres d'entreprise. Pour plus d'informations, y compris les étapes à suivre, consultez la section *Mise [Configurer les paramètres de disponibilité sur Amazon WorkMail](enable_interop_wm.md) en route* de ce guide.
# Activation des passerelles SMTP
Vous activez les passerelles SMTP (Simple Mail Transfer Protocol) à utiliser avec les règles de flux de courrier sortant. Les règles de flux d'e-mails sortants vous permettent d'acheminer les e-mails envoyés par votre WorkMail organisation Amazon via une passerelle SMTP. Pour de plus amples informations, veuillez consulter [Actions de règle pour les e-mails sortants](email-flows.md#email-flows-rule-outbound).
**Note**
Les passerelles SMTP configurées pour les règles de flux de courrier sortant doivent prendre en charge le protocole TLS (Transport Layer Security) v1.2 à l'aide de certificats émis par les principales autorités de certification. Seule l'authentification de base est prise en charge.
**Pour configurer une passerelle SMTP**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis choisissez le nom d'une organisation.
1. Dans le panneau de navigation, choisissez **Organization settings (Paramètres de l'organisation)**.
La page des **paramètres de l'organisation** apparaît et contient un ensemble d'onglets.
1. Choisissez l'onglet **Passerelles SMTP, puis sélectionnez **Créer une** passerelle**.
1. Saisissez :
+ **Nom de la passerelle** — Entrez un nom unique.
+ **Adresse de la passerelle** : entrez le nom d'hôte ou l'adresse IP de la passerelle.
+ **Numéro de port** — Entrez le numéro de port de la passerelle.
+ **Nom d'utilisateur** — Entrez un nom d'utilisateur.
+ **Mot de passe** — Entrez un mot de passe sécurisé.
1. Choisissez **Créer**.
La passerelle SMTP est disponible pour une utilisation avec les règles de flux de messagerie sortant.
Lorsque vous configurez une passerelle SMTP pour une utilisation avec une règle de flux de courrier sortant, les messages sortants tentent de faire correspondre la règle à une passerelle SMTP. Le message correspondant à la règle est acheminé vers la passerelle SMTP correspondante, qui gère ensuite le reste de la livraison du courrier électronique.
Si Amazon WorkMail ne parvient pas à atteindre la passerelle SMTP, le système renvoie le message électronique à l'expéditeur. Dans ce cas, suivez les étapes précédentes pour corriger les paramètres de la passerelle.
# Gestion des flux de messagerie
Pour faciliter la gestion des e-mails, vous pouvez configurer des *règles de flux d'e-mails*. Les règles de flux de messagerie peuvent effectuer une ou plusieurs actions sur les messages électroniques en fonction de leurs adresses ou de leurs domaines. Vous pouvez utiliser des règles de flux d'e-mails sur les adresses e-mail ou les domaines des expéditeurs et des destinataires.
Lorsque vous créez une règle de flux de courrier électronique, vous spécifiez une [*action de règle*](#email-flows-rule-actions) qui s'applique à un e-mail lorsqu'un [*modèle*](#email-flows-patterns) de règle spécifié correspond.
**Topics**
+ [Actions de règle pour les e-mails entrants](#email-flows-rule-actions)
+ [Actions de règle pour les e-mails sortants](#email-flows-rule-outbound)
+ [Modèles d'expéditeur et de destinataire](#email-flows-patterns)
+ [Création de règles de flux d'e-mails](create-email-rules.md)
+ [Modification des règles de flux d'e-mails](edit-rules.md)
+ [Configuration AWS Lambda pour Amazon WorkMail](lambda.md)
+ [Gestion de l'accès à l'API Amazon WorkMail Message Flow](lambda-content-access.md)
+ [Test d'une règle de flux de messagerie](test-email-flow-rule.md)
+ [Suppression d'une règle de flux de messagerie](remove-email-flow-rule.md)
## Actions de règle pour les e-mails entrants
Les règles de flux de messagerie entrant empêchent les messages indésirables d'atteindre les boîtes aux lettres de vos utilisateurs. Les règles relatives au flux d'e-mails entrants, également appelées actions de règles, s'appliquent automatiquement à tous les e-mails envoyés à un membre de votre WorkMail organisation Amazon. Elles diffèrent des règles de messagerie pour les boîtes aux lettres individuelles.
**Note**
Vous pouvez éventuellement utiliser des règles dotées d'une AWS Lambda fonction pour traiter les e-mails entrants avant qu'ils ne soient envoyés aux boîtes aux lettres de vos utilisateurs. Pour plus d'informations sur l'utilisation de Lambda avec Amazon WorkMail, consultez. [Configuration AWS Lambda pour Amazon WorkMail](lambda.md) Pour plus d'informations sur Lambda, consultez le [guide du développeur *AWS Lambda *](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Les règles relatives au flux d'e-mails entrants, également appelées actions de règles, s'appliquent automatiquement à tous les e-mails envoyés à un membre de l' WorkMail organisation Amazon. Elles diffèrent des règles de messagerie pour les boîtes aux lettres individuelles.
Les actions de règle suivantes définissent la façon dont les messages entrants sont traités. Pour chaque règle, vous spécifiez des [modèles d'expéditeur et de destinataire](#email-flows-patterns), accompagnés de l'une des actions suivantes.
****
| Action | Description |
| --- | --- |
| Drop email (Ignorer l'e-mail) | Le message électronique est ignoré. Il n'est pas remis et l'expéditeur n'est pas averti de sa non-remise. |
| Send bounce response (Envoyer une réponse de retour à l'expéditeur) | Le message électronique n'est pas remis et l'expéditeur est informé de la non-livraison dans un message de rebond. |
| Deliver to junk folder (Placer dans le dossier Courrier indésirable) | Le message électronique est envoyé dans les dossiers de spam ou de courrier indésirable des utilisateurs, même s'il n'a pas été initialement identifié comme spam par le système de détection du WorkMail spam Amazon. |
| Par défaut | L'e-mail est livré après avoir été vérifié par le système de détection de WorkMail spam Amazon. Le message indésirable est placé dans le dossier Courrier indésirable. Tous les autres e-mails sont envoyés dans la boîte de réception. Les autres règles de flux de messagerie avec un modèle d'expéditeur moins spécifique sont ignorées. Pour ajouter des exceptions à des règles de flux de messagerie basées sur des domaines, configurez l'action par défaut avec un modèle d'expéditeur plus spécifique. Pour de plus amples informations, veuillez consulter [Modèles d'expéditeur et de destinataire](#email-flows-patterns). |
| Never deliver to junk folder (Ne jamais placer dans le dossier Courrier indésirable) | Le message électronique est toujours envoyé dans les boîtes de réception des utilisateurs, même s'il est identifié comme spam par le système de détection du WorkMail spam Amazon. En n'utilisant pas le système de détection de courrier indésirable par défaut, vous pouvez exposer vos utilisateur à du contenu présentant des risques élevés provenant des adresses que vous spécifiez. |
| Courir AWS Lambda | Transmet le message électronique à une fonction Lambda pour traitement avant ou pendant son envoi dans les boîtes de réception des utilisateurs. |
**Note**
Les e-mails entrants sont d'abord envoyés à Amazon SES, puis à Amazon WorkMail. Si Amazon SES bloque un e-mail entrant, les actions des règles ne s'appliqueront pas. Par exemple, Amazon SES bloque un e-mail lorsqu'un virus connu est détecté ou en raison de règles de filtrage IP explicites. La spécification d'une action de règle comme **Default (Par défaut)**, **Deliver to junk folder (Placer dans le dossier Courrier indésirable)** ou **Never deliver to junk folder (Ne jamais placer dans le dossier Courrier indésirable)** n'a aucun effet.
