サポート終了通知: 2027 年 3 月 31 日、 AWS は Amazon WorkMail のサポートを終了します。2027 年 3 月 31 日以降、Amazon WorkMail コンソールまたは Amazon WorkMail リソースにアクセスできなくなります。詳細については、[Amazon WorkMail のサポート終了](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# なりすましロールの管理
なりすましロールを使用すると、管理者はユーザーの認証情報を入力せずにユーザーのメールボックスにプログラム的にアクセスするように構成できます。サービスとツールはなりすましロールを引き受け、ユーザーのメールボックスでアクションを実行できます。なりすましは EWS プロトコルでのみサポートされます。
## なりすましロールの概要
なりすましを許可するには、管理者は次のプロパティでなりすましロールを作成する必要があります。
+ **ロールタイプ** — [**フルアクセス**] または [**読み取り専用**] を選択します。ロールタイプによって、ロールが実行できる操作の種類が制限されます。
+ **ルール** — なりすましロールになりすますことのできるユーザーを定義するルールのリスト。
Amazon WorkMail は、以下の条件に基づいてルールを評価します。
+ いずれかの **拒否** ルールが一致すると、ポリシーはなりすましを拒否します。**拒否**ルールは**許可**ルールよりも優先されます。
+ 少なくとも 1 つの **許可**ルールが一致し、**拒否**ルールが一致しない場合、ポリシーはなりすましを許可します。
+ ルールが適用されない場合、なりすましは拒否されます。
**注記**
Amazon WorkMail 組織内のすべてのユーザーのなりすましを許可するには、**許可効果**のある、条件なしのルールを作成します。
**警告**
なりすましロールがユーザーになりすますことを許可するルールを作成する必要があります。ルールを指定しない場合、なりすましロールがユーザーのアクセス権を引き継ぐことはできません。
なりすましロールを作成すると、そのロールを使用してユーザーのメールボックスにアクセスできるようになります。詳細については、「[なりすましロールを使用する](using-impersonation-roles.md)」を参照してください。
## セキュリティに関する考慮事項
なりすましロールを使用すると、Amazon WorkMail 組織および 内のセキュリティ問題が発生する可能性があります AWS アカウント。なりすましロールを作成する際に考慮すべき潜在的な問題をいくつか紹介します。
+ **推移的権限** — ユーザー A がユーザー B のメールボックスにアクセスでき、ユーザー A になりすますことができるなりすましロールが許可されている場合、このなりすましロールはユーザー A のアクセス権限を装い、ユーザー B のメールボックスにアクセスする可能性があります。
+ **アクセスコントロール** — アクセスコントロールルールを使用して、なりすましロールのアクセスを制限できます。詳細については、「[アクセスコントロールルールの使用](access-rules.md)」を参照してください。
+ **IAM ポリシー** — `workmail:ImpersonationRoleId`条件を使用して、特定の Amazon WorkMail 組織となりすましロールに`AssumeImpersonationRole`アクションを割り当てることができます。IAM ポリシーの例を表示するには、[Amazon WorkMail で IAM が機能する仕組み](security_iam_service-with-iam.md) を参照してください。
## なりすましロールを作成
Amazon WorkMail コンソールからなりすましロールを作成できます。
**なりすましロールを作成するには**
1. Amazon WorkMail コンソール ([https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)) を開きます。
必要に応じて、リージョンを変更します。ナビゲーションバーから、必要に応じてリージョンを選択します。詳細については、「*Amazon Web Services 全般のリファレンス*」の「[リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで **[組織]** を選択し、組織の名前を選択します。
1. [**なりすましロール**] を選択し、[**ロールを作成**] を選択します。
1. 「**なりすましロールを作成**」ダイアログボックスが表示されます。[**ロール**] で以下の情報を入力します。
+ **名前** — なりすましロールの一意の名前を入力します。
+ (オプション) **[説明]** - なりすましロールの説明を入力します。
+ **ロールタイプ** — [**読み取り専用**] または [**フルアクセス**] を選択します。
1. **[ルール]** で **[ルールを追加]** を選択します。
1. [**ソースを追加**] ダイアログボックスが表示されます。次の情報を入力します。
+ **名前** - ルールの一意の名前を入力します。
+ (オプション) **[説明]** - ルールの説明を入力します。
+ **[効果]** で、**[許可]** または **[拒否]** を選択します。これにより、次のステップで選択した条件に基づいてアクセスが許可または拒否されます。
