amazon workmail - guía del administrador...amazon workmail guía del administrador servicios de aws...
TRANSCRIPT
Amazon WorkMailGuía del administrador
Version 1.0
Amazon WorkMail Guía del administrador
Amazon WorkMail: Guía del administradorCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
Amazon WorkMail Guía del administrador
Table of Contents¿Qué es Amazon WorkMail? ................................................................................................................ 1
Requisitos del sistema de Amazon WorkMail ................................................................................. 1Conceptos de Amazon WorkMail .................................................................................................. 1Servicios de AWS relacionados .................................................................................................... 2Precios de Amazon WorkMail ....................................................................................................... 3Recursos ................................................................................................................................... 3
Requisitos previos .............................................................................................................................. 4Obtenga una cuenta de AWS y sus credenciales de Usuario raíz ....................................................... 4Creación de usuarios y grupos de AWS Identity and Access Management ........................................... 5
Concesión de permisos a los usuarios de IAM para obtener acceso a Amazon WorkMail ................ 5Seguridad .......................................................................................................................................... 6
Identity and Access Management .................................................................................................. 6Público .............................................................................................................................. 7Autenticación con identidades .............................................................................................. 7Administración de acceso mediante políticas .......................................................................... 9Funcionamiento de Amazon WorkMail con IAM ..................................................................... 10Ejemplos de políticas basadas en identidad .......................................................................... 14Solución de problemas ...................................................................................................... 18
Uso de funciones vinculadas a servicios ...................................................................................... 20Permisos de funciones vinculadas a servicios para Amazon WorkMail ....................................... 20Creación de un rol vinculado a servicios para Amazon WorkMail .............................................. 21Edición de una función vinculada a un servicio para Amazon WorkMail ..................................... 21Eliminación de una función vinculada a un servicio para Amazon WorkMail ................................ 21Regiones admitidas para los roles vinculados al servicio de Amazon WorkMail ........................... 22
Registro y monitorización ........................................................................................................... 22Monitorización con CloudWatch .......................................................................................... 23Registro de llamadas a la API Amazon WorkMail con AWS CloudTrail ...................................... 31
Validación de la conformidad ...................................................................................................... 34Resiliencia ............................................................................................................................... 34Seguridad de la infraestructura ................................................................................................... 34
Introducción ..................................................................................................................................... 36Introducción a Amazon WorkMail ................................................................................................ 36
Paso 1: Iniciar una sesión en la consola de Amazon WorkMail ................................................. 36Paso 2: Configurar el sitio de Amazon WorkMail ................................................................... 36Paso 3: Configurar el acceso de los usuarios de Amazon WorkMail .......................................... 37Más temas de introducción ................................................................................................. 37
Migración a Amazon WorkMail .................................................................................................... 38Paso 1: Crear o habilitar usuarios en Amazon WorkMail ......................................................... 38Paso 2: Migrar a Amazon WorkMail ..................................................................................... 38Paso 3: Completar la migración a Amazon WorkMail .............................................................. 38
Interoperabilidad entre Amazon WorkMail y Microsoft Exchange ....................................................... 39Requisitos previos ............................................................................................................. 39Adición de dominios y habilitación de buzones de correo ........................................................ 40Habilitación de la interoperabilidad ...................................................................................... 40Creación de cuentas de servicio en Microsoft Exchange y en Amazon WorkMail ......................... 40Limitaciones del modo de interoperabilidad ........................................................................... 41Habilitación del direccionamiento de correo electrónico entre Microsoft Exchange y los usuariosde Amazon WorkMail ........................................................................................................ 41Configuración de los parámetros de disponibilidad en Amazon WorkMail ................................... 43Configuración de los parámetros de disponibilidad en Microsoft Exchange ................................. 44Deshabilitar la interoperabilidad y retirar su servidor de correo ................................................. 44Solución de problemas ...................................................................................................... 45