## Actions de règle pour les e-mails sortants
Vous utilisez les règles de flux de courrier sortant pour diriger les e-mails via des passerelles SMTP ou pour empêcher les expéditeurs d'envoyer des e-mails à des destinataires spécifiques. Pour plus d'informations sur les passerelles SMTP, consultez. [Activation des passerelles SMTP](smtp-gateway.md)
Vous pouvez également utiliser les règles de flux de courrier sortant pour transmettre le message électronique à une AWS Lambda fonction qui le traitera après son envoi. Pour plus d'informations sur Lambda, consultez le [guide du développeur *AWS Lambda *](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Les actions de règle suivantes définissent la façon dont les messages sortants sont traités. Pour chaque règle, vous spécifiez des [modèles d'expéditeur et de destinataire](#email-flows-patterns), accompagnés de l'une des actions suivantes.
****
| Action | Description |
| --- | --- |
| Par défaut | Le message électronique est envoyé via le flux normal. |
| Drop email (Ignorer l'e-mail) | Le message électronique est supprimé. Il n'est pas envoyé et l'expéditeur n'est pas averti. |
| Send bounce response (Envoyer une réponse de retour à l'expéditeur) | Le message électronique n'est pas envoyé et l'expéditeur est averti par un message indiquant que l'administrateur a bloqué le message électronique. |
| Route to SMTP gateway (Acheminer vers la passerelle SMTP) | Le message électronique est envoyé via une passerelle SMTP configurée. |
| Exécutez Lambda | Transmet le message électronique à une fonction Lambda pour traitement avant ou pendant l'envoi du message électronique. |
## Modèles d'expéditeur et de destinataire
Une règle de flux de messagerie peut s'appliquer à une adresse particulière ou à toutes les adresses d'un domaine ou d'un ensemble de domaines donné. Vous définissez un modèle afin de déterminer les adresses e-mail auxquelles une règle s'applique.
Les modèles d'expéditeur et de destinataire ont l'une des formes suivantes :
+ Une *adresse e-mail* correspond à une adresse e-mail unique ; par exemple :
```
mailbox@example.com
```
+ Un *nom de domaine* correspond à toutes les adresses e-mail de ce domaine ; par exemple :
```
example.com
```
+ Un *domaine générique* correspond à toutes les adresses e-mail de ce domaine et de tous ses sous-domaines. Un caractère générique apparaît uniquement avant un domaine, par exemple :
```
*.example.com
```
+ Une *étoile* correspond à n'importe quelle adresse e-mail de n'importe quel domaine.
```
*
```
**Note**
Le symbole \$1 n'est pas valide dans les modèles d'expéditeur ou de destinataire.
Vous pouvez préciser plusieurs modèles pour une même règle. Pour plus d’informations, consultez [Actions de règle pour les e-mails entrants](#email-flows-rule-actions) et [Actions de règle pour les e-mails sortants](#email-flows-rule-outbound).
Les règles de flux de courrier entrant sont appliquées si l'`From`en-tête `Sender` ou l'en-tête d'un e-mail entrant correspond à un modèle quelconque. Si elle est présente, l'adresse `Sender` est mise en correspondance d'abord. L'adresse `From` est mise en correspondance si aucun en-tête `Sender` n'est présent ou si celui-ci ne `Sender` correspond à aucune règle. Si plusieurs destinataires du message électronique répondent à des règles différentes, chaque règle s'applique aux destinataires correspondants.
Les règles de flux de courrier sortant sont appliquées si le destinataire et l'`From`en-tête `Sender` ou l'en-tête d'un e-mail sortant correspondent à un modèle quelconque. Si plusieurs destinataires du message électronique répondent à des règles différentes, chaque règle s'applique aux destinataires correspondants.
Si plusieurs règles correspondent, l'action de la règle la plus spécifique est appliquée. Par exemple, une règle pour une adresse e-mail précise prévaut sur une règle concernant un domaine complet. Si plusieurs règles ont la même spécificité, l'action la plus restrictive est appliquée. Par exemple, une action **Drop** a priorité sur une action **Bounce**. L'ordre de priorité des actions est le même que l'ordre dans lequel elles sont répertoriées dans [Actions de règle pour les e-mails entrants](#email-flows-rule-actions) et [Actions de règle pour les e-mails sortants](#email-flows-rule-outbound).
**Note**
Soyez vigilant lorsque vous créez des règles comportant des modèles d'expéditeurs superposés avec des actions **Drop** ou **Bounce**. Un ordre de priorité inattendu peut empêcher la livraison de nombreux e-mails entrants.
# Création de règles de flux d'e-mails
Les règles de flux de courrier électronique appliquent [des actions de règles](email-flows.md#email-flows-rule-actions) aux e-mails entrants et sortants. Les actions s'appliquent lorsque les messages correspondent à un [modèle](email-flows.md#email-flows-patterns) spécifié. Les nouvelles règles de flux d'e-mails entrent en vigueur immédiatement.
**Pour créer des règles de flux d'e-mails**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis choisissez le nom d'une organisation.
1. Dans le panneau de navigation, choisissez **Organization settings (Paramètres de l'organisation)**.
La page des **paramètres de l'organisation** apparaît et contient un ensemble d'onglets. À partir de cette page, vous pouvez créer des règles entrantes ou sortantes. Les étapes suivantes expliquent comment créer les deux types.
**Pour créer des règles de trafic entrant**
1. Cliquez sur l'onglet **Règles de trafic entrant**, puis sur **Créer**.
1. Dans le champ **Nom de la règle**, entrez un nom unique.
1. Sous **Action**, ouvrez la liste et sélectionnez une action. Chaque élément de la liste contient une description, et certains contiennent des liens pour **en savoir plus**.
**Note**
Si vous choisissez l'action **Exécuter Lambda**, des commandes supplémentaires apparaissent : pour plus d'informations sur l'utilisation de ces commandes, reportez-vous à la section suivante,. [Configuration AWS Lambda pour Amazon WorkMail](lambda.md)
1. Sous **Domaines ou adresses de l'**expéditeur, entrez les domaines ou adresses de l'expéditeur auxquels vous souhaitez que la règle s'applique.
1. Sous **Domaines ou adresses de destination**, entrez n'importe quelle combinaison de domaines de destination et d'adresses e-mail.
1. Choisissez **Créer**.
**Pour créer des règles de sortie**
1. Cliquez sur l'onglet **Règles sortantes**, puis sur **Créer**.
1. Dans le champ **Nom de la règle**, entrez un nom unique.
1. Sous **Action**, ouvrez la liste et sélectionnez une action. Chaque élément de la liste contient une description, et certains contiennent des liens pour **en savoir plus**.
