Aviso de fim do suporte: em 31 de março de 2027, AWS encerrará o suporte para a Amazon WorkMail. Depois de 31 de março de 2027, você não poderá mais acessar o WorkMail console da Amazon ou os WorkMail recursos da Amazon. Para obter mais informações, consulte [ WorkMail Fim do suporte da Amazon](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de funções de personificação
Com as funções de personificação, os administradores configuram o acesso programático às caixas de correio do usuário sem inserir as credenciais do usuário. Serviços e ferramentas podem assumir uma função de personificação para realizar ações nas caixas de correio do usuário. A personificação só é compatível com o protocolo EWS.
## Visão geral das funções de personificação
Para permitir a personificação, os administradores devem criar uma função de personificação com as seguintes propriedades:
+ **Tipo de função**: Escolha **Acesso total** ou **Somente leitura**. O tipo de função limita o tipo de operações que uma função pode realizar.
+ **Regras**: Uma lista de regras que definem quais usuários a função de personificação pode representar.
A Amazon WorkMail avalia as regras nas seguintes condições:
+ Se alguma regra **DENY** corresponder, a política nega a personificação. As regras **DENY** têm precedência sobre quaisquer regras **ALLOW**.
+ Se pelo menos uma regra **ALLOW** corresponder e nenhuma regra **DENY** corresponder, a política permitirá a personificação.
+ Se nenhuma regra se aplicar, a personificação será negada.
**nota**
Para permitir a falsificação de identidade para todos os usuários em uma WorkMail organização da Amazon, crie uma regra com o efeito **PERMITIR** e sem condições.
**Atenção**
Você deve criar regras para permitir que uma função de personificação se faça passar por um usuário. Se você não especificar regras, uma função de personificação não poderá assumir os direitos de acesso de um usuário.
Depois que a função de personificação for criada, você poderá usá-la para obter acesso às caixas de correio dos usuários. Para obter mais informações, consulte [Usar funções de personificação](using-impersonation-roles.md).
## Considerações sobre segurança
O uso de funções de falsificação de identidade cria a possibilidade de problemas de segurança em WorkMail sua organização Amazon e. Conta da AWS Aqui estão alguns dos possíveis problemas a serem considerados ao criar uma função de personificação:
+ **Permissões transitivas**: Se o usuário A tiver acesso à caixa de correio do usuário B e uma função de personificação tiver permissão para se passar pelo usuário A, essa função de personificação poderá imitar as permissões de acesso do usuário A e acessar a caixa de correio do usuário B.
+ **Controle de acesso**: Você pode usar regras de controle de acesso para limitar o acesso da função de personificação. Para obter mais informações, consulte [Trabalhar com regras de controle de acesso](access-rules.md).
+ **Política do IAM** — Você pode atribuir uma `AssumeImpersonationRole` ação a uma WorkMail organização específica da Amazon e a uma função de representação usando a `workmail:ImpersonationRoleId` condição. Para ver um exemplo de política do IAM, consulte [Como a Amazon WorkMail trabalha com o IAM](security_iam_service-with-iam.md).
## Criar funções de personificação
Você pode criar funções de representação no console da Amazon WorkMail .
**Para criar uma função de personificação**
1. Abra o WorkMail console da Amazon em [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Se necessário, altere a região da . Na barra de navegação, escolha a região que atende às suas necessidades. Para obter mais informações, consulte [Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) na *Referência geral da Amazon Web Services*.
1. No painel de navegação, selecione **Organizações** e, em seguida, escolha o nome da organização.
1. Escolha **Funções de personificação** e, em seguida, escolha **Criar função**.
1. A caixa de diálogo **Criar função de personificação** será exibida. Em **Função**, insira as informações a seguir:
+ **Nome**: Insira um nome exclusivo para a função de personificação.
+ (Opcional) **Descrição**: Insira uma descrição para a nova função de personificação.
+ **Tipo de função**: Escolha **Somente leitura** ou **Acesso total**.
1. Em **Regras**, escolha **Adicionar regra**.
1. A caixa de diálogo **Adicionar regra** será exibida. Insira as seguintes informações:
+ **Nome**: Insira um nome exclusivo para a regra.
+ (Opcional) **Descrição**: Insira uma descrição para a regra.
+ Em **Efeito**, escolha **Permitir** ou **Negar**. Isso permite ou nega o acesso com base nas condições selecionadas na etapa a seguir.