Cuotas de Amazon WorkMail ..................................................................................................... 46Cuotas de usuarios y organizaciones de Amazon WorkMail ..................................................... 46
Version 1.0iii
Amazon WorkMail Guía del administrador
Cuotas de configuración de la organización de WorkMail ........................................................ 48Cuotas por usuario ........................................................................................................... 48Cuotas de mensajes ......................................................................................................... 48
Uso de organizaciones ...................................................................................................................... 50Adición de una organización ....................................................................................................... 50
Configuración rápida: creación de un directorio nuevo ............................................................ 50Standard Setup (Configuración estándar): integración en un directorio existente .......................... 51Integración de un directorio de Amazon WorkDocs o de Amazon WorkSpaces ............................ 52Estados de la organización y sus descripciones .................................................................... 52
Eliminación de una organización ................................................................................................. 53Etiquetado de una organización .................................................................................................. 54Trabajo con reglas de control de acceso ...................................................................................... 55
Creación de reglas de control de acceso .............................................................................. 55Edición de reglas de control de acceso ................................................................................ 56Prueba de reglas de control de acceso ................................................................................ 56Eliminación de reglas de control de acceso .......................................................................... 56
Modificación de la política de dispositivos móviles de la organización ................................................ 57Administración de flujos de correo electrónico ............................................................................... 57
Acciones de las reglas de correo electrónico entrante ............................................................ 58Acciones de las reglas de correo electrónico saliente ............................................................. 59Patrones de remitentes y destinatarios ................................................................................. 60Creación de una regla de flujo de correo electrónico .............................................................. 61Configuración de gateways SMTP ....................................................................................... 61Configuración de Lambda para Amazon WorkMail ................................................................. 62Recuperación de contenido de los mensajes ......................................................................... 64Comprobación de una regla de flujo de correo electrónico ....................................................... 66Modificación de una regla de flujo de correo electrónico ......................................................... 66Eliminación de una regla de flujo de correo electrónico ........................................................... 67
Mensajes de seguimiento ........................................................................................................... 67Activación del registro de eventos de correo electrónico ......................................................... 67Creación de un grupo de registros personalizado y un rol de IAM para el registro de eventos decorreo electrónico ............................................................................................................. 68Desactivación del registro de eventos de correo electrónico .................................................... 69
Aplicación de políticas de DMARC en el correo electrónico entrante ................................................. 70Uso del registro de eventos de correo electrónico para rastrear la aplicación DMARC .................. 70
Uso de dominios ............................................................................................................................... 72Adición de un dominio ............................................................................................................... 72Eliminación de un dominio ......................................................................................................... 74Elección del dominio predeterminado ........................................................................................... 75Verificación de dominios ............................................................................................................ 75
Verificación de registros TXT y registros MX con su servicio DNS ............................................ 75Solución de problemas de verificación de dominios ................................................................ 77
Habilitación de la detección automática para configurar puntos de enlace .......................................... 78Solución de problemas de la fase 2 de detección automática ................................................... 81
Modificación de políticas de identidad de dominios ........................................................................ 82Autenticación de correo electrónico con SPF ................................................................................ 83
Trabajo con usuarios ......................................................................................................................... 84Administración de cuentas de usuario .......................................................................................... 84
Creación de usuarios ........................................................................................................ 84Habilitación de usuarios existentes ...................................................................................... 85Modificación de direcciones de correo electrónico de los usuarios ............................................ 85Modificación de los detalles de los usuarios .......................................................................... 85Restablecimiento de las contraseñas de los usuarios ............................................................. 86Solución de problemas de políticas de contraseñas de Amazon WorkMail .................................. 86