**Note**
Si vous choisissez l'action **Exécuter Lambda**, des commandes supplémentaires apparaissent. Pour plus d'informations sur l'utilisation de ces commandes, reportez-vous à la section suivante,[Configuration AWS Lambda pour Amazon WorkMail](lambda.md).
1. Sous **Domaines ou adresses de l'expéditeur**, entrez n'importe quelle combinaison de domaines d'expéditeur et d'adresses e-mail valides.
1. Sous **Domaines ou adresses de destination**, entrez n'importe quelle combinaison de domaines de destination et d'adresses e-mail valides.
1. Choisissez **Créer**.
Vous pouvez tester la nouvelle règle de flux de messagerie que vous avez créée. Pour de plus amples informations, veuillez consulter [Test d'une règle de flux de messagerie](test-email-flow-rule.md).
# Modification des règles de flux d'e-mails
Vous modifiez les règles de flux de courrier électronique chaque fois que vous devez modifier une ou plusieurs [actions de règle](email-flows.md#email-flows-rule-actions) pour les messages électroniques. Les étapes décrites dans cette section s'appliquent aux e-mails entrants et sortants.
**Pour modifier les règles de flux d'e-mails**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis choisissez le nom d'une organisation.
1. Dans le panneau de navigation, choisissez **Organization settings (Paramètres de l'organisation)**.
La page des **paramètres de l'organisation** apparaît et contient un ensemble d'onglets.
1. Choisissez les onglets **Règles entrantes ou Règles** **sortantes**.
1. Cliquez sur le bouton radio situé à côté de la règle que vous souhaitez modifier, puis sélectionnez **Modifier**.
1. Modifiez l'action ou les actions de la règle selon vos besoins, puis choisissez **Enregistrer**.
# Configuration AWS Lambda pour Amazon WorkMail
Utilisez l'action **Exécuter Lambda** dans les règles de flux de courrier entrant et sortant pour transmettre les messages électroniques conformes aux règles à une AWS Lambda fonction à des fins de traitement.
Choisissez parmi les configurations suivantes pour une action **Run Lambda** dans Amazon. WorkMail
**Configuration **Lambda d'exécution** synchrone**
Les messages électroniques qui correspondent à la règle de flux sont transmis à une fonction Lambda pour traitement avant d'être envoyés ou remis. Utilisez cette configuration pour modifier le contenu des e-mails. Vous pouvez également contrôler le flux de courrier entrant ou sortant pour différents cas d'utilisation. Par exemple, une règle transmise à une fonction Lambda peut bloquer la livraison de messages électroniques sensibles, supprimer des pièces jointes ou ajouter des clauses de non-responsabilité.
**Configuration d'exécution asynchrone de **Lambda****
Les messages électroniques qui correspondent à la règle de flux sont transmis à une fonction Lambda pour être traités lors de leur envoi ou de leur remise. Cette configuration n'affecte pas la livraison des e-mails, et est utilisée lors de tâches telles que la collecte de métriques pour les messages électroniques entrants ou sortants.
Que vous choisissiez une configuration synchrone ou asynchrone, l'objet d'événement transmis à votre fonction Lambda contient les métadonnées de l'événement d'e-mail entrant ou sortant. Vous pouvez également accéder au contenu complet du message électronique grâce à l'ID de message dans les métadonnées. Pour de plus amples informations, veuillez consulter [Récupération du contenu des messages avec AWS Lambda](lambda-content.md). Pour de plus amples informations sur les événements d’e-mails, veuillez consulter [Données d'événements Lambda](#lambda-data).
Pour plus d'informations sur les règles de flux de messagerie entrant et sortant, consultez [Gestion des flux de messagerie](email-flows.md). Pour plus d'informations sur Lambda, consultez le [guide du développeur *AWS Lambda *](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
**Note**
Actuellement, les règles de flux de messagerie Lambda font uniquement référence aux fonctions Lambda dans la même région AWS et dans la même organisation Amazon WorkMail en cours Compte AWS de configuration.
## Commencer à utiliser AWS Lambda pour Amazon WorkMail
Pour commencer à utiliser AWS Lambda Amazon WorkMail, nous vous recommandons de déployer la [fonction WorkMail Hello World Lambda](https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:489970191081:applications/workmail-hello-world-python) depuis votre AWS Serverless Application Repository compte. La fonction dispose de toutes les ressources nécessaires et des autorisations configurées pour vous. Pour plus d'exemples, consultez le [amazon-workmail-lambda-templates](https://github.com/aws-samples/amazon-workmail-lambda-templates)référentiel sur GitHub.
Si vous choisissez de créer votre propre fonction Lambda, vous devez configurer les autorisations à l'aide de AWS Command Line Interface ()AWS CLI. Dans l'exemple de commande suivant, procédez comme suit :
+ Remplacez `MY_FUNCTION_NAME` par le nom de votre fonction Lambda.
+ `REGION`Remplacez-le par votre région Amazon WorkMail AWS. Les WorkMail régions Amazon disponibles incluent `us-east-1` (USA Est (Virginie du Nord)), `us-west-2` (USA Ouest (Oregon)) et `eu-west-1` (Europe (Irlande)).
+ `AWS_ACCOUNT_ID`Remplacez-le par votre Compte AWS identifiant à 12 chiffres.
+ `WORKMAIL_ORGANIZATION_ID`Remplacez-le par votre identifiant d' WorkMailorganisation Amazon. Vous le trouverez sur la carte de votre organisation sur la page **Organizations**.
```
aws --region REGION lambda add-permission --function-name MY_FUNCTION_NAME
--statement-id AllowWorkMail
--action "lambda:InvokeFunction"
--principal workmail.REGION.amazonaws.com
--source-arn arn:aws:workmail:REGION:AWS_ACCOUNT_ID:organization/WORKMAIL_ORGANIZATION_ID
```
Pour plus d'informations sur l'utilisation du AWS CLI, consultez le [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
## Configuration des règles **Run Lambda** synchrones
Pour configurer une règle d'**exécution Lambda** synchrone, créez une règle de flux de courrier électronique avec l'action **Exécuter Lambda** et cochez **la** case Exécuter de manière synchrone. Pour plus d'informations sur la création de règles de flux d’e-mails, veuillez consulter [Création de règles de flux d'e-mails](create-email-rules.md).
Pour terminer la création de la règle synchrone, ajoutez le nom de ressource Lambda Amazon (ARN) et configurez les options suivantes.
****Action de secours****
L'action Amazon WorkMail s'applique si la fonction Lambda ne s'exécute pas. Cette action s'applique également à tous les destinataires omis dans la réponse Lambda si l'indicateur **AllRecipients** n'est pas défini. L'**action Fallback** ne peut pas être une autre action Lambda.
****Temps d’expiration de la règle** (en minutes)**
Période pendant laquelle la fonction Lambda est réessayée si Amazon WorkMail ne parvient pas à l'invoquer. L'**action de secours** est utilisée à la fin de cette période.
**Note**
Les règles Synchrous **Run Lambda** ne prennent en charge que **\$1** la condition de destination.
## Données d'événements Lambda
La fonction Lambda est déclenchée à l'aide des données d'événement suivantes. La présentation des données varie en fonction du langage de programmation utilisé pour la fonction Lambda.
