本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建企业
要使用 Amazon WorkMail,您必须先创建一个组织。一个 AWS 账户可以拥有多个 Amazon WorkMail 组织。创建组织时,您还可以为组织选择域并设置用户目录和加密设置。
您可以创建新的亚马逊 WorkMail 目录供您的 WorkMail 组织使用,也可以将亚马逊 WorkMail 与现有目录集成。您可以将 Amazon WorkMail 与以下类型的现有目录一起使用:
+ 本地 Microsoft Active Directory
+ AWS 托管 Active Directory([由 AWS Directory Service 管理的微软 AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html))
+ Simple AD
通过与本地目录集成,您可以在 Amazon 中使用现有用户 WorkMail 和群组,用户可以使用其现有凭证登录。如果您使用的是本地目录,则必须先在 AWS Directory Service中设置 AD Connector。AD Connector 可将您的用户和群组与亚马逊 WorkMail 通讯簿同步,并执行用户身份验证请求。有关更多信息,请参阅《Directory Service 管理员指南》中的 [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。**
您还可以选择亚马逊 AWS KMS key WorkMail 用来加密邮箱内容的。您可以为 Amazon 选择默认的 AWS 托管主密钥 WorkMail,也可以在 AWS Key Management Service (AWS KMS) 中使用现有 KMS 密钥。有关创建新的 KMS 密钥的信息,请参阅《AWS Key Management Service 开发指南》中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。**如果您以 AWS Identity and Access Management (IAM) 用户身份登录,请将自己设为 KMS 密钥的密钥管理员。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[启用和禁用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。
**注意事项**
创建 Amazon WorkMail 组织时,请记住以下几点:
+ 亚马逊目前 WorkMail 不支持你与多个账户共享的托管 Microsoft Active Directory 服务。
+ 如果您有带有 Microsoft Exchange 和 AD Connector 的本地 Active Directory,我们建议您为组织配置互操作性设置。这样,当您将邮箱迁移到Amazon或将部分公司邮箱使用Amazon WorkMail 时,可以最大限度地减少 WorkMail 对用户的干扰。有关更多信息,请参阅 [亚马逊 WorkMail 和微软 Exchange 之间的互操作性](interoperability.md)。
+ 如果您选择**免费测试域**选项,则可以使用提供的测试域开始使用您的 Amazon WorkMail 组织。测试域使用以下格式:*example*.awsapps.com。只要您在亚马逊 WorkMail 组织中保持启用用户 WorkMail ,就可以将测试邮件域用于亚马逊和其他支持的 AWS 服务。但是,不能将测试域用于其他目的。如果您的 Amazon WorkMail 组织未保留至少一个已启用的用户,则测试域可能会可供其他客户注册和使用。
+ Amazon WorkMail 不支持多区域目录。
+ 亚马逊每四小时 WorkMail 将目录数据与 AWS 托管活动目录、Simple AD 和 AD Connector 同步一次。
## 使用 AWS 托管活动目录的重要更改
亚马逊 WorkMail 正在更新其针对使用 AWS 托管活动目录(托管 AD)的组织的授权模式。此更改会影响 Amazon 与目录数据的 WorkMail 交互方式,并要求您采取具体措施来确保持续运行。
以前,当使用 AWS 托管活动目录创建亚马逊 WorkMail 组织时,亚马逊 WorkMail 使用服务级别权限与托管 AD 进行交互。为了让客户更灵活地将目录管理和邮箱管理角色分开, WorkMail控制台现在将使用 AWS Directory Service 数据 (DS-Data) APIs 在 AWS 托管活动目录中创建或更新用户和群组。 APIs 通过 WorkMail控制台执行这些操作的 IAM 委托人或者 APIs 还需要授权才能对与其 WorkMail 组织关联的托管 AD 使用等效的 DS-Data 操作,从而提供更精细的控制并更好地与 IAM 策略集成。
无论您是使用 Managed AD 创建新组织,还是现有组织使用 Managed AD,如果您希望继续通过 WorkMail 控制台创建、更新或删除用户和群组 APIs,或者,您都必须完成其他配置步骤,以确保更新后的授权模型能够正常运行。相关解释,请参阅[配置 AWS Managed Active Directory 集成](#configure-managed-ad-integration)。
**Topics**
+ [使用 AWS 托管活动目录的重要更改](#important-changes)
+ [创建企业](#create-organization)
+ [配置 AWS Managed Active Directory 集成](#configure-managed-ad-integration)
+ [查看组织的详细信息](#view-org-details)
+ [集成 WorkSpaces 目录](#compatible)
+ [组织状态和描述](#org-states)
## 创建企业
在 Amazon WorkMail 控制台中创建新组织。
**创建 组织**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。**
1. 在导航栏中,选择**组织**。
此时将出现**组织**页面并显示您的组织(如果有)。