+ (オプション)「**このルール:**」で、「**選択したユーザーになりすましたリクエストに一致**」を選択して、特定のユーザーが含まれるようにします。[**選択したユーザー以外のユーザーになりすましたリクエストに一致**] を選択して、選択したユーザー以外のユーザーを追加します。
1. [**ルールを追加**] を選択します。
**注記**
ルールは、対応するロールを保存したときにのみ保存されます。
1. **[ロールを作成]** を選択します。
## なりすましロールの編集
Amazon WorkMail コンソールから、なりすましロールを編集できます。
**なりすましロールを編集するには**
1. Amazon WorkMail コンソール ([https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)) を開きます。
必要に応じて、リージョンを変更します。ナビゲーションバーから、必要に応じてリージョンを選択します。詳細については、「*Amazon Web Services 全般のリファレンス*」の「[リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで **[組織]** を選択し、組織の名前を選択します。
1. 「**なりすましロール**」を選択します。
1. 編集するなりすましロールの名前を選択し、[**編集**] を選択します。
1. 「**なりすましロールを編集**」ダイアログボックスが表示されます。[**ロール**] で以下の情報を入力します。
+ **名前** — なりすましロールの一意の名前を入力します。
+ (オプション) **[説明]** - なりすましロールの説明を入力します。
+ **ロールタイプ** — なりすましロールにユーザーのメールボックスへの読み取り専用アクセス権を付与するには、[**読み取り専用**] を選択します。なりすましロールにユーザーのメールボックス内のアイテムの読み取りと変更を行う権限を与えるには、「**フルアクセス**」を選択します。
1. [**ルール**] で、編集するルールを選択し、[**編集**] を選択します。
1. **[ルールを編集]** ダイアログボックスが表示されます。次の情報を入力します。
+ **名前** — ルールの名前を編集します。
+ (オプション) **[説明]** ルールの説明を更新または入力します。
+ 「**効果**」で「**許可**」を選択すると、ルールに設定された条件が満たされた場合にアクセスが許可されます。アクセスを拒否するには、「**拒否**」を選択します。
+ (オプション)「**このルール:**」で、「**選択したユーザーになりすましたリクエストに一致**」を選択して、特定のユーザーが含まれるようにします。[**選択したユーザー以外のユーザーになりすましたリクエストに一致**]を選択して、選択したユーザー以外のユーザーを追加します。
1. [**保存**] を選択します。
1. **[変更を保存]** をクリックします。
**重要**
なりすましルールを変更すると、影響を受けるメールボックスの更新までに最大 5 分かかります。ルールの更新プロセス中に、メールボックスの動作に一貫性がなくなることがあります。ただし、ロールをテストすると、Amazon WorkMail は更新されたルールに基づいて期待どおりに応答します。詳細については、「[なりすましロールのテスト](#testing-impersonation-roles)」を参照してください。
## なりすましロールのテスト
Amazon WorkMail コンソールからなりすましロールをテストできます。
**なりすましロールをテストするには**
1. Amazon WorkMail コンソール ([https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)) を開きます。
必要に応じて、リージョンを変更します。ナビゲーションバーから、必要に応じてリージョンを選択します。詳細については、「*Amazon Web Services 全般のリファレンス*」の「[リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで **[組織]** を選択し、組織の名前を選択します。
1. 「**なりすましロール**」を選択します。
1. テストするなりすましロールを選択します。
1. **[テストルール]** を選択します。
1. 「**なりすましロールをテスト**」ダイアログボックスが表示されます。「**対象ユーザー**」で、なりすましアクセスをテストするユーザーを選択します。
1. **[テスト]** を選択します。
## なりすましロールの削除
Amazon WorkMail コンソールから、なりすましロールを削除できます。
**なりすましロールを削除するには**
1. Amazon WorkMail コンソール ([https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)) を開きます。
必要に応じて、リージョンを変更します。ナビゲーションバーから、必要に応じてリージョンを選択します。詳細については、「*Amazon Web Services 全般のリファレンス*」の「[リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで **[組織]** を選択し、組織の名前を選択します。
1. 「**なりすましロール**」を選択します。
1. 削除したいなりすましロールの名前を選択します。
1. **[削除]** をクリックします。
1. **[ロールを削除]** ダイアログボックスが表示されます。削除を確認するには、ロールの名前をダイアログボックスに入力し、[**削除**] を選択します。