サポート終了通知: 2027 年 3 月 31 日、 AWS は Amazon WorkMail のサポートを終了します。2027 年 3 月 31 日以降、Amazon WorkMail コンソールまたは Amazon WorkMail リソースにアクセスできなくなります。詳細については、[Amazon WorkMail のサポート終了](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 監査ログ記録の有効化
監査ログを使用して、Amazon WorkMail 組織の使用状況に関する詳細情報を取得できます。監査ログを使用すると、メールボックスへのユーザーのアクセスのモニタリング、疑わしいアクティビティの監査、アクセスコントロールとアベイラビリティープロバイダーの設定のデバッグを行うことができます。
**注記**
*AmazonWorkMailFullAccess* マネージドポリシーには、ログ配信を管理するために必要なアクセス許可がすべて含まれているわけではありません。このポリシーを使用して WorkMail を管理する場合は、ログ配信の設定に使用するプリンシパル (引き受けたロールなど) にも、必要なすべてのアクセス許可があることを確認してください。
Amazon WorkMail は、監査ログの配信先として、CloudWatch Logs、Amazon S3、Amazon Data Firehose の 3 つをサポートしています。詳細については、「*[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*」の「[追加のアクセス許可が必要なログ記録 [V2]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)」を参照してください。
Amazon WorkMail には、「[追加のアクセス許可が必要なログ記録 [V2]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)」にリストされているアクセス許可に加えて、ログ配信を設定するための追加のアクセス許可 `workmail:AllowVendedLogDeliveryForResource` が必要です。
動作しているログ配信は、次の 3 つの要素で構成されます。
+ *DeliverySource*。ログを送信するリソースを表す論理オブジェクトです。Amazon WorkMail の場合は、Amazon WorkMail 組織です。
+ *DeliveryDestination*。実際の配信先を表す論理オブジェクトです。
+ *Delivery*。配信元を配信先に接続します。
Amazon WorkMail と送信先の間のログ配信を設定するには、次の操作を行います。
+ [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html) を使用して配信ソースを作成します。
+ [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html) を使用して配信先を作成します。
+ アカウント間でログを配信する場合は、配信先アカウントで [PutDeliveryDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestinationPolicy.html) を使用して、配信先に IAM ポリシーを割り当てる必要があります。このポリシーは、アカウント A の配信元からアカウント B の配信先への配信の作成を許可します。
+ [CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html) を使用して、配信元と配信先を 1 つずつ正確にペアリングして配信を作成します。
以下のセクションでは、各タイプの送信先へのログ配信を設定するためにサインイン時に必要なアクセス許可の詳細について説明します。これらのアクセス許可は、サインイン時に使用する IAM ロールに付与できます。
**重要**
ログ生成リソースを削除した後、ログ配信リソースを削除することは自己の責任です。
ログ生成リソースを削除した後にログ配信リソースを削除するには、次の手順に従います。
1. [DeleteDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDelivery.html) オペレーションを使用して *Delivery* を削除します。
1. [DeleteDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDeliverySource.html) オペレーションを使用して *DeliverySource* を削除します。
1. 削除した *DeliverySource* に関連する *DeliveryDestination* が、この特定の *DeliverySource* にのみ使用されている場合は、[DeleteDeliveryDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDeliveryDestinations.html) オペレーションを使用して削除できます。
## Amazon WorkMail コンソールを使用した監査ログ記録の設定
Amazon WorkMail コンソールで監査ログ記録を設定できます。
1. Amazon WorkMail コンソール ([https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)) を開きます。
必要に応じて、 AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、**[リージョンを選択]** リストを開き、リージョンを選択します。詳細については、「Amazon Web Services 全般のリファレンス」の「[リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで **[組織]** を選択し、組織の名前を選択します。
1. **[ログ記録の設定]** を選択します。
1. **[監査ログの設定]** タブを選択します。
1. 適切なウィジェットを使用して、必要なログタイプの配信を設定します。
1. **[保存]** を選択します。
## CloudWatch Logs に送信されたログ
**ユーザーアクセス許可**
CloudWatch Logs へのログ送信を有効にするには、次のアクセス許可でサインインする必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery:*",
