本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理模擬角色
透過模擬角色,管理員可以設定使用者信箱的程式設計存取,而無需輸入使用者的登入資料。服務和工具可以擔任模擬角色,以在使用者的信箱中執行動作。模擬僅支援 EWS 通訊協定。
## 模擬角色概觀
若要允許模擬,管理員必須使用下列屬性建立模擬角色:
+ **角色類型** – 選擇**完整存取**或**唯讀**。角色類型會限制角色可執行的操作類型。
+ **規則** – 定義模擬角色可模擬哪些使用者的規則清單。
Amazon WorkMail 會根據下列條件評估規則:
+ 如果任何 **DENY** 規則相符,政策會拒絕模擬。**DENY** 規則優先於任何**允許**規則。
+ 如果至少一個 **ALLOW** 規則相符,且沒有 **DENY** 規則相符,則政策允許模擬。
+ 如果沒有套用規則,模擬會被拒絕。
**注意**
若要允許 Amazon WorkMail 組織中所有使用者模擬,請建立具有**允許**效果且沒有條件的規則。
**警告**
您必須建立規則,以允許模擬角色模擬使用者。如果您未指定規則,則模擬角色無法擔任使用者的存取權。
建立模擬角色之後,您可以使用它來存取使用者的信箱。如需詳細資訊,請參閱[使用模擬角色](using-impersonation-roles.md)。
## 安全考量
使用模擬角色會在您的 Amazon WorkMail 組織和 中產生安全問題的可能性 AWS 帳戶。以下是您在建立模擬角色時應考慮的一些潛在問題:
+ **轉移許可** – 如果使用者 A 可存取使用者 B 的信箱,且允許模擬角色模擬使用者 A,則此模擬角色可以模擬使用者 A 的存取許可和存取使用者的 B 信箱。
+ **存取控制** – 您可以使用存取控制規則來限制模擬角色存取。如需詳細資訊,請參閱[使用存取控制規則](access-rules.md)。
+ **IAM 政策** – 您可以使用 `workmail:ImpersonationRoleId`條件,將`AssumeImpersonationRole`動作指派給特定的 Amazon WorkMail 組織和模擬角色。若要查看 IAM 政策範例,請參閱 [Amazon WorkMail 如何與 IAM 搭配使用](security_iam_service-with-iam.md)。
## 建立模擬角色
您可以從 Amazon WorkMail 主控台建立模擬角色。
**建立模擬角色**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更區域。從導覽列中,選擇符合您需求的區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 選擇**模擬角色**,然後選擇**建立角色**。
1. **建立模擬角色**對話方塊隨即出現。在**角色**下,輸入下列資訊:
+ **名稱** – 輸入模擬角色的唯一名稱。
+ (選用) **描述** – 輸入模擬角色的描述。
+ **角色類型** – 選擇**唯讀**或**完整存取**。
1. 在**規則**下,選擇**新增規則**。
1. **新增規則**對話方塊隨即出現。輸入下列資訊:
+ **名稱** – 輸入規則的唯一名稱。
+ (選用) **描述** – 輸入規則的描述。
+ 在**效果**下,選擇**允許****或拒絕**。這會根據您在下列步驟中選取的條件允許或拒絕存取。
+ (選用) **在此規則下:**,選擇**符合模擬所選使用者以包含特定使用者的請求**。選擇**符合模擬所選使用者以外的使用者的請求,**以新增所選使用者以外的使用者。
1. 選擇**新增規則**。
**注意**
只有在您儲存對應的角色時,才會儲存規則。
1. 選擇建**立角色**。
## 編輯模擬角色
您可以從 Amazon WorkMail 主控台編輯模擬角色。
**編輯模擬角色**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更區域。從導覽列中,選擇符合您需求的區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 選擇**模擬角色**。
1. 選取您要編輯的模擬角色名稱,然後選擇**編輯**。
1. 隨即出現**編輯模擬角色**對話方塊。在**角色**下,輸入下列資訊:
+ **名稱** – 輸入模擬角色的唯一名稱。
+ (選用) **描述** – 輸入模擬角色的描述。
+ **角色類型** – 若要讓模擬角色唯讀存取使用者的信箱,請選擇**唯讀**。若要授予模擬角色讀取和修改使用者信箱中項目的權限,請選擇**完整存取**。
1. 在**規則**下,選取您要編輯的規則,然後選擇**編輯**。
1. 編輯**規則**對話方塊隨即出現。輸入下列資訊:
+ **名稱** – 編輯規則的名稱。
+ (選用) **描述** – 更新或輸入規則的描述。
+ 在**效果**下,選擇**允許**,以便在符合規則中設定的條件時允許存取。若要拒絕存取,請選擇**拒絕**。
+ (選用) **在此規則下:**,選擇**符合模擬所選使用者以包含特定使用者的請求**。選擇**比對模擬所選使用者以外的使用者的請求,**以新增所選使用者以外的使用者。
1. 選擇**儲存**。
1. 選擇**儲存變更**。
**重要**
當您變更模擬規則時,受影響的信箱最多可能需要五分鐘才能更新。在規則更新程序期間,您可能會在信箱中觀察到不一致的行為。不過,如果您測試角色,Amazon WorkMail 會根據更新後的規則如預期回應。如需詳細資訊,請參閱[測試模擬角色](#testing-impersonation-roles)。
## 測試模擬角色
您可以從 Amazon WorkMail 主控台測試模擬角色。
**測試模擬角色**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更區域。從導覽列中,選擇符合您需求的區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 選擇**模擬角色**。
1. 選取您要測試的模擬角色。
1. 選擇**測試角色**。
1. **測試模擬角色**對話方塊隨即出現。在**目標使用者**下,選取要測試模擬存取的使用者。
1. 選擇**測試**。
## 刪除模擬角色
您可以從 Amazon WorkMail 主控台刪除模擬角色。
**刪除模擬角色**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更區域。從導覽列中,選擇符合您需求的區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 選擇**模擬角色**。
1. 選取您要刪除的模擬角色名稱。
1. 選擇 **刪除**。
1. **刪除角色**對話方塊隨即出現。若要確認刪除,請在對話方塊中輸入角色的名稱,然後選擇**刪除**。