+ (Opcional) Em **Esta regra:**, escolha **Corresponde às solicitações que se fazem passar pelos usuários selecionados** para incluir usuários específicos. Escolha **Corresponde a solicitações que se fazem passar por usuários diferentes dos selecionados** para adicionar usuários que não sejam os selecionados.
1. Escolha **Adicionar regra**.
**nota**
As regras só são salvas quando você salva a função correspondente.
1. Selecione **Criar perfil**.
## Editar funções de personificação
Você pode editar funções de personificação no console da Amazon WorkMail .
**Para editar uma função de personificação**
1. Abra o WorkMail console da Amazon em [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Se necessário, altere a região da . Na barra de navegação, escolha a região que atende às suas necessidades. Para obter mais informações, consulte [Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) na *Referência geral da Amazon Web Services*.
1. No painel de navegação, selecione **Organizações** e, em seguida, escolha o nome da organização.
1. Escolha **Funções de personificação**.
1. Selecione o nome da função de personificação que deseja editar e, em seguida, escolha **Editar**.
1. A caixa de diálogo **Editar função de personificação** será exibida. Em **Função**, insira as informações a seguir:
+ **Nome**: Insira um nome exclusivo para a função de personificação.
+ (Opcional) **Descrição**: Insira uma descrição para a nova função de personificação.
+ **Tipo de função**: Para conceder à função de personificação acesso somente para leitura à caixa de correio de um usuário, escolha **Somente leitura**. Para conceder à função de personificação direitos de ler e modificar itens na caixa de correio de um usuário, escolha **Acesso total**.
1. Em **Regras**, selecione a regra que você deseja editar e escolha **Editar**.
1. A caixa de diálogo **Editar regra** será exibida. Insira as seguintes informações:
+ **Nome**: Edite o nome da regra.
+ (Opcional) **Descrição**: Atualize ou insira uma descrição para a regra.
+ Em **Efeito**, escolha **Permitir** para permitir o acesso quando as condições definidas nas regras forem atendidas. Para negar acesso, escolha **Negar**.
+ (Opcional) Em **Esta regra:**, escolha **Corresponde às solicitações que se fazem passar pelos usuários selecionados** para incluir usuários específicos. Escolha **Corresponde a solicitações que se fazem passar por usuários diferentes dos selecionados** para adicionar usuários que não sejam os selecionados.
1. Escolha **Salvar**.
1. Escolha **Salvar alterações**.
**Importante**
Quando você altera uma regra de personificação, as caixas de correio afetadas podem levar até cinco minutos para serem atualizadas. Durante o processo de atualização da regra, você pode observar um comportamento inconsistente na sua caixa de correio. No entanto, se você testar uma função, a Amazon WorkMail responderá conforme o esperado com base na regra atualizada. Para obter mais informações, consulte [Testar funções de personificação](#testing-impersonation-roles).
## Testar funções de personificação
Você pode testar uma função de falsificação de identidade no console da Amazon WorkMail .
**Para testar uma função de personificação**
1. Abra o WorkMail console da Amazon em [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Se necessário, altere a região da . Na barra de navegação, escolha a região que atende às suas necessidades. Para obter mais informações, consulte [Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) na *Referência geral da Amazon Web Services*.
1. No painel de navegação, selecione **Organizações** e, em seguida, escolha o nome da organização.
1. Escolha **Funções de personificação**.
1. Selecione a função de personificação que deseja testar.
1. Escolha **Testar função**.
1. A caixa de diálogo **Testar função de personificação** será exibida. Em **Usuário alvo**, selecione o usuário para o qual você deseja testar o acesso de personificação.
1. Escolha **Testar**.
## Excluir funções de personificação
Você pode excluir uma função de representação do console da Amazon WorkMail .
**Para excluir uma função de personificação**
1. Abra o WorkMail console da Amazon em [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Se necessário, altere a região da . Na barra de navegação, escolha a região que atende às suas necessidades. Para obter mais informações, consulte [Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) na *Referência geral da Amazon Web Services*.
1. No painel de navegação, selecione **Organizações** e, em seguida, escolha o nome da organização.
1. Escolha **Funções de personificação**.
1. Selecione o nome da função de personificação que deseja excluir.
1. Escolha **Excluir**.
1. A caixa de diálogo **Excluir função** será exibida. Para confirmar a exclusão, insira o nome da função na caixa de diálogo e escolha **Excluir**.