Administración de los buzones de correo de los usuarios ................................................................ 87Deshabilitación de los buzones de correo de los usuarios ....................................................... 88Restauración de buzones de correo deshabilitados ................................................................ 88
Version 1.0iv
Amazon WorkMail Guía del administrador
Uso de notificaciones ........................................................................................................ 89Administración de dispositivos móviles ......................................................................................... 92
Borrado de dispositivos móviles de forma remota .................................................................. 92Eliminación de dispositivos móviles de los usuarios de la lista de dispositivos ............................. 92Visualización de los detalles de los dispositivos móviles ......................................................... 93
Habilitación del correo electrónico firmado o cifrado ....................................................................... 94Uso de los grupos ............................................................................................................................ 95
Creación de un grupo ................................................................................................................ 95Activación de un grupo existente ................................................................................................. 96Añadir usuarios a un grupo ........................................................................................................ 96Eliminar usuarios de un grupo .................................................................................................... 97Desactivación de un grupo ......................................................................................................... 97
Cómo usar los permisos del buzón de correo ....................................................................................... 99Permisos de buzón de correo y carpeta ....................................................................................... 99Habilitar los permisos del buzón de correo .................................................................................. 100Modificación de los permisos del buzón de correo ........................................................................ 100Quitar permisos del buzón de correo ......................................................................................... 100Administrar permisos de grupos ................................................................................................ 101
Uso de recursos ............................................................................................................................. 102Creación de un recurso ............................................................................................................ 102Modificación de un recurso ....................................................................................................... 102Eliminación de un recurso ........................................................................................................ 103
Uso del registro en diario del correo electrónico con Amazon WorkMail ................................................... 105Uso del registro en diario ......................................................................................................... 105
Historial de revisión ......................................................................................................................... 107
Version 1.0v
Amazon WorkMail Guía del administradorRequisitos del sistema de Amazon WorkMail
¿Qué es Amazon WorkMail?Amazon WorkMail es un servicio empresarial de calendario y correo electrónico administrado y segurocompatible con clientes de correo electrónico existentes para dispositivos móviles y equipos de sobremesa.Los usuarios de Amazon WorkMail pueden obtener acceso a su correo electrónico, contactos y calendariosmediante Microsoft Outlook, su navegador o sus aplicaciones de correo electrónico nativas para iOS yAndroid. Puede integrar Amazon WorkMail con su directorio corporativo existente y controlar las claves quese utilizan para cifrar los datos y la ubicación en que estos se almacenan.
Para obtener una lista de regiones y puntos de enlace compatibles de AWS, consulte Regiones y puntosde enlace de AWS.
Temas• Requisitos del sistema de Amazon WorkMail (p. 1)• Conceptos de Amazon WorkMail (p. 1)• Servicios de AWS relacionados (p. 2)• Precios de Amazon WorkMail (p. 3)• Recursos de Amazon WorkMail (p. 3)
Requisitos del sistema de Amazon WorkMailAmazon WorkMail funciona con la mayoría de los principales dispositivos móviles y sistemas operativosque son compatibles con el protocolo Exchange ActiveSync. Estos dispositivos incluyen iPad, iPhone,Android y Windows Phone. Los usuarios de macOS pueden añadir su cuenta de Amazon WorkMail a susaplicaciones de Correo, Calendario y Contactos.
Si tiene una licencia válida de Microsoft Outlook, puede obtener acceso a Amazon WorkMail utilizando lassiguientes versiones de Microsoft Outlook:
• Outlook 2007, Outlook 2010, Outlook 2013, Outlook 2016 y Outlook 2019• Outlook 2010 y Outlook 2013 Click-to-Run• Outlook para Mac 2011, Outlook 2016 para Mac y Outlook 2019 para Mac
A la aplicación web de Amazon WorkMail se obtiene acceso en https://alias.awsapps.com/mail.Amazon WorkMail también se puede utilizar con clientes IMAP. Para obtener más información, consulteConfiguración de clientes de correo electrónico para Amazon WorkMail en la Amazon WorkMail UserGuide.
Conceptos de Amazon WorkMailA continuación, se describe la terminología y los conceptos que son básicos para que conozca y utiliceAmazon WorkMail.
Organización
Una configuración de inquilino para Amazon WorkMail.
Version 1.01
Amazon WorkMail Guía del administradorServicios de AWS relacionados
Alias
Un nombre exclusivo para identificar una organización. El alias se utiliza para obtener acceso a laaplicación web de Amazon WorkMail (https://alias.awsapps.com/mail).
Dominio
La dirección web que aparece después del símbolo @ es una dirección de correo electrónico. Puedeañadir un dominio que recibe correo y lo entrega a los buzones de correo de su organización.
Dominio de correo electrónico de prueba
Durante la instalación, se configura automáticamente un dominio que puede usarse para realizarpruebas con Amazon WorkMail. El dominio de correo electrónico de prueba es alias.awsapps.comy se utiliza como dominio predeterminado si no se configura un dominio propio. El dominio del correoelectrónico de prueba está sujeto a diferentes límites. Para obtener más información, consulte Cuotasde Amazon WorkMail (p. 46).