```
{
"summaryVersion": "2018-10-10",
"envelope": {
"mailFrom" : {
"address" : "from@example.com"
},
"recipients" : [
{ "address" : "recipient1@example.com" },
{ "address" : "recipient2@example.com" }
]
},
"sender" : {
"address" : "sender@example.com"
},
"subject" : "Hello From Amazon WorkMail!",
"messageId": "00000000-0000-0000-0000-000000000000",
"invocationId": "00000000000000000000000000000000",
"flowDirection": "INBOUND",
"truncated": false
}
```
L'événement JSON comprend les données suivantes.
**summaryVersion**
Le numéro de version de`LambdaEventData`. Cela n'est mis à jour que lorsque vous apportez une modification rétrocompatible dans`LambdaEventData`.
**envelope**
L'enveloppe du message électronique, qui comprend les éléments suivants : champs.
**mailFrom**
L’adresse **From (d’expédition)**, généralement l'adresse e-mail de l'utilisateur ayant envoyé le message. Si l'utilisateur a envoyé l’e-mail au nom d’une autre personne ou en tant qu'un autre utilisateur, le champ **mailFrom** renvoie l'adresse e-mail de l'utilisateur au nom de qui le message a été envoyé, et non celle de l'émetteur réel.
**recipients**
Liste de toutes les adresses e-mail des destinataires Amazon WorkMail ne fait pas de distinction entre **To**, **CC** ou **BCC**.
En ce qui concerne les règles relatives au flux d'e-mails entrants, cette liste inclut les destinataires de tous les domaines de WorkMail l'organisation Amazon dans laquelle vous créez la règle. La fonction Lambda est invoquée séparément pour chaque conversation SMTP par l'expéditeur, et le champ des destinataires répertorie les destinataires de cette conversation SMTP. Les destinataires avec des domaines externes ne sont pas inclus.
**sender**
Adresse e-mail de l'utilisateur qui a envoyé l'e-mail au nom d'un autre utilisateur. Ce champ est défini uniquement lorsqu'un e-mail est envoyé au nom d'un autre utilisateur.
**subject**
Ligne d'objet de l'e-mail. Tronquée lorsqu'elle dépasse la limite de 256 caractères.
**messageId**
Un identifiant unique utilisé pour accéder à l'intégralité du contenu de l'e-mail lors de l'utilisation du SDK Amazon WorkMail Message Flow.
**invocationId**
L'ID d'un appel Lambda unique. Cet identifiant reste le même lorsqu'une fonction Lambda est appelée plusieurs fois pour la même fonction. **LambdaEventData** Permet de détecter les nouvelles tentatives et éviter la duplication.
**flowDirection**
Indique la direction du flux de messagerie, soit **INBOUND (ENTRANT)** ou **OUTBOUND (SORTANT)**.
**truncated**
S'applique à la charge utile, non à la longueur de la ligne d'objet. Lorsque la valeur est `true`, la taille de la charge utile dépasse la limite de 128 Ko. La liste des destinataires est donc tronquée pour respecter la limite.
## Schéma de réponse Synchrous **Run Lambda**
Lorsqu'une règle de flux d'e-mails comportant une action **Run Lambda** synchrone correspond à un e-mail entrant ou sortant, Amazon WorkMail appelle la fonction Lambda configurée et attend la réponse avant de prendre des mesures sur le message électronique. La fonction Lambda renvoie une réponse selon un schéma prédéfini qui répertorie les actions, les types d'actions, les paramètres applicables et les destinataires auxquels l'action s'applique.
L'exemple suivant montre une réponse **Run Lambda** synchrone. Les réponses varient en fonction du langage de programmation utilisé pour la fonction Lambda.
```
{
"actions": [
{
"action" : {
"type": "string",
"parameters": { various }
},
"recipients": [list of strings],
"allRecipients": boolean
}
]
}
```
La réponse JSON inclut les données suivantes :
**action**
L’action à entreprendre pour les destinataires.
**type**
Le type d'action. Les types d'action ne sont pas renvoyés pour les actions Run **Lambda** asynchrones.
Les types d'action de messages entrants incluent **BOUNCE (RETOUR À L’EXPÉDITEUR)**, **DROP (IGNORER)**, **DEFAULT (PAR DÉFAUT)**, **BYPASS\$1SPAM\$1CHECK (ÉVITER\$1VÉRIFICATION\$1ANTI-SPAM)**, et **MOVE\$1TO\$1JUNK (DÉPLACER\$1VERS\$1COURRIER\$1INDÉSIRABLE)**. Pour de plus amples informations, veuillez consulter [Actions de règle pour les e-mails entrants](email-flows.md#email-flows-rule-actions).
Les types d'action de messages sortants incluent **BOUNCE (RETOUR À L’EXPÉDITEUR)**, **DROP (IGNORER)**, et **DEFAULT (PAR DÉFAUT)**. Pour de plus amples informations, veuillez consulter [Actions de règle pour les e-mails sortants](email-flows.md#email-flows-rule-outbound).
**parameters**
Paramètres d'action supplémentaires. Compatibles avec les types d’action **BOUNCE (RETOUR À L’EXPÉDITEUR)** en tant qu'objet JSON avec la clé **bounceMessage** et la **chaîne**de valeur. L’option de message de retour à l’expéditeur est utilisée pour créer un e-mail revenant à l’expéditeur.
**recipients**
Liste des adresses e-mail concernées par l’action. Vous pouvez ajouter de nouveaux destinataires à la réponse, même s'ils n'étaient pas inclus dans la liste initiale. Ce champ n'est pas obligatoire si **allRecipients** est activé pour une action.
Lorsqu'une action Lambda est appelée pour un e-mail entrant, vous ne pouvez ajouter que de nouveaux destinataires issus de votre organisation. Les nouveaux destinataires ajoutés à la réponse apparaissent dans le champ **BCC (Cci)**.
**allRecipients**
Lorsque vrai, applique l'action à tous les destinataires qui ne sont pas soumis à une autre action spécifique dans la réponse Lambda.
### Limites d'action Synchrous **Run Lambda**
Les limites suivantes s'appliquent lorsqu'Amazon WorkMail invoque des fonctions Lambda pour des actions **Run Lambda synchrones** :
+ Les fonctions Lambda doivent répondre dans les 15 secondes, sous peine d'être traitées comme des appels ayant échoué.
**Note**
Le système tente à nouveau l'appel pendant l'intervalle de **délai d'expiration des règles que vous** spécifiez.
+ Les réponses de la fonction Lambda jusqu'à 256 Ko sont autorisées.
+ Jusqu'à 10 actions différentes sont autorisées pour la réponse. S’il y en a plus de 10, elles seront soumises à l'**action de secours**préalablement configurée.
+ Jusqu'à 500 destinataires sont autorisés pour les fonctions Lambda sortantes.
+ La valeur maximale du **temps d’expiration de la règle** est de 240 minutes. Si la valeur minimale de 0 est configurée, il n'y a aucune nouvelle tentative avant qu'Amazon n' WorkMail applique l'action de secours.