1. 选择**创建组织**。
1. 在**电子邮件域**下,选择要用于组织中电子邮件地址的域:
+ ****现有 Route 53 域****:选择您使用 Amazon Route 53 (Route 53) 托管区管理的现有域。
+ ****新的 Route 53 域名**** — 注册一个新的 Route 53 域名以便在亚马逊上使用 WorkMail。
+ ****外部域****:输入您使用外部域名系统 (DNS) 提供商管理的现有域。
+ ****免费测试域名****-使用 Amazon 提供的免费测试域名 WorkMail。您可以使用测试域名浏览 Amazon WorkMail ,然后再向您的组织添加域名。
1. (可选)如果您的域是通过 Amazon Route 53 进行管理,则对于 **Route 53 托管区**,请选择您的 Route 53 域。
1. 在**别名**中,输入组织的唯一别名。
1. 选择**高级设置**,然后对于**用户目录**,选择以下选项之一:
+ **创建新的 Amazon WorkMail 目录** — 创建用于添加和管理用户的新目录。
+ **使用现有目录**:使用现有目录管理用户,例如本地 Microsoft Active Directory、 AWS Managed Active Directory 或 Simple AD。
1. 对于**加密**,选择以下选项之一:
+ **使用 Amazon WorkMail 托管密钥**-在您的账户中创建新的加密密钥。
+ **使用现有 KMS 密钥**:使用您已在 AWS KMS中创建的现有 KMS 密钥。
1. 选择**创建组织**。
如果您使用一个外部域,请通过向 DNS 服务添加相应的文本 (TXT) 和邮件交换器 (MX) 记录来验证该域。TXT 记录允许您输入有关 DNS 服务的注释。MX 记录指定了传入邮件服务器。
请务必将您的域设置为贵组织的默认域。有关更多信息,请参阅[验证域](domain_verification.md)和[选择默认域](default_domain.md)。
当组织处于**活动状态**时,您可以向其添加用户并设置其电子邮件客户端。有关更多信息,请参阅[添加用户](add_user.md)和[为 Amazon 设置电子邮件客户端 WorkMail](https://docs.aws.amazon.com/workmail/latest/userguide/clients.html)。
## 配置 AWS Managed Active Directory 集成
在您的亚马逊 WorkMail 组织中使用 AWS 托管活动目录时,额外的配置步骤可确保更新后的授权模型正常运行。
**为新组织配置托管式 AD 集成**
1. 在 Directory Service 控制台中,导航到您的托管 AD (Microsoft AD),或者从亚马逊 WorkMail 控制台,在左侧导航面板中选择**用户**或**群组**,然后单击页面顶部备注框中的目录链接。
1. 针对**用户和组管理**选择**启用**。默认情况下禁用该设置,但必须启用此设置才能对用户和组执行写操作。
1. 通过附加包含以下操作的策略,确保 IAM 主体拥有所需的权限:
```
ds:AccessDSData
ds:ResetUserPassword
ds-data:CreateGroup
ds-data:DeleteGroup
ds-data:AddGroupMember
ds-data:RemoveGroupMember
ds-data:CreateUser
ds-data:DeleteUser
ds-data:UpdateUser
```
**迁移现有的托管式 AD 组织**
1. 监控 Amazon WorkMail 控制台中的用户或群组页面以获取迁移通知。
1. 当出现通知时,开启**启用更新的目录操作**以迁移到新的目录服务 APIs。
1. 最后,请确保您已在 Directory Service 控制台中启用**用户和群组管理**,并使用上一节中所述的所需的 DS-Data 权限更新您的 IAM 策略。
将允许使用 AWS 目录服务数据 (DS-Data) APIs 创建、更新和删除用户的所有其余亚马逊 WorkMail 组织使用托管 AD(之前未启用此功能)。
## 查看组织的详细信息
您的每个 Amazon WorkMail 组织都可以显示组织详情页面。该页面向您显示有关其组织的信息 IDs ,包括您可以与一起使用的信息 AWS Command Line Interface。页面上的消息还可以显示完成设置和组织所需的任何步骤,例如未经验证的域或缺少用户。这些消息还提供了设置给定电子邮件客户端所遵循的第一步。
**查看组织详细信息**
1. 在导航栏中,选择**组织**。
此时将出现**组织**页面并显示您的组织。
1. 选择要查看的组织。
## 集成 WorkSpaces 目录
要将 Amazon WorkMail 与配合使用 WorkSpaces,请使用以下步骤创建兼容目录。
**添加兼容 WorkSpaces 目录**
1. 使用创建兼容目录 WorkSpaces。有关 WorkSpaces 说明,请参阅《[亚马逊* WorkSpaces 管理指南》中的 “亚马逊 WorkSpaces *快速设置入门](https://docs.aws.amazon.com/workspaces/latest/adminguide/getting-started.html)”。
1. 在亚马逊 WorkMail 控制台中,创建您的亚马逊 WorkMail 组织并选择使用现有目录来创建该组织。有关更多信息,请参阅 [创建企业](#create-organization)。
## 组织状态和描述
在创建组织之后,它会具有以下状态之一。
****
| **State** | 说明 |
| --- | --- |
| **活跃** | 您的组织很正常,可以使用。 |
| **Creating** | 工作流程正在运行以创建您的组织。 |
| **已失败** | 无法创建您的组织。 |
| **Impaired (受损)** | 您的组织出现故障或检测到问题。 |
| **非活跃** | 您的组织处于非活跃状态。 |
| **Requested (已请求)** | 您的组织创建请求在队列中,正在等待创建。 |
| **正在验证** | 正在检查组织的所有设置的运行状况。 |