Directorio
En AWS Directory Service, se crea un AWS Simple AD, un AWS Managed AD o un AD Connector.Si crea una organización mediante la configuración rápida de Amazon WorkMail, se creaautomáticamente un directorio de WorkMail. No es posible ver un directorio de WorkMail en AWSDirectory Service.
Usuario
Un usuario creado en AWS Directory Service. Cuando un usuario se habilita para Amazon WorkMail,recibe su propia buzón de correo al que puede obtener acceso. Cuando se deshabilita un usuario, dejade tener acceso a Amazon WorkMail.
Grupo
Un grupo utilizado en AWS Directory Service. Un grupo se puede usar como lista de distribución ocomo grupo de seguridad en Amazon WorkMail. Los grupos no tienen buzones de correo propios.
Recurso
Un recurso representa un recurso de sala de reuniones o de equipo que pueden reservar los usuariosde Amazon WorkMail.
Política de dispositivos móviles
Diferentes reglas sobre la política de TI que controlan las características de seguridad y elcomportamiento de un dispositivo móvil.
Servicios de AWS relacionadosLos siguientes servicios se utilizan junto con Amazon WorkMail:
• AWS Directory Service: puede integrar Amazon WorkMail con un AWS Simple AD, AWS ManagedAD o AD Connector existente. Cree un directorio en AWS Directory Service y, a continuación, habiliteAmazon WorkMail para este directorio. Una vez que haya configurado esta integración, puede elegir aqué usuarios le gustaría habilitar para Amazon WorkMail de una lista de los usuarios de su directorioexistente, y los usuarios pueden iniciar sesión mediante sus credenciales de Active Directory existentes.Para obtener más información, consulte AWS Directory Service Administration Guide.
• Amazon Simple Email Service: Amazon WorkMail utiliza Amazon SES para enviar todo el correoelectrónico saliente. El dominio de correo electrónico de prueba y sus dominios están disponiblespara su administración desde la consola de Amazon SES. El correo electrónico saliente enviadodesde Amazon WorkMail no supone costo alguno. Para obtener más información, consulte Guía paradesarrolladores de Amazon Simple Email Service.
Version 1.02
Amazon WorkMail Guía del administradorPrecios de Amazon WorkMail
• AWS Identity and Access Management: la Consola de administración de AWS necesita su nombre deusuario y contraseña para que cualquier servicio que utilice pueda determinar si tiene permiso paraobtener acceso a sus recursos. Recomendamos que evite utilizar las credenciales de la cuenta deAWS para obtener acceso a AWS porque las credenciales de la cuenta de AWS no pueden revocarseni limitarse en modo alguno. En su lugar, recomendamos que cree un usuario de IAM y que lo añadaa un grupo de IAM con permisos administrativos. A continuación, acceda a la consola utilizando lascredenciales del usuario de IAM.
Si se ha inscrito en AWS, pero no ha creado un usuario de IAM para usted, puede crearlo en la consolade IAM. Para obtener más información, consulte Crear usuarios individuales de IAM en la Guía delusuario de IAM.
• AWS Key Management Service: Amazon WorkMail está integrado con AWS KMS para el cifrado de losdatos del cliente. Las claves pueden administrarse desde la consola de AWS KMS. Para obtener másinformación, consulte ¿Qué es AWS Key Management Service en la AWS Key Management ServiceDeveloper Guide.
Precios de Amazon WorkMailCon Amazon WorkMail, no hay cuotas de pago iniciales ni compromisos. Solo paga por cuentas de usuarioactivas. Para obtener información específica sobre los precios, consulte Precios.
Recursos de Amazon WorkMailLos recursos relacionados siguientes pueden serle de ayuda cuando trabaje con este servicio.
• Clases y talleres: enlaces a cursos basados en roles y especializados, y también a laboratoriosautoguiados para ayudarle a desarrollar sus conocimientos de AWS y obtener experiencia práctica.
• Herramientas para desarrolladores de AWS: enlaces a herramientas para desarrolladores, SKD,conjuntos de herramientas de IDE y herramientas de línea de comandos para desarrollar y administraraplicaciones de AWS.
