支援終止通知:2027 年 3 月 31 日, AWS 將終止對 Amazon WorkMail 的支援。2027 年 3 月 31 日之後,您將無法再存取 Amazon WorkMail 主控台或 Amazon WorkMail 資源。如需詳細資訊,請參閱 [Amazon WorkMail 終止支援](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 啟用電子郵件事件記錄
您可以在 Amazon WorkMail 主控台中啟用電子郵件事件記錄,以追蹤組織的電子郵件訊息。電子郵件事件記錄使用 AWS Identity and Access Management 服務連結角色 (SLR) 來授予將電子郵件事件日誌發佈至 Amazon CloudWatch 的許可。如需 IAM 服務連結角色的詳細資訊,請參閱 [使用 Amazon WorkMail 的服務連結角色](using-service-linked-roles.md)。
在 CloudWatch 事件日誌中,您可以使用 CloudWatch 搜尋工具和指標來追蹤訊息和疑難排解電子郵件問題。如需 Amazon WorkMail 傳送至 CloudWatch 之事件日誌的詳細資訊,請參閱 [監控 Amazon WorkMail 電子郵件事件日誌](cw-events.md)。如需 CloudWatch Logs 的詳細資訊,請參閱[《Amazon CloudWatch Logs 使用者指南》](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)。
**Topics**
+ [啟用電子郵件事件記錄](#enable-tracking)
+ [建立電子郵件事件記錄的自訂日誌群組和 IAM 角色](#custom-tracking-role)
+ [關閉電子郵件事件日誌](#turn-off-tracking)
+ [預防跨服務混淆代理人](#cross-service-confused-deputy-prevention)
## 啟用電子郵件事件記錄
當您使用預設設定 Amazon WorkMail 開啟電子郵件事件記錄時,會發生下列情況:
+ 建立 AWS Identity and Access Management 服務連結角色 – `AmazonWorkMailEvents`。
+ 建立 CloudWatch 日誌群組 – `/aws/workmail/emailevents/{{organization-alias}}`。
+ 將 CloudWatch 日誌保留期設定為 30 天。
**啟用電子郵件事件記錄**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要,請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 在導覽窗格中,選擇**記錄設定**。
1. 選擇**電子郵件流程日誌設定**索引標籤。
1. 在**電子郵件流程日誌設定**區段中,選擇**編輯**。
1. 將**啟用郵件事件**滑桿移至**開啟**位置。
1. 執行以下任意一項:
+ (建議) 選擇**使用預設設定**。
+ (選用) 清除**使用預設設定**,然後從出現的清單中選取**目的地日誌群組**和 **IAM 角色**。
**注意**
只有在您已使用 建立日誌群組和自訂 IAM 角色時,才選擇此選項 AWS CLI。如需詳細資訊,請參閱[建立電子郵件事件記錄的自訂日誌群組和 IAM 角色](#custom-tracking-role)。
1. 選取**我授權 Amazon WorkMail 使用此組態在我的帳戶中發佈日誌**。
1. 選擇**儲存**。
## 建立電子郵件事件記錄的自訂日誌群組和 IAM 角色
為 Amazon WorkMail 啟用電子郵件事件記錄時,建議使用預設設定。如果您需要自訂監控組態,您可以使用 來 AWS CLI 建立專用日誌群組和電子郵件事件記錄的自訂 IAM 角色。
**建立電子郵件事件記錄的自訂日誌群組和 IAM 角色**
1. 使用下列 AWS CLI 命令,在與您的 Amazon WorkMail 組織相同的 AWS 區域中建立日誌群組。如需詳細資訊,請參閱《 *AWS CLI 命令參考*》中的 [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)。
```
aws –-region {{us-east-1}} logs create-log-group --log-group-name {{workmail-monitoring}}
```
1. 建立包含以下政策的檔案:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.workmail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 使用下列 AWS CLI 命令來建立 IAM 角色,並將此檔案附加為角色政策文件。如需詳細資訊,請參閱《AWS CLI 命令參考》**中的《[create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)》。
```
aws iam create-role --role-name {{workmail-monitoring-role}} --assume-role-policy-document file://{{trustpolicyforworkmail.json}}
```
**注意**
如果您是 `WorkMailFullAccess` 受管政策使用者,您必須在角色名稱`workmail`中包含 詞彙。此受管政策僅允許您使用名稱中包含 `workmail` 的角色來設定電子郵件事件日誌。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[授予使用者將角色傳遞至 AWS 服務的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
1. 建立檔案,其中包含您在上一個步驟中建立之 IAM 角色的政策。此政策至少必須將建立日誌串流的許可授與至該角色,並將日誌事件放到您在步驟 1 中建立的日誌群組。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{example-log-group}}*"
}
]
}
```
------
1. 使用下列 AWS CLI 命令將政策檔案連接至 IAM 角色。如需詳細資訊,請參閱《 *AWS CLI 命令參考*》中的 [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)。
```
aws iam put-role-policy --role-name {{workmail-monitoring-role}} --policy-name {{workmail-permissions}} --policy-document file://{{rolepolicy.json}}
```
## 關閉電子郵件事件日誌
從 Amazon WorkMail 主控台關閉電子郵件事件記錄。如果您不再需要使用電子郵件事件記錄,我們建議您也刪除相關的 CloudWatch 日誌群組和服務連結角色。如需詳細資訊,請參閱[刪除 Amazon WorkMail 的服務連結角色](using-service-linked-roles.md#delete-slr)。
**關閉電子郵件事件日誌**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要,請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 在導覽窗格中,選擇 **Monitoring (監控)**。
1. 在**日誌設定**區段中,選擇**編輯**。
1. 將**啟用郵件事件**滑桿移至關閉位置。
1. 選擇**儲存**。
## 預防跨服務混淆代理人
混淆代理人問題屬於安全性問題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (*呼叫服務*) 呼叫另一個服務 (*被呼叫服務*) 時,可能會發生跨服務模擬。
可以操縱呼叫服務,以使用其許可來對其他客戶的資源採取行動,否則其將無權存取。
為了防止這種情況, AWS 提供工具,協助您保護所有 服務的資料,其服務主體已獲得您帳戶中資源的存取權。
我們建議在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件內容金鑰,以限制 CloudWatch Logs 和 Amazon S3 授予給正在產生日誌的服務的許可。如果您同時使用兩個全域條件內容索引鍵,則在相同政策陳述式中使用時,這些值必須使用相同的帳戶 ID。
`aws:SourceArn` 的值必須是正在產生日誌之傳遞資源的 ARN。
防範混淆代理人問題的最有效方法是使用 `aws:SourceArn` 全域條件內容索引鍵,以及資源的完整 ARN。如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 `aws:SourceArn` 全域條件內容索引鍵,同時使用萬用字元 (`*`) 表示 ARN 的未知部分。