

지원 종료 공지: 2027 AWS 년 3월 31일에는 Amazon WorkMail에 대한 지원을 종료합니다. 2027년 3월 31일 이후에는 Amazon WorkMail 콘솔 또는 Amazon WorkMail 리소스에 더 이상 액세스할 수 없습니다. 자세한 내용은 [Amazon WorkMail 지원 종료를 참조하세요](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 이메일 이벤트 로깅 활성화
<a name="tracking"></a>

조직의 이메일 메시지를 추적하려면 Amazon WorkMail 콘솔에서 이메일 이벤트 로깅을 활성화합니다. 이메일 이벤트 로깅은 AWS Identity and Access Management 서비스 연결 역할(SLR)을 사용하여 이메일 이벤트 로그를 Amazon CloudWatch에 게시할 수 있는 권한을 부여합니다. IAM 서비스 연결 역할에 대한 자세한 내용은 [Amazon WorkMail에 대해 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하세요.

CloudWatch 이벤트 로그에서 CloudWatch 검색 도구와 지표를 사용하여 메시지를 추적하고 이메일 문제를 해결할 수 있습니다. Amazon WorkMail에서 CloudWatch로 보내는 이벤트 로그에 대한 자세한 내용은 [Amazon WorkMail 이메일 이벤트 로그 모니터링](cw-events.md) 부분을 참조하세요. CloudWatch Logs에 대한 자세한 내용은 [Amazon CloudWatch Logs User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)를 참조하십시오.

**Topics**
+ [이메일 이벤트 로깅 켜기](#enable-tracking)
+ [이메일 이벤트 로깅을 위한 사용자 지정 로그 그룹 및 IAM 역할 생성](#custom-tracking-role)
+ [이메일 이벤트 로깅 해제](#turn-off-tracking)
+ [교차 서비스 혼동된 대리인 방지](#cross-service-confused-deputy-prevention)

## 이메일 이벤트 로깅 켜기
<a name="enable-tracking"></a>

기본 설정을 사용하여 이메일 이벤트 로깅을 켜면 다음과 같은 작업이 수행되며, Amazon WorkMail은 다음을 수행합니다.
+  AWS Identity and Access Management 서비스 연결 역할 생성 - `AmazonWorkMailEvents`.
+ CloudWatch 로그 그룹 – `/aws/workmail/emailevents/{{organization-alias}}`를 생성합니다.
+ CloudWatch 로그 보존을 30일로 설정합니다.

**이메일 이벤트 로깅을 켜려면**

1. [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)에서 Amazon WorkMail 콘솔을 엽니다.

   필요한 경우 AWS 리전을 변경합니다. 콘솔 창 상단의 표시줄에서 **리전 선택** 목록을 열고 리전을 선택합니다. 자세한 내용은 *Amazon Web Services 일반 참조*의 [리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)를 참조하세요.

1. 탐색 창에서 **조직**을 선택한 다음 조직의 이름을 선택합니다.

1. 탐색 창에서 **로깅 설정**을 선택합니다.

1. **이메일 흐름 로그 설정** 탭을 선택합니다.

1. **이메일 흐름 로그 설정** 섹션에서 **편집**을 선택합니다.

1. **메일 이벤트 활성화** 슬라이더를 **켜짐** 위치로 이동합니다.

1. 다음 중 하나를 수행하세요.
   + (권장) **기본 설정 사용**을 선택합니다.
   + (선택 사항) **기본 설정 사용** 확인란의 선택을 취소하고 **대상 로그 그룹** 및 **IAM 역할**을 선택합니다.
**참고**  
 AWS CLI를 사용하여 로그 그룹과 사용자 지정 역할을 이미 생성한 경우에만 이 옵션을 선택합니다. 자세한 내용은 [이메일 이벤트 로깅을 위한 사용자 지정 로그 그룹 및 IAM 역할 생성](#custom-tracking-role) 단원을 참조하십시오.

1. **Amazon WorkMail에서 이 구성을 사용하여 내 계정에 로그를 게시할 수 있는 권한을 부여합니다**를 선택합니다.

1. **저장**을 선택합니다.

## 이메일 이벤트 로깅을 위한 사용자 지정 로그 그룹 및 IAM 역할 생성
<a name="custom-tracking-role"></a>

Amazon WorkMail에 대한 이메일 이벤트 로깅을 활성화하는 경우 기본 설정을 사용하는 것이 좋습니다. 사용자 지정 모니터링 구성이 필요한 경우를 사용하여 이메일 이벤트 로깅 AWS CLI 을 위한 전용 로그 그룹과 사용자 지정 IAM 역할을 생성할 수 있습니다.

**이메일 이벤트 로깅을 위한 사용자 지정 로그 그룹 및 IAM 역할을 생성하려면**

1. 다음 AWS CLI 명령을 사용하여 Amazon WorkMail 조직과 동일한 AWS 리전에 로그 그룹을 생성합니다. 자세한 내용은 *AWS CLI 명령 참조*의 [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)을 참조하세요.