• Documentos técnicos de AWS: enlaces a una completa lista de documentos técnicos de AWS que cubreuna gran variedad de temas técnicos, como arquitecturas, seguridad y economía de la nube, escritos porarquitectos de soluciones de AWS o expertos técnicos.
• Centro de soporte de AWS: centro para crear y administrar sus casos de AWS Support. También incluyeenlaces a otros recursos útiles como foros, preguntas técnicas frecuentes, estado de los servicios y AWSTrusted Advisor.
• AWS Support: página web principal para obtener información sobre AWS Support, un canal de soporteindividualizado y de respuesta rápida que le ayudará a crear y ejecutar aplicaciones en la nube.
• Contacte con nosotros: un punto central de contacto para las consultas relacionadas con la facturaciónde AWS, cuentas, eventos, uso indebido y otros problemas.
• Términos del sitio de AWS: información detallada sobre nuestros derechos de autor y marca comercial,su cuenta, licencia y acceso al sitio, entre otros temas.
Version 1.03
Amazon WorkMail Guía del administradorObtenga una cuenta de AWS y
sus credenciales de Usuario raíz
Requisitos previosPara usar Amazon WorkMail necesita disponer de una cuenta de AWS. Si aún no se ha inscrito en AWS,complete las siguientes tareas.
Temas• Obtenga una cuenta de AWS y sus credenciales de Usuario raíz (p. 4)• Creación de usuarios y grupos de AWS Identity and Access Management (p. 5)
Obtenga una cuenta de AWS y sus credenciales deUsuario raíz
Para acceder a AWS, debe crear una cuenta en AWS.
Para inscribirse en una cuenta de AWS
1. Abra https://portal.aws.amazon.com/billing/signup.2. Siga las instrucciones en línea.
Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código deverificación en el teclado del teléfono.
AWS le enviará un correo electrónico de confirmación tras completar el proceso de inscripción.Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando My Account (Mi cuenta).
Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta, que se utilizanpara firmar mediante programación las solicitudes que realiza a AWS. Si no tiene claves de acceso, puedecrearlas desde la Consola de administración de AWS. Como práctica recomendada, no utilice las clavesde acceso de Usuario de la cuenta raíz de AWS para realizar ninguna tarea en la que no sea necesariousarlas. En su lugar, cree un nuevo usuario de IAM administrador con claves de acceso para usted.
El único momento en que puede ver o descargar la clave de acceso secreta es cuando crea las claves.No puede recuperarlas más adelante. Sin embargo, puede crear nuevas claves de acceso en cualquiermomento. También debe tener permisos para realizar las acciones de IAM requeridas. Para obtener másinformación, consulte Permisos obligatorios para obtener acceso a recursos de IAM en la Guía del usuariode IAM.
Para crear claves de acceso para un usuario de IAM
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.
2. En el panel de navegación, seleccione Users.3. Seleccione el nombre del usuario cuyas claves de acceso desee crear y, a continuación, elija la
pestaña Security credentials (Credenciales de seguridad).4. En la sección Access keys (Claves de acceso), elija Create access key (Crear clave de acceso).5. Para ver el nuevo par de claves de acceso, elija Show (Mostrar). No podrá obtener acceso de nuevo
a la clave de acceso secreta cuando este cuadro de diálogo se cierre. Sus credenciales tendrán elaspecto siguiente:
Version 1.04
Amazon WorkMail Guía del administradorCreación de usuarios y grupos de
AWS Identity and Access Management
• ID de clave de acceso: AKIAIOSFODNN7EXAMPLE• Clave de acceso secreta: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
6. Para descargar el par de claves, elija Download .csv file (Descargar archivo .csv). Almacene las clavesen un lugar seguro. No podrá obtener acceso de nuevo a la clave de acceso secreta cuando estecuadro de diálogo se cierre.
Mantenga las claves en secreto para proteger su cuenta de AWS y no las envíe nunca por correoelectrónico. No las comparta fuera de su organización, aunque reciba una petición que parezcaprovenir de AWS o Amazon.com. Nadie que represente legítimamente a Amazon le pedirá nunca suclave secreta.