### Défaillances de l'action Synchrone **Run Lambda**
**Si Amazon ne WorkMail parvient pas à appeler votre fonction Lambda en raison d'une erreur, d'une réponse non valide ou d'un délai Lambda expiré, Amazon WorkMail réessaie l'appel avec un retard exponentiel qui réduit le taux de traitement jusqu'à la fin du délai d'expiration de la règle.** Ensuite, l'**action de secours** est appliquée à tous les destinataires de l’e-mail. Pour de plus amples informations, veuillez consulter [Configuration des règles **Run Lambda** synchrones](#synchronous-rules).
## Exemple de réponses **Run Lambda** synchrones
Les exemples suivants illustrent la structure des réponses **Run Lambda** synchrones courantes.
**Example : supprime certains destinataires précis d'un e-mail**
L'exemple suivant illustre la structure d'une réponse synchrone **Run Lambda** pour supprimer des destinataires d'un message électronique.
```
{
"actions": [
{
"action": {
"type": "DEFAULT"
},
"allRecipients": true
},
{
"action": {
"type": "DROP"
},
"recipients": [
"drop-recipient@example.com"
]
}
]
}
```
**Example : Renvoyer un e-mail personnalisé à l’expéditeur**
L'exemple suivant illustre la structure d'une réponse synchrone **Run Lambda** destinée à être renvoyée à un e-mail personnalisé.
```
{
"actions" : [
{
"action" : {
"type": 'BOUNCE',
"parameters": {
"bounceMessage" : "Email in breach of company policy."
}
},
"allRecipients": true
}
]
}
```
**Example : Ajouter des destinataires à un e-mail**
L'exemple suivant illustre la structure d'une réponse synchrone **Run Lambda** pour ajouter des destinataires au message électronique. Cela ne met pas à jour les champs **To (À)** ou **CC** de l’e-mail.
```
{
"actions": [
{
"action": {
"type": "DEFAULT"
},
"recipients": [
"new-recipient@example.com"
]
},
{
"action": {
"type": "DEFAULT"
},
"allRecipients": true
}
]
}
```
[Pour plus d'exemples de code à utiliser lors de la création de fonctions Lambda pour les actions Run **Lambda**, consultez les modèles Amazon Lambda. WorkMail ](https://github.com/aws-samples/amazon-workmail-lambda-templates)
## Plus d'informations sur l'utilisation de Lambda avec Amazon WorkMail
Vous pouvez également accéder au contenu complet du message électronique qui déclenche la fonction Lambda. Pour de plus amples informations, veuillez consulter [Récupération du contenu des messages avec AWS Lambda](lambda-content.md).
# Récupération du contenu des messages avec AWS Lambda
Après avoir configuré une AWS Lambda fonction pour gérer les flux d'e-mails pour Amazon WorkMail, vous pouvez accéder au contenu complet des e-mails traités à l'aide de Lambda. Pour plus d'informations sur la prise en main de Lambda pour Amazon WorkMail, consultez. [Configuration AWS Lambda pour Amazon WorkMail](lambda.md)
Pour accéder au contenu complet des e-mails, utilisez l'`GetRawMessageContent`action dans l'API Amazon WorkMail Message Flow. L'ID du message électronique transmis à votre fonction Lambda lors de l'invocation envoie une demande à l'API. Ensuite, l'API répond avec le contenu MIME complet du message électronique. Pour plus d'informations, consultez [Amazon WorkMail Message Flow](https://docs.aws.amazon.com/workmail/latest/APIReference/API_Operations_Amazon_WorkMail_Message_Flow.html) dans le manuel *Amazon WorkMail API Reference*.
L'exemple suivant montre comment une fonction Lambda utilisant l'environnement d'exécution Python peut récupérer le contenu complet du message.
**Astuce**
Si vous commencez par déployer la [fonction Lambda Amazon WorkMail Hello World](https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:489970191081:applications/workmail-hello-world-python) depuis votre compte, le AWS Serverless Application Repository système crée une fonction Lambda dans votre compte avec toutes les ressources et autorisations nécessaires. Vous pouvez ensuite ajouter votre logique métier à la fonction lambda en fonction de votre cas d'utilisation.
```
import boto3
import email
import os
def email_handler(event, context):
workmail = boto3.client('workmailmessageflow', region_name=os.environ["AWS_REGION"])
msg_id = event['messageId']
raw_msg = workmail.get_raw_message_content(messageId=msg_id)
parsed_msg = email.message_from_bytes(raw_msg['messageContent'].read())
print(parsed_msg)
```
Pour des exemples plus détaillés de méthodes d'analyse du contenu des messages en transit, consultez le [amazon-workmail-lambda-templates](https://github.com/aws-samples/amazon-workmail-lambda-templates)référentiel sur GitHub.
**Note**
Vous utilisez uniquement l'API Amazon WorkMail Message Flow pour accéder aux e-mails en transit. Vous ne pouvez accéder aux messages que dans les 24 heures suivant leur envoi ou leur réception. Pour accéder par programmation aux messages dans la boîte aux lettres d'un utilisateur, utilisez l'un des autres protocoles pris en charge par Amazon WorkMail, tels que IMAP ou Exchange Web Services (EWS).
# Mise à jour du contenu des messages avec AWS Lambda
Après avoir configuré une AWS Lambda fonction synchrone pour gérer les flux d'e-mails, vous pouvez utiliser l'`PutRawMessageContent`action de l'API Amazon WorkMail Message flow pour mettre à jour le contenu des e-mails en transit. Pour plus d'informations sur la prise en main des fonctions Lambda pour Amazon WorkMail, consultez. [Configuration des règles **Run Lambda** synchrones](lambda.md#synchronous-rules) Pour plus d’informations sur l’API, consultez [ PutRawMessageContent](https://docs.aws.amazon.com/workmail/latest/APIReference/API_messageflow_PutRawMessageContent.html).
**Note**
L' PutRawMessageContent API nécessite boto3 1.17.8, ou vous pouvez ajouter une couche à votre fonction Lambda. Pour télécharger la bonne version de boto3, consultez la page de démarrage [sur](https://github.com/boto/boto). GitHub Pour plus d'informations sur l'ajout de couches, voir [Configurer une fonction pour utiliser des couches](https://docs.aws.amazon.com/lambda/latest/dg/configuration-layers.html#configuration-layers-using).
Voici un exemple de couche :`"LayerArn":"arn:aws:lambda:${AWS::Region}:489970191081:layer:WorkMailLambdaLayer:2"`. Dans cet exemple, remplacez-le `${AWS::Region}` par une région aws appropriée, telle que us-east-1.
**Astuce**
Si vous commencez par déployer la [fonction Lambda Amazon WorkMail Hello World](https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:489970191081:applications/workmail-hello-world-python) depuis AWS Serverless Application Repository sur votre compte, le système crée une fonction Lambda dans votre compte avec les ressources et autorisations nécessaires. Vous pouvez ensuite ajouter une logique métier à la fonction lambda, en fonction de vos cas d'utilisation.
Au fur et à mesure, souvenez-vous de ce qui suit :
+ Utilisez l'[ GetRawMessageContent](https://docs.aws.amazon.com/workmail/latest/APIReference/API_messageflow_GetRawMessageContent.html)API pour récupérer le contenu du message d'origine. Pour de plus amples informations, veuillez consulter [Récupération du contenu des messages avec AWS Lambda](lambda-content.md).