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery-source:*",
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:*"
]
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:{{us-east-1}}:{{{{111122223333}}}}:organization/{{organization-id}}"
]
}
]
}
```
------
**ロググループのリソースポリシー**
ログが送信されているロググループには、特定のアクセス許可が含まれるリソースポリシーが必要です。ロググループに現在リソースポリシーがなく、ログ記録を設定するユーザーにロググループの `logs:PutResourcePolicy`、`logs:DescribeResourcePolicies`、および アクセス`logs:DescribeLogGroups`許可がある場合、CloudWatch Logs へのログの送信を開始すると、 によって次のポリシー AWS が自動的に作成されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"{{111122223333}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:*"
]
}
}
}
]
}
```
------
**ロググループリソースポリシーのサイズ制限に関する考慮事項**
これらのサービスは、ログの送信先の各ロググループを、リソースポリシーにリストする必要があります。CloudWatch Logs リソースポリシーは 5,120 文字に制限されています。多数のロググループにログを送信するサービスは、この上限に到達する可能性があります。
これを軽減するために、CloudWatch Logs は、ログの送信元のサービスが使用するリソースポリシーのサイズをモニタリングします。ポリシーのサイズ制限である 5,120 文字に近づくと、CloudWatch Logs は、そのサービスのリソースポリシーで `/aws/vendedlogs/*` を自動的に有効にします。その後、`/aws/vendedlogs/` で始まる名前のロググループをこれらのサービスからのログの送信先として使用し始めることができます。
## Amazon S3 に送信されたログ
**ユーザーアクセス許可**
Amazon S3 へのログ送信を有効にするには、次のアクセス許可でサインインする必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery:*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery-source:*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::{{bucket-name}}"
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:{{us-east-1}}:{{111122223333}}:organization/{{organization-id}}"
]
}
]
}
```
------
ログが送信されている S3 バケットには、特定のアクセス許可が含まれるリソースポリシーが必要です。バケットに現在リソースポリシーがなく、ログ記録を設定するユーザーがバケットに対する `S3:GetBucketPolicy` アクセス許可と `S3:PutBucketPolicy` アクセス許可を持っている場合は、Amazon S3 へのログの送信を開始すると、 AWS は次のポリシーを自動的に作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::my-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"{{123456789012}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery-source:*"
]
}
}
},
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::my-bucket/AWSLogs/{{111122223333}}/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"{{123456789012}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery-source:*"
]
}
}
}
]
}
```
------
前のポリシーでは、`aws:SourceAccount` により、このバケットにログを配信するアカウント ID のリストを指定します。`aws:SourceArn` には、ログを生成するリソースの ARN のリストを `arn:aws:logs:{{source-region}}:{{source-account-id}}:*` の形式で指定します。
バケットにリソースポリシーがあるが、そのポリシーに前のポリシーで示したステートメントが含まれておらず、ログ記録を設定するユーザーがバケットに対する `S3:GetBucketPolicy` アクセス許可と `S3:PutBucketPolicy` アクセス許可を持っている場合は、そのステートメントがバケットのリソースポリシーに追加されます。
**注記**
アクセス`s3:ListBucket`許可 AWS CloudTrail が に付与されていない場合、 に`AccessDenied`エラーが表示されることがあります`delivery.logs.amazonaws.com`。これらのエラーを CloudTrail ログで回避するには、`delivery.logs.amazonaws.com` に `s3:ListBucket` アクセス許可を付与する必要があります。また、前述のバケットポリシーで設定した `s3:GetBucketAcl` アクセス許可で示している `Condition` パラメータも含める必要があります。この操作を効率化するには、新しい `Statement` を作成する代わりに、`AWSLogDeliveryAclCheck` を直接 `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]` に更新できます。