7. Cuando descargue el archivo .csv, elija Close (Cerrar). Cuando cree una clave de acceso, el par declaves se activa de forma predeterminada, y puede utilizarlo de inmediato.
Temas relacionados
• ¿Qué es IAM? en la Guía del usuario de IAM• Credenciales de seguridad de AWS en AWS General Reference
Creación de usuarios y grupos de AWS Identity andAccess Management
La Consola de administración de AWS requiere su nombre de usuario y contraseña para que el serviciopueda determinar si tiene permiso para acceder a los recursos. Recomendamos que evite utilizar lascredenciales de la cuenta raíz para acceder a AWS porque las credenciales de la cuenta raíz no puedenrevocarse ni limitarse en modo alguno. En su lugar, utilice AWS Identity and Access Management (IAM)para crear un usuario de IAM y añada el usuario a un grupo de IAM con permisos administrativos. Acontinuación, acceda a la consola utilizando las credenciales del usuario de IAM.
Si se ha inscrito en AWS, pero no ha creado un usuario de IAM para usted, puede crearlo en la consola deIAM. Para obtener más información, consulte Crear usuarios individuales de IAM en la Guía del usuario deIAM.
Concesión de permisos a los usuarios de IAM paraobtener acceso a Amazon WorkMailDe forma predeterminada, los usuarios de IAM no tienen permiso para administrar recursos de AmazonWorkMail. Tiene que asociar una política administrada por AWS (AmazonWorkMailFullAccess oAmazonWorkMailReadOnlyAccess) o crear una política administrada por el usuario que conceda de formaexplícita esos permisos a los usuarios de IAM y asociar la política a los grupos o los usuarios de IAMconcretos que necesitan esos permisos. Para obtener más información, consulte Identity and AccessManagement para Amazon WorkMail (p. 6).
Version 1.05
Amazon WorkMail Guía del administradorIdentity and Access Management
Seguridad en Amazon WorkMailLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.
La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:
• Seguridad de la nube – AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura.Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marcode los programas de conformidad de AWS. Para obtener información acerca de los programas deconformidad que se aplican a Amazon WorkMail, consulte Servicios de AWS en el ámbito del programade conformidad.
• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Tambiénes responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa yla legislación y los reglamentos aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartidacuando se utiliza Amazon WorkMail. En los siguientes temas, se le mostrará cómo configurar AmazonWorkMail para satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizarotros servicios de AWS que le ayudan a supervisar y proteger sus recursos de Amazon WorkMail.
Temas• Identity and Access Management para Amazon WorkMail (p. 6)• Uso de funciones vinculadas a servicios en Amazon WorkMail (p. 20)• Registro y monitorización en Amazon WorkMail (p. 22)• Validación de la conformidad en Amazon WorkMail (p. 34)• Resiliencia en Amazon WorkMail (p. 34)• Seguridad de la infraestructura en Amazon WorkMail (p. 34)
Identity and Access Management para AmazonWorkMail
AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda a un administrador acontrolar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quiénpuede ser autenticado (iniciar sesión) y estar autorizado (tener permisos) para utilizar los recursos de . IAMes un servicio de AWS que se puede utilizar sin costo adicional.
Temas• Público (p. 7)• Autenticación con identidades (p. 7)• Administración de acceso mediante políticas (p. 9)• Funcionamiento de Amazon WorkMail con IAM (p. 10)• Ejemplos de políticas basadas en identidad de Amazon WorkMail (p. 14)• Solución de problemas de identidad y acceso en Amazon WorkMail (p. 18)
Version 1.06
Amazon WorkMail Guía del administradorPúblico
PúblicoLa forma en que utilice AWS Identity and Access Management (IAM) difiere, en función del trabajo querealice en .
Usuario de servicio: si utiliza el servicio para realizar su trabajo, su administrador le proporciona lascredenciales y los permisos que necesita. A medida que utilice más características de para realizar sutrabajo, es posible que necesite permisos adicionales. Entender cómo se administra el acceso puedeayudarle a solicitar los permisos correctos a su administrador. Si no puede acceder a una característicaen , consulte Solución de problemas de identidad y acceso en Amazon WorkMail (p. 18).
