本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # `AWSSupport-DeploySESSendingLogsToCloudWatchLogs` **描述** ** AWSSupport-DeploySESSendingLogsToCloudWatchLogs 自动化运行手册可帮助配置亚马逊简单电子邮件服务 (Amazon SES) Service 将事件发布到 CloudWatch 亚马逊日志CloudWatch (日志)所需的基础设施。**本运行手册设置了捕获电子邮件发送事件并将其存储在 CloudWatch 日志中以进行监控和分析所需的组件。有关 Amazon SES 事件发布的更多信息,请参阅[使用 Amazon SES 事件发布监控电子邮件发送](https://docs.aws.amazon.com/ses/latest/dg/monitor-using-event-publishing.html)。 当`ApproveDeployAnalyticEnvironment`参数设置为时`approve`,此运行手册会在您的 AWS 账户中创建新 AWS 资源。除非设置为,否则 CloudFormation 堆栈将在`SleepTime`参数中指定的时间之后自动删除`0`。 **如何工作?** 此运行手册执行以下操作: + 列出已为亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题或传送流配置了事件目标的现有配置集。 + 当`ApproveDeployAnalyticEnvironment`参数设置为时,创建 Amazon SES 事件发布到 CloudWatch 日志所需的基础设施`approve`。 当`ApproveDeployAnalyticEnvironment`参数设置为时`approve`,运行手册将创建以下资源: + 一个名为的 CloudFormation 堆栈`AWSSupport-SESSendingLogsToCloudWatchLogs`,其中包括: + 使用 AWS Key Management Service ()AWS KMS加密的 Amazon SNS 主题 + Amazon Simple Queue Service(Amazon SQS)队列 + AWS Lambda 用于处理电子邮件发送事件的函数 + AWS Identity and Access Management (IAM) 执行角色,具有 Amazon SQS 和日志权限 CloudWatch + CloudWatch 日志日志组 + AWS KMS 加密密钥 + 带有事件目标的 Amazon SES 配置集 + 基础设施按以下流程处理电子邮件发送事件:Amazon SES 电子邮件发送事件 → Amazon SES 配置集 → 亚马逊 SNS 主题 → 亚马逊 SQS 队列 → Lambda 函数 → 日志 CloudWatch + 提供`SesIdentity`参数时,将创建的配置集关联为指定 Amazon SES 身份的默认配置集。 [运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-DeploySESSendingLogsToCloudWatchLogs) **文档类型** 自动化 **所有者** Amazon **平台** / **所需的 IAM 权限** `AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。 + `cloudformation:CreateStack` + `cloudformation:DeleteStack` + `cloudformation:DescribeStackEvents` + `cloudformation:DescribeStacks` + `iam:CreateRole` + `iam:AttachRolePolicy` + `iam:PassRole` + `kms:CreateKey` + `kms:CreateAlias` + `lambda:CreateFunction` + `lambda:AddPermission` + `logs:CreateLogGroup` + `logs:PutRetentionPolicy` + `ses:CreateConfigurationSet` + `ses:CreateConfigurationSetEventDestination` + `ses:ListConfigurationSets` + `ses:PutEmailIdentityConfigurationSetAttributes` + `sns:CreateTopic` + `sns:Subscribe` + `sqs:CreateQueue` + `sqs:SetQueueAttributes` + `ssm:DescribeAutomationExecutions` 策略示例: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "iam:CreateRole", "iam:AttachRolePolicy", "iam:PassRole", "kms:CreateKey", "kms:CreateAlias", "lambda:CreateFunction", "lambda:AddPermission", "logs:CreateLogGroup", "logs:PutRetentionPolicy", "ses:CreateConfigurationSet", "ses:CreateConfigurationSetEventDestination", "ses:ListConfigurationSets", "ses:PutEmailIdentityConfigurationSetAttributes", "sns:CreateTopic", "sns:Subscribe", "sqs:CreateQueue", "sqs:SetQueueAttributes", "ssm:DescribeAutomationExecutions" ], "Resource": "*" } ] } ``` **说明** 按照这些步骤对自动化进行配置: 1. [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-DeploySESSendingLogsToCloudWatchLogs/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-DeploySESSendingLogsToCloudWatchLogs/description)在 Systems Manager 的 “文档” 下导航至。 