终止支持通知:2027 年 3 月 31 日, AWS 将终止对亚马逊 WorkMail的支持。2027 年 3 月 31 日之后,您将无法再访问亚马逊 WorkMail 控制台或亚马逊 WorkMail 资源。有关更多信息,请参阅 [Amazon WorkMail 终止支持](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理模拟角色
使用模拟角色,管理员无需输入用户的凭证即可配置以编程方式访问用户邮箱。服务和工具可以扮演模拟角色,在用户的邮箱中执行操作。只有 EWS 协议支持模拟角色。
## 模拟角色概述
要允许模拟,管理员必须创建具有以下属性的模拟角色:
+ **角色类型** – 选择**完全访问**或**只读**。角色类型限制了角色可以执行的操作类型。
+ **规则** – 定义模拟角色可以模拟哪些用户的规则列表。
Amazon 根据以下条件 WorkMail 评估规则:
+ 如果任何 **DENY** 规则匹配,则策略将拒绝模拟。**DENY** 规则优先于任何 **ALLOW** 规则。
+ 如果至少有一个 **ALLOW** 规则匹配,并且没有 **DENY** 规则匹配,则策略允许模拟。
+ 如果没有应用规则,则拒绝模拟。
**注意**
要允许 Amazon WorkMail 组织中的所有用户进行模拟,请创建一个具有**允许**效果且不带任何条件的规则。
**警告**
您必须创建规则以允许模拟角色模拟用户。如果您未指定规则,则模拟角色无法代入用户的访问权限。
创建模拟角色后,您可以使用它来访问用户的邮箱。有关更多信息,请参阅 [使用模拟角色](using-impersonation-roles.md)。
## 安全注意事项
使用冒充角色可能会在您的Amazon WorkMail 组织中造成安全问题,并且. AWS 账户以下是创建模拟角色时需要考虑的一些潜在问题:
+ **传递权限** - 如果用户 A 有权访问用户 B 的邮箱,并且允许模拟角色模拟用户 A,则此模拟角色可以模拟用户 A 的访问权限并访问用户的 B 邮箱。
+ **访问控制** – 您可以使用访问控制规则来限制模拟角色的访问权限。有关更多信息,请参阅 [使用访问控制规则](access-rules.md)。
+ **IAM 政策** — 您可以使用条件将`AssumeImpersonationRole`操作分配给特定的 Amazon WorkMail 组织和模拟角色。`workmail:ImpersonationRoleId`要查看 IAM 策略示例,请参阅 [亚马逊如何 WorkMail 使用 IAM](security_iam_service-with-iam.md)。
## 创建模拟角色
您可以从 Ama WorkMail zon 控制台创建模拟角色。
**创建模拟角色**
1. 打开亚马逊 WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改区域。从导航栏中,选择符合您需求的区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择组织的名称。
1. 选择**模拟角色**,然后选择**创建角色**。
1. 此时将显示**创建模拟角色**对话框。在**角色**下,输入以下信息:
+ **名称** - 输入模拟角色的唯一名称。
+ (可选)**描述** - 输入模拟角色的描述。
+ **角色类型** – 选择**只读**或**完全访问**。
1. 在**规则**下,选择**添加规则**。
1. 此时将显示**添加规则**对话框。输入以下信息:
+ **名称** – 输入规则的唯一名称。
+ (可选)**描述** – 输入规则的描述。
+ 在**权限**下,选择**允许**或**拒绝**。这将根据您在下一步中选择的条件来允许或拒绝访问。
+ (可选)在**此规则:**下,选择**匹配模拟所选用户的请求**以包含特定用户。选择**匹配模拟所选用户以外的用户的请求**以添加所选用户以外的用户。
1. 选择**添加规则**。
**注意**
只有在保存相应角色时才会保存规则。
1. 选择**创建角色**。
## 编辑模拟角色
您可以从 Ama WorkMail zon 控制台编辑模拟角色。
**编辑模拟角色**
1. 打开亚马逊 WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改区域。从导航栏中,选择符合您需求的区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择组织的名称。
1. 选择**模拟角色**。
1. 选择要编辑的模拟角色名称,然后选择**编辑**。
1. 此时将显示**编辑模拟角色**对话框。在**角色**下,输入以下信息:
+ **名称** - 输入模拟角色的唯一名称。
+ (可选)**描述** - 输入模拟角色的描述。
+ **角色类型** - 要授予模拟角色对用户邮箱的只读权限,请选择**只读**。要授予模拟角色读取和修改用户邮箱中项目的权限,请选择**完全访问**。
1. 在**规则**下,选择要编辑的规则,然后选择**编辑**。
1. 此时将显示**编辑规则**对话框。输入以下信息:
+ **名称** - 编辑规则的名称。
+ (可选)**描述** – 更新或输入规则的描述。
+ 在**权限**下,选择**允许**以在满足规则中设置的条件时允许访问。要拒绝访问,请选择**拒绝**。
+ (可选)在**此规则:**下,选择**匹配模拟所选用户的请求**以包含特定用户。选择**匹配模拟所选用户以外的用户的请求**以添加所选用户以外的用户。
1. 选择**保存**。
1. 选择**保存更改**。
**重要**
更改模拟规则时,受影响的邮箱最多可能需要五分钟才会更新。在规则更新过程中,您可能会发现邮箱中的行为不一致。但是,如果您测试角色,Amazon WorkMail 会根据更新的规则按预期做出响应。有关更多信息,请参阅 [测试模拟角色](#testing-impersonation-roles)。
## 测试模拟角色
您可以从 Ama WorkMail zon 控制台测试模拟角色。
**测试模拟角色**
1. 打开亚马逊 WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改区域。从导航栏中,选择符合您需求的区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择组织的名称。
1. 选择**模拟角色**。
1. 选择要测试的模拟角色。
1. 选择**测试角色**。
1. 此时将显示**测试模拟角色**对话框。在**目标用户**下,选择要为其测试模拟访问权限的用户。
1. 选择**测试**。
## 删除模拟角色
您可以从 Ama WorkMail zon 控制台中删除模拟角色。
**删除模拟角色**
1. 打开亚马逊 WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改区域。从导航栏中,选择符合您需求的区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择组织的名称。
1. 选择**模拟角色**。
1. 选择要删除的模拟角色名称。
1. 选择**删除**。
1. 此时将显示**删除角色**对话框。要确认删除,请在对话框中输入角色的名称,然后选择**删除**。