   ```
   aws –-region {{us-east-1}} logs create-log-group --log-group-name {{workmail-monitoring}}
   ```

1. 다음 정책이 포함된 파일을 생성합니다.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "events.workmail.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 다음 AWS CLI 명령을 사용하여 IAM 역할을 생성하고이 파일을 역할 정책 문서로 연결합니다. 자세한 내용은 *AWS CLI 명령 참조*의 [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)을 참조하세요.

   ```
   aws iam create-role --role-name {{workmail-monitoring-role}} --assume-role-policy-document file://{{trustpolicyforworkmail.json}}
   ```
**참고**  
`WorkMailFullAccess` 관리형 정책 사용자인 경우 `workmail`이라는 용어를 역할 이름에 포함해야 합니다. 이 관리형 정책만 역할을 `workmail`과 함께 이름에 사용하도록 허용합니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 역할을 전달할 수 있는 사용자 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)를 참조하세요.

1. 이전 단계에서 생성한 IAM 역할에 대한 정책이 포함된 파일을 생성합니다. 최소한 이 정책은 로그 스트림을 생성하고 1단계에서 생성한 로그 그룹에 로그 이벤트를 입력할 수 있는 권한을 역할에 부여해야 합니다.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{example-log-group}}*"
           }
       ]
   }
   ```

------

1. 다음 AWS CLI 명령을 사용하여 정책 파일을 IAM 역할에 연결합니다. 자세한 내용은 *AWS CLI 명령 참조*의 [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)를 참조하세요.

   ```
   aws iam put-role-policy --role-name {{workmail-monitoring-role}} --policy-name {{workmail-permissions}} --policy-document file://{{rolepolicy.json}}
   ```

## 이메일 이벤트 로깅 해제
<a name="turn-off-tracking"></a>

Amazon WorkMail 콘솔에서 이메일 이벤트 로깅을 해제합니다. 더 이상 이메일 이벤트 로깅을 사용할 필요가 없는 경우 관련 CloudWatch 로그 그룹과 서비스 연결 역할도 삭제하는 것이 좋습니다. 자세한 내용은 [Amazon WorkMail에 대한 서비스 연결 역할 삭제](using-service-linked-roles.md#delete-slr) 단원을 참조하십시오.

**이메일 이벤트 로깅을 해제하려면**

1. [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)에서 Amazon WorkMail 콘솔을 엽니다.

   필요한 경우 AWS 리전을 변경합니다. 콘솔 창 상단의 표시줄에서 **리전 선택** 목록을 열고 리전을 선택합니다. 자세한 내용은 *Amazon Web Services 일반 참조*의 [리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)를 참조하세요.

1. 탐색 창에서 **조직**을 선택한 다음 조직의 이름을 선택합니다.

1. 탐색 창에서 **모니터링**을 선택합니다.

1. **로그 설정** 섹션에서 **편집**을 선택합니다.

1. **메일 이벤트 활성화** 슬라이더를 꺼짐 위치로 이동합니다.

1. **저장**을 선택합니다.

## 교차 서비스 혼동된 대리인 방지
<a name="cross-service-confused-deputy-prevention"></a>

혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 AWS교차 서비스 가장은 혼동된 대리자 문제를 초래할 수 있습니다. 교차 서비스 가장은 한 서비스(*직접 호출하는 서비스*)가 다른 서비스(*직접 호출되는 서비스*)를 직접 호출할 때 발생할 수 있습니다.

직접 호출하는 서비스가 액세스 권한이 없는 다른 고객의 리소스에서 그 권한을 사용하여 허용되지 않는 작업을 하도록 조작될 수 있습니다.

 이를 방지하기 위해는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 AWS 제공합니다.

리소스 정책의 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)과 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 컨텍스트 키를 사용하여 CloudWatch Logs와 Amazon S3가 로그를 생성하는 서비스에 제공하는 권한을 제한하는 것이 좋습니다. 두 전역 조건 컨텍스트 키를 모두 사용하는 경우 값은 동일한 정책 문에서 사용할 경우 동일한 계정 ID를 사용해야 합니다.

`aws:SourceArn`의 값은 로그를 생성하는 전달 리소스의 ARN이어야 합니다.

혼동된 대리인 문제로부터 보호하는 가장 효과적인 방법은 리소스의 전체 ARN이 포함된 `aws:SourceArn`글로벌 조건 컨텍스트 키를 사용하는 것입니다. 리소스의 전체 ARN을 모를 경우 또는 여러 리소스를 지정하는 경우, ARN의 알 수 없는 부분에 대해 와일드카드(`*`)를 포함한 `aws:SourceArn` 글로벌 조건 컨텍스트 키를 사용합니다.