1. 选择 **Execute automation**(执行自动化)。 1. 对于输入参数,请输入以下内容: + **AutomationAssumeRole (可选):** + 描述:(可选)允许 Systems Manager Automation 代表您执行操作的 IAM 角色的亚马逊资源名称 (ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。 + 类型:`AWS::IAM::Role::Arn` + **ApproveDeployAnalyticEnvironment (可选):** + 描述:(可选)批准部署 Amazon SES 事件发布基础设施。输入`approve`以创建 CloudFormation 堆栈和相关资源。如果留空,则运行手册仅显示当前区域中包含或 Amazon SNS 事件目标的现有配置集。 + 类型:`String` + 允许模式:`^$|^approve$` + 默认值:`""` + **SesIdentity (可选):** + 描述:(可选)Amazon SES 身份(电子邮件地址或域),用于与新创建的配置集关联为默认配置集。这将覆盖为指定身份设置的任何现有默认配置。 + 类型:`String` + 默认值:`""` + **CloudWatchLogGroupName (可选):** + 描述:(可选)为存储 Amazon SES 电子邮件发送事件而创建的 CloudWatch 日志日志组的名称。 + 类型:`String` + 允许模式:`^[0-9a-zA-Z_.#/\\-]{1,512}$` + 默认值:`/ses/sending_event_logs` + **口罩PIIData (可选):** + 描述:(可选)指定是否在 CloudWatch 日志中屏蔽个人身份信息 (PII) 数据,例如目标电子邮件地址和电子邮件主题。设置`False`为可将此信息包含在日志中。 + 类型:`String` + 允许的值:`[True, False]` + 默认值:`True` + **SleepTime (可选):** + 描述:(可选)在自动删除 CloudFormation 堆栈之前等待的分钟数。默认值为 24 小时(1,440 分钟),最长为 7 天(10,080 分钟)。设置为`0`可防止自动删除。 + 类型:`String` + 允许模式:`^(?:[0-9]|[1-9]\\d{1,3}|100[0-7][0-9])$` + 默认值:`1440` + **RetainCloudWatchLogsOnDeletion (可选):** + 描述:(可选)指定在删除 CloudFormation 堆栈时是否保留 CloudWatch 日志日志组。设置`False`为可删除日志组和堆栈。 + 类型:`String` + 允许的值:`[True, False]` + 默认值:`True` + **UniqueId (可选):** + 说明:(可选)工作流程的唯一标识符。 + 类型:`String` + 允许模式:`\\{\\{ automation:EXECUTION_ID \\}\\}|[a-zA-Z0-9-]+` + 默认值:`{{ automation:EXECUTION_ID }}` + ax 字符:`64` 1. 选择**执行**。 1. 自动化启动。 1. 文档将执行以下步骤: + **BranchOnValueOfParameterApproveDeployAnalyticEnvironment** 根据`ApproveDeployAnalyticEnvironment`参数值确定是否部署 Amazon SES 事件发布基础设施。 + **GetEligibleConfigurationSets** 检索现有 Amazon SES 配置集,并识别那些为传送流或 Amazon SNS 主题配置了事件目标的配置集。 + **CheckConcurrency** 验证是否不存在任何现有堆栈,以及此 runbook 的其他并发执行是否正在创建相同的堆栈。 + **DeploySesEventDestinations** 创建包含 Amazon SES 事件发布基础设施的 CloudFormation 堆栈,包括亚马逊 SNS 主题、亚马逊 SQS 队列、Lambda 函数和日志组。 CloudWatch + **RelateConfigurationSetAsDefaultConfigurationSet** 将新创建的 Amazon SES 配置集关联为指定 Amazon SES 身份的默认配置集(如果提供)。 + **SleepBeforeDeleteCloudFormationStack** 等待 SleepTime 参数中指定的持续时间后再继续删除 CloudFormation 堆栈。 + **DeleteCloudFormationStack** 在指定的时间段后删除 CloudFormation 堆栈。 1. 完成后,请查看 “**输出**” 部分,了解执行的详细结果。 **参考** Systems Manager Automation + [运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-DeploySESSendingLogsToCloudWatchLogs/description) + [运行自动化](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [设置自动化](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [支持自动化工作流登录页面](https://aws.amazon.com/premiumsupport/technology/saw/)