### Amazon S3 バケットのサーバー側の暗号化
Amazon S3 バケット内のデータを保護するには、Amazon S3-managedキーによるサーバー側の暗号化 (SSE-S3) または に保存されている AWS KMS キーによるサーバー側の暗号化 AWS Key Management Service (SSE-KMS) を有効にします。詳細については、「[サーバー側の暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)」を参照してください。
SSE-S3 を選択した場合、追加の設定は必要ありません。Amazon S3 が暗号化キーを処理します。
**警告**
SSE-KMS を選択した場合、このシナリオでは の使用はサポート AWS マネージドキー されていないため、カスタマーマネージドキーを使用する必要があります。 AWS マネージドキーを使用して暗号化を設定すると、ログは読み取り不可能な形式で配信されます。
カスタマーマネージド AWS KMS キーを使用する場合、バケット暗号化を有効にするときに、カスタマーマネージドキーの Amazon リソースネーム (ARN) を指定できます。ログ配信アカウントから S3 バケットに書き込めるように、カスタマーマネージドキーのキーポリシー (S3 バケットのバケットポリシーではなく) に次のコードを追加してください。
SSE-KMS を選択した場合は、カスタマーマネージドキーを使用する必要があります。このシナリオでは AWS マネージドキーの使用はサポートされていません。カスタマーマネージド AWS KMS キーを使用する場合、バケット暗号化を有効にするときに、カスタマーマネージドキーの Amazon リソースネーム (ARN) を指定できます。ログ配信アカウントから S3 バケットに書き込めるように、カスタマーマネージドキーのキーポリシー (S3 バケットのバケットポリシーではなく) に次のコードを追加してください。
```
{
"Sid":"Allow Logs Delivery to use the key",
"Effect":"Allow",
"Principal":{
"Service":[
"delivery.logs.amazonaws.com"
]
},
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:SourceAccount":[
"{{account-id}}"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:{{region}}:{{account-id}}:delivery-source:*"
]
}
}
}
```
`aws:SourceAccount` により、このバケットにログを配信するアカウント ID のリストを指定します。`aws:SourceArn` には、ログを生成するリソースの ARN のリストを `arn:aws:logs:{{source-region}}:{{source-account-id}}:*` の形式で指定します。
## Firehose に送信されるログ
**ユーザーアクセス許可**
Firehose へのログ送信を有効にするには、次のアクセス許可を使用してサインインする必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery:*",
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery-source:*",
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyFH",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": [
"arn:aws:firehose:{{us-east-1}}:{{{{111122223333}}}}:deliverystream/*"
]
},
{
"Sid": "CreateServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::{{111122223333}}:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:{{us-east-1}}:{{{{111122223333}}}}:organization/{{organization-id}}"
]
}
]
}
```
------
**リソースのアクセス許可のために使用される IAM ロール**
Firehose はリソースポリシーを使用しないため、 はこれらのログを Firehose に送信するように設定するときに IAM ロール AWS を使用します。 は、 という名前のサービスにリンクされたロール AWS を作成します**AWSServiceRoleForLogDelivery**。このサービスリンクロールには、以下のアクセス許可が含まれます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/workmail-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
このサービスにリンクされたロールは、 `LogDeliveryEnabled` タグが に設定されているすべての Firehose 配信ストリームにアクセス許可を付与します`true`。 は、ログ記録を設定するときに、このタグを送信先配信ストリームに AWS 付与します。
このサービスリンクロールには、`delivery.logs.amazonaws.com` サービスプリンシパルが必要なサービスリンクロールを引き受けることを可能にする信頼ポリシーもあります。以下がその信頼ポリシーです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## コンソール固有のアクセス許可
API を使用せずにコンソールを使用してログ配信を設定する場合は、前のセクションで示したアクセス許可に加えて、以下の追加のアクセス許可も必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryActions",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:*",
"arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/*",
"arn:aws:s3:::*"
]
},
{
"Sid": "ListAccessForDeliveryDestinations",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"firehose:ListDeliveryStreams",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------