+ Une fois que vous avez le message d'origine, modifiez le contenu MIME. Lorsque vous avez terminé, téléchargez le message dans un compartiment Amazon Simple Storage Service (Amazon S3) de votre compte. Assurez-vous que le compartiment S3 utilise la même chose Compte AWS que vos WorkMail opérations Amazon et qu'il utilise la même région AWS que vos appels d'API.
+ Pour WorkMail qu'Amazon puisse traiter les demandes, votre compartiment S3 doit disposer de la politique appropriée afin d'accéder à l'objet S3. Pour de plus amples informations, veuillez consulter [Example S3 policy](#s3example).
+ Utilisez l'[ PutRawMessageContent](https://docs.aws.amazon.com/workmail/latest/APIReference/API_messageflow_PutRawMessageContent.html)API pour renvoyer le contenu du message mis à jour à Amazon WorkMail.
**Note**
L'`PutRawMessageContent`API garantit que le contenu MIME du message mis à jour répond aux normes RFC, ainsi qu'aux critères mentionnés dans le type de [RawMessageContent](https://docs.aws.amazon.com/workmail/latest/APIReference/API_messageflow_RawMessageContent.html)données. Les e-mails envoyés à votre WorkMail organisation Amazon ne répondent pas toujours à ces normes. Il est donc possible que l'`PutRawMessageContent`API les rejette. Dans de tels cas, vous pouvez consulter le message d'erreur renvoyé pour plus d'informations sur la manière de résoudre les problèmes.
**Example Exemple de politique S3**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workmail.REGION.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::My-Test-S3-Bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"Bool": {
"aws:SecureTransport": "true"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/WORKMAIL_ORGANIZATION_ID/*"
}
}
}
]
}
```
L'exemple suivant montre comment une fonction Lambda utilise le moteur d'exécution Python pour mettre à jour l'objet d'un e-mail en transit.
```
import boto3
import os
import uuid
import email
def email_handler(event, context):
workmail = boto3.client('workmailmessageflow', region_name=os.environ["AWS_REGION"])
s3 = boto3.client('s3', region_name=os.environ["AWS_REGION"])
msg_id = event['messageId']
raw_msg = workmail.get_raw_message_content(messageId=msg_id)
parsed_msg = email.message_from_bytes(raw_msg['messageContent'].read())
# Updating subject. For more examples, see https://github.com/aws-samples/amazon-workmail-lambda-templates.
parsed_msg.replace_header('Subject', "New Subject Updated From Lambda")
# Store updated email in S3
key = str(uuid.uuid4());
s3.put_object(Body=parsed_msg.as_bytes(), Bucket="amzn-s3-demo-bucket", Key=key)
# Update the email in WorkMail
s3_reference = {
'bucket': "amzn-s3-demo-bucket",
'key': key
}
content = {
's3Reference': s3_reference
}
workmail.put_raw_message_content(messageId=msg_id, content=content)
```
Pour d'autres exemples de méthodes d'analyse du contenu des messages en transit, consultez le [ amazon-workmail-lambda-templates](https://github.com/aws-samples/amazon-workmail-lambda-templates)référentiel sur GitHub.
# Gestion de l'accès à l'API Amazon WorkMail Message Flow
Utilisez des politiques Gestion des identités et des accès AWS (IAM) pour gérer l'accès à l'API Amazon WorkMail Message Flow.
L'API Amazon WorkMail Message Flow fonctionne avec un seul type de ressource, un e-mail en transit. Chaque e-mail en transit est associé à un Amazon Resource Name (ARN) unique.
L'exemple suivant montre la syntaxe d'un ARN associé à un message électronique en transit.
```
arn:aws:workmailmessageflow:region:account:message/organization/context/messageID
```
Les champs modifiables de l'exemple précédent sont les suivants :
+ **Région** : région AWS de votre WorkMail organisation Amazon.
+ **Compte** : Compte AWS identifiant de votre WorkMail organisation Amazon.
+ **Organisation : l'**identifiant de votre WorkMail organisation Amazon.
+ **Contexte** — Indique si le message est `incoming` destiné à votre organisation ou `outgoing` provient de celle-ci.
+ **ID du message : identifiant** unique du message électronique transmis en entrée à votre fonction Lambda.
L'exemple suivant inclut un IDs exemple d'ARN associé à un e-mail entrant en transit.
```
arn:aws:workmailmessageflow:us-east-1:111122223333:message/m-n1pq2345678r901st2u3vx45x6789yza/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9
```
Vous pouvez les utiliser ARNs comme ressources dans la `Resource` section de vos politiques utilisateur IAM afin de gérer l'accès aux WorkMail messages Amazon en transit.
## Exemples de politiques IAM pour l'accès au flux de WorkMail messages Amazon
L'exemple de politique suivant accorde à une entité IAM un accès en lecture complet à tous les messages entrants et sortants pour chaque WorkMail organisation Amazon de votre entreprise. Compte AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workmailmessageflow:GetRawMessageContent"
],
"Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/*",
"Effect": "Allow"
}
]
}
```
------
Si vous avez plusieurs organisations Compte AWS, vous pouvez également limiter l'accès à une ou plusieurs organisations. Cela est utile si certaines fonctions Lambda ne doivent être utilisées que pour certaines organisations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workmailmessageflow:GetRawMessageContent"
],
"Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/*",
"Effect": "Allow"
}
]
}
```
------
Vous pouvez également choisir d'accorder l'accès aux messages selon qu'ils `incoming` à votre organisation ou `outgoing` partir de celle-ci. Pour ce faire, utilisez le qualificateur `incoming` ou `outgoing` dans l'ARN.
L'exemple de stratégie suivant accorde l'accès uniquement aux messages entrants dans votre organisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workmailmessageflow:GetRawMessageContent"
],
"Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/organization/incoming/*",
"Effect": "Allow"
}
]
}
```
------
L'exemple de politique suivant accorde à une entité IAM un accès complet en lecture et en mise à jour à tous les messages entrants et sortants pour chaque WorkMail organisation Amazon de votre entreprise. Comptes AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workmailmessageflow:GetRawMessageContent",
"workmailmessageflow:PutRawMessageContent"
],
"Resource": "arn:aws:workmailmessageflow:us-east-1:111122223333:message/*",
"Effect": "Allow"
}
]
}
```
------
# Test d'une règle de flux de messagerie
Pour vérifier votre configuration de règle actuelle, vous pouvez tester le comportement de la configuration avec des adresses spécifiques.
**Pour tester une règle de flux de messagerie**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Dans le panneau de navigation, choisissez **Organization settings (Paramètres de l'organisation)**, **Inbound/Outbound rules (Règles entrantes/sortantes)**.
1. En regard de **Test configuration (Tester la configuration)**, entrez les adresses e-mail complètes de l'expéditeur et du destinataire à tester.
1. Sélectionnez **Tester)**. L'action à réaliser pour l'adresse fournie s'affiche.
# Suppression d'une règle de flux de messagerie
Lorsque vous supprimez une règle de flux de messagerie, les changements sont appliqués sur-le-champ.
**Pour supprimer une règle de flux de messagerie**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Dans le panneau de navigation, choisissez **Organization settings (Paramètres de l'organisation)**, **Inbound/Outbound rules (Règles entrantes/sortantes)**.
