Habilitación del registro de eventos de correo electrónico - Amazon WorkMail
Activación del registro de eventos de correo electrónicoCreación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónicoDesactivación del registro de eventos de correo electrónicoPrevención de la sustitución confusa entre servicios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del registro de eventos de correo electrónico

Habilitas el registro de eventos de correo electrónico en la WorkMail consola de Amazon para realizar un seguimiento de los mensajes de correo electrónico de tu organización. El registro de eventos de correo electrónico utiliza un rol AWS Identity and Access Management vinculado a un servicio (SLR) para conceder permisos para publicar los registros de eventos de correo electrónico en Amazon. CloudWatch Para obtener más información sobre los roles vinculados a servicios de IAM, consulte Uso de roles vinculados a servicios para Amazon WorkMail.

En los registros de CloudWatch eventos, puedes usar herramientas de CloudWatch búsqueda y métricas para realizar un seguimiento de los mensajes y solucionar problemas relacionados con el correo electrónico. Para obtener más información sobre los registros de eventos a los que Amazon WorkMail envía CloudWatch, consultaSupervisión de los registros de eventos de WorkMail correo electrónico de Amazon. Para obtener más información sobre CloudWatch los registros, consulta la Guía del usuario de Amazon CloudWatch Logs.

Activación del registro de eventos de correo electrónico

Cuando activas el registro de eventos por correo electrónico con la configuración predeterminada, Amazon, ocurre lo WorkMail siguiente:

  • Crea un rol AWS Identity and Access Management vinculado a un servicio —. AmazonWorkMailEvents

  • Crea un grupo de CloudWatch registros —. /aws/workmail/emailevents/organization-alias

  • Establece la retención de CloudWatch registros en 30 días.

Para activar el registro de eventos de correo electrónico

  1. Abre la WorkMail consola de Amazon en https://console.aws.amazon.com/workmail/.

    Si es necesario, cambia la AWS región. En la barra situada en la parte superior de la ventana de la consola, abra la lista Seleccione una región y elija una región. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.

  2. En el panel de navegación, elija Organizaciones y, a continuación, elija el nombre de su organización.

  3. En el panel de navegación, elija Configuración de registro.

  4. Seleccione la pestaña Configuración del registro del flujo de correo electrónico.

  5. En la sección Configuración del registro del flujo de correo electrónico, elija Editar.

  6. Mueva el control deslizante Habilitar eventos de correo a la posición activado.

  7. Realice una de las siguientes acciones:

  8. Selecciona Autorizo WorkMail a Amazon a publicar registros en mi cuenta con esta configuración.

  9. Seleccione Save.

Creación de un grupo de registro personalizado y un rol de IAM para el registro de eventos de correo electrónico

Recomendamos utilizar la configuración predeterminada al habilitar el registro de eventos por correo electrónico para Amazon WorkMail. Si necesita una configuración de supervisión personalizada, puede utilizarla AWS CLI para crear un grupo de registro dedicado y una función de IAM personalizada para el registro de eventos de correo electrónico.

Para crear un grupo de registro y un rol de IAM personalizados para el registro de eventos de correo electrónico

  1. Usa el siguiente AWS CLI comando para crear un grupo de registros en la misma AWS región que tu WorkMail organización de Amazon. Para obtener más información, consulte create-log-group en la Referencia de comandos de la AWS CLI.

    aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

  2. Cree un archivo que contenga la siguiente política:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.workmail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. Utilice el siguiente AWS CLI comando para crear una función de IAM y adjunte este archivo como documento de política de funciones. Para obtener más información, consulte create-role en la Referencia de comandos de la AWS CLI.

    aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
    nota

    Si es un usuario de política administrada por WorkMailFullAccess, debe incluir el término workmail en el nombre de rol. Esta política administrada solo le permite configurar el registro de eventos de correo electrónico con roles con workmail en el nombre. Para obtener más información, consulte Otorgar permisos a un usuario para transferir un rol a un AWS servicio en la Guía del usuario de IAM.

  4. Cree un archivo que contenga la política para el rol de IAM que creó en el paso anterior. Como mínimo, la política debe conceder permisos al rol para crear secuencias de registro e incluir eventos de registro en el grupo de registros que creó en el paso 1.

  5. Utilice el siguiente AWS CLI comando para adjuntar el archivo de política a la función de IAM. Para obtener más información, consulte put-role-policy en la Referencia de comandos de la AWS CLI.

    aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

Desactivación del registro de eventos de correo electrónico

Desactiva el registro de eventos por correo electrónico desde la WorkMail consola de Amazon. Si ya no necesitas usar el registro de eventos por correo electrónico, te recomendamos que elimines también el grupo de CloudWatch registro relacionado y la función vinculada al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio para Amazon WorkMail.

Para desactivar el registro de eventos de correo electrónico

  1. Abre la WorkMail consola de Amazon en https://console.aws.amazon.com/workmail/.

    Si es necesario, cambia la AWS región. En la barra situada en la parte superior de la ventana de la consola, abra la lista Seleccione una región y elija una región. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.

  2. En el panel de navegación, elija Organizaciones y, a continuación, elija el nombre de su organización.

  3. En el panel de navegación, seleccione Supervisión.

  4. En la sección Configuración, elija Editar.

  5. Mueva el control deslizante Habilitar eventos de correo a la posición desactivado.

  6. Seleccione Save.

Prevención de la sustitución confusa entre servicios

El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. EnAWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama).

El servicio que lleva a cabo las llamadas se puede manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder.

Para evitarlo, AWS proporciona herramientas que le ayudan a proteger los datos de todos los servicios cuyos directores de servicio tengan acceso a los recursos de su cuenta.

Recomendamos utilizar las claves de contexto de condición aws:SourceAccountglobal aws:SourceArny las claves de contexto en las políticas de recursos para limitar los permisos que CloudWatch Logs y Amazon S3 conceden a los servicios que generan registros. Si se utilizan ambas claves contextuales de condición global, los valores deben utilizar el mismo identificador de cuenta cuando se utilicen en la misma declaración de política.

Los valores de aws:SourceArn deben ser los ARNs de las fuentes de entrega que generan los registros.

La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de aws:SourceArn con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utilice la clave de condición de contexto global aws:SourceArn con comodines (*) para las partes desconocidas del ARN.