本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊如何 WorkMail 使用 IAM
在使用 IAM 管理对亚马逊的访问权限之前 WorkMail,您应该了解亚马逊可以使用哪些 IAM 功能 WorkMail。要全面了解亚马逊 WorkMail 和其他 AWS 服务如何与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [亚马逊 WorkMail 基于身份的政策](#security_iam_service-with-iam-id-based-policies)
+ [Amazon WorkMail 基于资源的政策](#security_iam_service-with-iam-resource-based-policies)
+ [基于亚马逊 WorkMail 标签的授权](#security_iam_service-with-iam-tags)
+ [亚马逊 WorkMail IAM 角色](#security_iam_service-with-iam-roles)
## 亚马逊 WorkMail 基于身份的政策
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon WorkMail 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Amazon中的策略操作在操作前 WorkMail 使用以下前缀:`workmail:`. 例如,要授予某人 WorkMail `ListUsers`通过 Amazon API 操作检索用户列表的权限,您需要将该`workmail:ListUsers`操作包含在他们的策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon WorkMail 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"workmail:ListUsers",
"workmail:DeleteUser"
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `List` 开头的所有操作,包括以下操作:
```
"Action": "workmail:List*"
```
要查看亚马逊 WorkMail 操作列表,请参阅 *IAM 用户指南 WorkMail*中的[亚马逊定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkmail.html#amazonworkmail-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
亚马逊 WorkMail 支持为亚马逊组织提供资源级权限。 WorkMail
Amazon WorkMail 组织资源具有以下 ARN:
```
arn:aws:workmail:${Region}:${Account}:organization/${OrganizationId}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定 `m-n1pq2345678r901st2u3vx45x6789yza` 组织,请使用以下 ARN。
```
"Resource": "arn:aws:workmail:us-east-1:111122223333:organization/m-n1pq2345678r901st2u3vx45x6789yza"
```
要指定属于特定账户的所有组织,请使用通配符 (\$1):
```
"Resource": "arn:aws:workmail:us-east-1:111122223333:organization/*"
```
某些 Amazon WorkMail 操作(例如创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符(\$1)。
```
"Resource": "*"
```
要查看亚马逊 WorkMail 资源类型及其列表 ARNs,请参阅 *IAM 用户指南 WorkMail*中的 A [mazon 定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkmail.html#amazonworkmail-resources-for-iam-policies)。要了解您可以为每种资源的 ARN 指定哪些操作,请参阅 A [mazon 的操作、资源和条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkmail.html)。 WorkMail
### 条件键
Amazon WorkMail 支持以下全局条件键。
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:MultiFactorAuthAge`
+ `aws:MultiFactorAuthPresent`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalArn`
+ `aws:RequestedRegion`
+ `aws:SecureTransport`
+ `aws:UserAgent`
以下示例策略仅允许通过 MFA 身份验证的 AWS `eu-west-1` 地区的 IAM 委托人访问亚马逊 WorkMail 控制台。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ses:Describe*",
"ses:Get*",
"workmail:Describe*",
"workmail:Get*",
"workmail:List*",
"workmail:Search*",
"lambda:ListFunctions",
"iam:ListRoles",
"logs:DescribeLogGroups",
"cloudwatch:GetMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"eu-west-1"
]
},
"Bool": {
"aws:MultiFactorAuthPresent": true
}
}
}
]
}
```
------
要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
`workmail:ImpersonationRoleId`是 Amazon WorkMail 支持的唯一服务特定条件密钥。
以下示例策略将`AssumeImpersonationRole`操作范围缩小到特定的 WorkMail 组织和模拟角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workmail:AssumeImpersonationRole"
],
"Resource": "arn:aws:workmail:us-east-1:111122223333:organization/m-n1pq2345678r901st2u3vx45x6789yza",
"Condition": {
"StringEquals": {
"workmail:ImpersonationRoleId":"12345678-1234-1234-1234-123456789012"
}
}
}
]
}
```
------
### 示例
要查看 Amazon WorkMail 基于身份的政策示例,请参阅。[Amazon WorkMail 基于身份的政策示例](security_iam_id-based-policy-examples.md)
## Amazon WorkMail 基于资源的政策
Amazon WorkMail 不支持基于资源的政策。
## 基于亚马逊 WorkMail 标签的授权
您可以将标签附加到亚马逊 WorkMail 资源,也可以在请求中将标签传递给亚马逊 WorkMail。要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关为 Amazon WorkMail 资源添加标签的更多信息,请参阅[标记组织](org-tag.md)。
## 亚马逊 WorkMail IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 在 Amazon 上使用临时证书 WorkMail
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
亚马逊 WorkMail 支持使用临时证书。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
Amazon WorkMail 支持服务相关角色。有关创建或管理 Amazon WorkMail 服务相关角色的详细信息,请参阅[使用适用于 Amazon 的服务相关角色 WorkMail](using-service-linked-roles.md)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
Amazon WorkMail 支持服务角色。