1. Sélectionnez la règle et choisissez **Remove (Supprimer)**.
1. À l'invite de confirmation, choisissez **Remove (Supprimer)**.
# Application de stratégies DMARC sur les e-mails entrants
Les domaines de messagerie utilisent des enregistrements DNS (Domain Name System) pour des raisons de sécurité. Ils protègent vos utilisateurs contre les attaques courantes telles que l'usurpation d'identité ou le hameçonnage. Les enregistrements DNS incluent souvent des enregistrements DMARC (Domain-based Message Authentication, Reporting, Conformance), définis par le propriétaire du domaine qui envoie l'e-mail. Les enregistrements DMARC incluent des politiques qui spécifient les mesures à prendre lorsqu'un e-mail échoue à une vérification DMARC. Vous pouvez choisir d'appliquer la stratégie DMARC sur les e-mails envoyés à votre organisation.
L'application du DMARC est activée par défaut pour les nouvelles WorkMail organisations Amazon.
**Pour activer l'application de DMARC**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Dans le panneau de navigation, choisissez **Organization settings (Paramètres de l'organisation)**. La page des **paramètres de l'organisation** apparaît et contient un ensemble d'onglets.
1. Choisissez l'onglet **DMARC**, puis sélectionnez **Modifier**.
1. Déplacez le curseur d'**application du DMARC** sur la position activée.
1. Cochez la case à côté de **Je reconnais que l'activation de l'application du DMARC peut entraîner la suppression ou la mise en quarantaine des e-mails entrants en fonction de la configuration du domaine de l'expéditeur**.
1. Choisissez **Enregistrer**.
**Pour désactiver l'application de DMARC**
+ Suivez les étapes de la section précédente, mais déplacez le curseur d'**application de la DMARC** sur la position Off.
## Utilisation de la journalisation d'événements d'e-mail pour effectuer le suivi de l'application de DMARC
L'activation de l'application de DMARC peut entraîner la suppression d'e-mails entrants ou leur marquage comme courrier indésirable, selon la façon dont l'expéditeur a configuré son domaine. Si un expéditeur ne configure pas son domaine de messagerie, vos utilisateurs peuvent cesser de recevoir des e-mails légitimes. Pour vérifier les e-mails qui ne sont pas envoyés à vos utilisateurs, vous pouvez activer la journalisation des événements par e-mail pour votre WorkMail organisation Amazon. Ensuite, vous pouvez interroger vos journaux d'événements d'e-mail pour rechercher les e-mails entrants qui sont filtrés en fonction des stratégies DMARC de l'expéditeur.
Avant d'utiliser la journalisation des événements par e-mail pour suivre l'application du DMARC, activez la journalisation des événements par e-mail dans la WorkMail console Amazon. Pour tirer le meilleur parti de vos données de journal, laissez passer un certain temps pendant que les événements d'e-mail sont enregistrés. Pour en savoir plus et des instructions, consultez [Activation de la journalisation des événements de messagerie](tracking.md#enable-tracking).
**Pour utiliser la journalisation d'événements d'e-mail pour effectuer le suivi de l'application de DMARC**
1. Dans la console CloudWatch Insights, sous **Logs**, sélectionnez **Insights**.
1. Pour **Sélectionner un ou plusieurs groupes de journaux**, sélectionnez le groupe de journaux de votre WorkMail organisation Amazon. Par exemple,/aws/workmail/events/organization-alias.
1. Sélectionnez une période à interroger.
1. Exécutez la requête suivante : **stats count() by event.dmarcPolicy \$1 filter event.dmarcVerdict == "FAIL"**
1. Choisissez **Exécuter la requête**.
Vous pouvez également configurer des métriques personnalisées pour ces événements. Pour de plus amples informations, veuillez consulter [Création de filtres de métriques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringPolicyExample.html).
# Balisage d'une organisation
Le balisage d'une ressource d' WorkMail organisation Amazon vous permet de :
+ Faites la différence entre les organisations dans la AWS Billing and Cost Management console.
+ Contrôlez l'accès aux ressources de WorkMail l'organisation Amazon en les ajoutant à l'`Resource`élément des déclarations de politique d'autorisation Gestion des identités et des accès AWS (IAM).
Pour plus d'informations sur les autorisations WorkMail au niveau des ressources Amazon, consultez. [Ressources](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources) Pour plus d'informations sur le contrôle d'accès basé sur des balises, veuillez consulter [Autorisation basée sur les WorkMail tags Amazon](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
WorkMail Les administrateurs Amazon peuvent étiqueter les organisations à l'aide de la WorkMail console Amazon.
**Pour ajouter des tags à une WorkMail organisation Amazon**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Choisissez **Tags**.
1. Dans **Organization tags (Balises d’organisation)**, choisissez **Add new tag (Ajouter une nouvelle balise)**.
1. Pour **Key**, entrez un nom identifiant le tag.
1. (Facultatif) Dans **Value (Valeur)**, entrez une valeur pour la balise.
1. (Facultatif) Répétez les étapes 4 à 6 pour ajouter d'autres balises à votre organisation. Vous pouvez ajouter jusqu’à 50 balises.
1. Choisissez **Save** pour enregistrer les changements.
Vous pouvez consulter les tags de votre organisation dans la WorkMail console Amazon.
Les développeurs peuvent également étiqueter les organisations à l'aide du AWS SDK ou AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez les `UntagResource` commandes `TagResource``ListTagsForResource`, et dans le manuel [Amazon WorkMail API Reference](https://docs.aws.amazon.com/workmail/latest/APIReference/Welcome.html) ou le [AWS CLI Command Reference](https://docs.aws.amazon.com/cli/latest/reference/workmail/index.html).
Vous pouvez supprimer les tags d'une organisation à tout moment à l'aide de la WorkMail console Amazon.
**Pour supprimer des tags d'une WorkMail organisation Amazon**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Choisissez **Tags**.
1. Pour **Organization tags (Balises d'organisation)**, choisissez **Remove (Supprimer)** en regard de la balise à supprimer.
1. Choisissez **Soumettre** pour enregistrer vos modifications.
# Utilisation des règles de contrôle d'accès
Les règles de contrôle d'accès pour Amazon WorkMail permettent aux administrateurs de contrôler la manière dont les utilisateurs et les rôles d'usurpation d'identité de leur organisation obtiennent l'accès à Amazon. WorkMail Chaque WorkMail organisation Amazon dispose d'une règle de contrôle d'accès par défaut qui accorde l'accès aux boîtes aux lettres à tous les utilisateurs et aux rôles d'emprunt d'identité ajoutés à l'organisation, quels que soient le protocole d'accès ou l'adresse IP utilisés. Les administrateurs peuvent modifier ou remplacer la règle par défaut par l'une des leurs, ajouter une règle ou en supprimer une.
**Avertissement**
Si un administrateur supprime toutes les règles de contrôle d'accès d'une organisation, Amazon WorkMail bloque tout accès aux boîtes aux lettres de l'organisation.
Les administrateurs peuvent appliquer des règles de contrôle d'accès qui autorisent ou refusent l'accès en fonction des critères suivants :
+ **Protocoles** : protocole utilisé pour accéder à la boîte aux lettres. **Les exemples incluent **Autodiscover**, **EWS**, **IMAP**, **SMTP **ActiveSync****, **Outlook pour Windows** et Webmail.**
+ **Adresses IP** : plages IPv4 CIDR utilisées pour accéder à la boîte aux lettres.
+ ** WorkMail Utilisateurs Amazon** : utilisateurs de votre organisation utilisés pour accéder à la boîte aux lettres.
+ **Rôles d'emprunt d'identité : rôles** d'emprunt d'identité utilisés dans votre organisation pour accéder à la boîte aux lettres. Pour de plus amples informations, veuillez consulter [Gestion des rôles d'usurpation d'identité](managing-impersonation-roles.md).
Les administrateurs appliquent des règles de contrôle d'accès en plus des autorisations de boîte aux lettres et de dossier de l'utilisateur. Pour plus d'informations, consultez [Gestion des autorisations d'accès à une boîte aux lettres](mail_perms_overview.md) la section [Partage de dossiers et autorisations de dossiers](https://docs.aws.amazon.com/workmail/latest/userguide/share-folders.html) dans le *guide de WorkMail l'utilisateur Amazon*.
**Note**
Lorsque vous activez l'accès pour Outlook pour Windows, il est recommandé d'activer également l'accès pour Autodiscover et EWS.
Les règles de contrôle d'accès ne s'appliquent pas à l'accès à WorkMail la console Amazon ou au SDK. Utilisez plutôt des rôles ou des politiques Gestion des identités et des accès AWS (IAM). Pour de plus amples informations, veuillez consulter [Gestion des identités et des accès pour Amazon WorkMail](security-iam.md).
## Création de règles de contrôle d'accès
Créez de nouvelles règles de contrôle d'accès depuis la WorkMail console Amazon.
**Pour créer une règle de contrôle d'accès**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Choisissez **Access control rules (Règles de contrôle d'accès)**.
1. Choisissez **Créer une règle**.
1. Dans **Description**, entrez une description de la règle.
1. Dans **Effect (Effet)**, choisissez **Allow (Autoriser)** ou **Deny (Refuser)**. Cette option autorise ou refuse l'accès en fonction des conditions que vous sélectionnez à l'étape suivante.
1. Pour **Cette règle s'applique aux demandes qui...** , sélectionnez les conditions à appliquer à la règle, par exemple s'il faut inclure ou exclure des protocoles, des adresses IP ou des utilisateurs spécifiques, ou des rôles d'usurpation d'identité.
1. (Facultatif) Si vous entrez des plages d'adresses IP, des utilisateurs ou des rôles d'usurpation d'identité, choisissez **Ajouter** pour les ajouter à la règle.
1. Choisissez **Créer une règle**.
## Modification des règles de contrôle d'accès
Modifiez les nouvelles règles de contrôle d'accès par défaut depuis la WorkMail console Amazon.
**Pour modifier une règle de contrôle d'accès**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Choisissez **Access control rules (Règles de contrôle d'accès)**.
1. Sélectionnez la règle à modifier.
1. Choisissez **Edit rule**.
1. Modifiez la description, l'effet et les conditions, selon vos besoins.
1. Sélectionnez **Enregistrer les modifications**.
**Important**
Lorsque vous modifiez une règle d'accès, les boîtes aux lettres concernées peuvent mettre cinq minutes pour suivre la règle mise à jour. Les clients qui accèdent aux boîtes aux lettres concernées peuvent présenter un comportement incohérent pendant cette période. Cependant, vous constaterez immédiatement un comportement correct lorsque vous testerez vos règles. Pour plus d'informations sur les règles de test, consultez les étapes décrites dans la section suivante.
## Test des règles de contrôle d'accès
Pour voir comment les règles de contrôle d'accès de votre organisation sont appliquées, testez-les depuis la WorkMail console Amazon.
**Pour tester les règles de contrôle d'accès pour votre organisation**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Choisissez **Access control rules (Règles de contrôle d'accès)**.
1. Choisissez **Test rules (Tester les règles)**.
1. Dans **Request context (Contexte de la demande)**, sélectionnez le protocole à tester.
1. Dans **Source IP address (Adresse IP source)**, entrez l'adresse IP à tester.
1. Pour **Requête exécutée par**, choisissez le **rôle **d'utilisateur ou d'**usurpation d'identité** à tester.
1. Sélectionnez le **rôle **d'utilisateur ou d'**usurpation d'identité** à tester.
1. Sélectionnez **Tester)**.
Les résultats du test apparaissent sous **Effect (Effet)**.
## Suppression de règles de contrôle d'accès
Supprimez les règles de contrôle d'accès dont vous n'avez plus besoin dans la WorkMail console Amazon.
**Avertissement**
Si un administrateur supprime toutes les règles de contrôle d'accès d'une organisation, Amazon WorkMail bloque tout accès aux boîtes aux lettres de l'organisation.
**Pour supprimer une règle de contrôle d’accès**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Choisissez **Access control rules (Règles de contrôle d'accès)**.
1. Sélectionnez la règle à supprimer.
1. Choisissez **Delete rule (Supprimer la règle)**.
1. Sélectionnez **Delete (Supprimer)**.
# Définition des stratégies de rétention des boîtes aux lettres
Vous pouvez définir des politiques de conservation des boîtes aux lettres pour votre WorkMail organisation Amazon. Les politiques de rétention suppriment automatiquement les e-mails des boîtes aux lettres des utilisateurs après une période que vous avez choisie. Vous pouvez choisir les dossiers de boîtes aux lettres auxquels appliquer les politiques de rétention. Vous pouvez également choisir de définir des politiques de rétention différentes pour les différents dossiers. Les stratégies de rétention des boîtes aux lettres s'appliquent aux dossiers sélectionnés dans toutes les boîtes aux lettres utilisateur de votre organisation. Les utilisateurs ne peuvent pas annuler les politiques de rétention.
**Pour définir une stratégie de rétention de boîte aux lettres**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région AWS. Dans la barre en haut de la fenêtre de console, ouvrez la liste **Sélectionnez une région** et choisissez une région. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis le nom de votre organisation.
1. Choisissez **Retention policy (Stratégie de rétention)**.
1. Pour **Folder actions (Actions de dossier)**, en regard de chaque dossier de boîte aux lettres que vous souhaitez inclure dans la stratégie, sélectionnez **Supprimer** ou **Supprimer définitivement**.
1. Entrez le nombre de jours pendant lesquels les e-mails doivent être conservés dans chaque dossier de boîte aux lettres avant de les supprimer.
1. Choisissez **Enregistrer**.
Prévoyez 48 heures pour appliquer les politiques de rétention de votre organisation. Si vous choisissez l'action **Supprimer** le dossier, les utilisateurs peuvent récupérer les e-mails supprimés depuis l'application WorkMail Web Amazon et les clients pris en charge. Si vous choisissez l'action **Supprimer définitivement** le dossier, les e-mails ne peuvent pas être récupérés après leur suppression.
Le nombre de jours pendant lesquels une politique de rétention conserve un article dépend de sa date de création, de modification ou de déplacement. Par exemple, si une politique de rétention supprime des éléments au bout d'un an, elle compte les jours de rétention à compter de la date de création ou de dernière action sur cet élément. Il n'est pas affecté par la date à laquelle vous avez mis en œuvre la politique de rétention.