Administrador de servicio: si está a cargo de los recursos de en su empresa, probablemente tengaacceso completo a . Su trabajo consiste en determinar qué a características y recursos de deben accedersus empleados. A continuación, debe enviar solicitudes a su administrador de IAM para cambiar lospermisos de los usuarios de su servicio. Revise la información de esta página para conocer los conceptosbásicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar IAM con , consulteFuncionamiento de Amazon WorkMail con IAM (p. 10).
Administrator de IAM: si es un administrador de IAM, es posible que quiera conocer información sobrecómo escribir políticas para administrar el acceso a . Para ver ejemplos de políticas basadas en laidentidad de que puede utilizar en IAM, consulte Ejemplos de políticas basadas en identidad de AmazonWorkMail (p. 14).
Autenticación con identidadesLa autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Para obtenermás información acerca del inicio de sesión con la Consola de administración de AWS, consulte Laconsola de IAM y la página de inicio de sesión en la Guía del usuario de IAM.
Debe estar autenticado (haber iniciado sesión en AWS) como Usuario de la cuenta raíz de AWS, usuariode IAM o asumiendo un rol de IAM. También puede utilizar la autenticación de inicio de sesión único desu empresa o incluso iniciar sesión con Google o Facebook. En estos casos, su administrador habráconfigurado previamente la federación de identidad mediante roles de IAM. Cuando obtiene acceso a AWSmediante credenciales de otra empresa, asume un rol indirectamente.
Para iniciar sesión directamente en la Consola de administración de AWS, use su contraseña con sucorreo electrónico usuario raíz o su nombre de usuario de IAM. Puede obtener acceso a AWS medianteprogramación utilizando sus claves de acceso usuario raíz o de usuario de IAM. AWS proporciona SDK yherramientas de línea de comandos para firmar criptográficamente su solicitud con sus credenciales. Si noutiliza las herramientas de AWS, debe firmar usted mismo la solicitud. Para ello, utilice Signature Version4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de laautenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS General Reference.
Independientemente del método de autenticación que utilice, es posible que también deba proporcionarinformación de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor(MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) en AWS en la Guía del usuario de IAM.
Usuario raíz de la cuenta de AWSCuando se crea por primera vez una cuenta de AWS, se comienza con una única identidad de inicio desesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidadrecibe el nombre de AWS de la cuenta de usuario raíz y se obtiene acceso a ella iniciando sesión con ladirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Le recomendamos queno utilice usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello,es mejor ceñirse a la práctica recomendada de utilizar exclusivamente usuario raíz para crear el primerusuario de IAM. A continuación, guarde las credenciales de usuario raíz en un lugar seguro y utilícelasúnicamente para algunas tareas de administración de cuentas y servicios.
Version 1.07
Amazon WorkMail Guía del administradorAutenticación con identidades
Usuarios y grupos de IAMUn usuario de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos para unasola persona o aplicación. Un usuario de IAM puede tener credenciales a largo plazo, como un nombrede usuario y una contraseña o un conjunto de claves de acceso. Para obtener más información acerca decómo generar claves de acceso, consulte Administración de las claves de acceso de los usuarios de IAMen la Guía del usuario de IAM. Al generar claves de acceso para un usuario de IAM, asegúrese de ver yguardar de forma segura el par de claves. No puede recuperar la clave de acceso secreta en el futuro. Ensu lugar, debe generar un nuevo par de claves de acceso.
Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesióncomo grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los gruposfacilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener ungrupo cuyo nombre fuese Administradores de IAM y conceder permisos a dicho grupo para administrar losrecursos de IAM.
Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación,pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienencredenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para obtenermás información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario deIAM.
Roles de IAMUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos. Es similar aun usuario de IAM, pero no está asociado a una determinada persona. Puede asumir temporalmente unrol de IAM en la Consola de administración de AWS cambiando de roles. Puede asumir un rol llamandoa una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para obtenermás información acerca de los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía delusuario de IAM.
Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:
• Permisos de usuario temporales de IAM: un usuario de IAM puede asumir un rol de IAM para recibirtemporalmente permisos distintos que le permitan realizar una tarea concreta.
• Acceso de usuario federado: En lugar de crear un usuario de IAM, puede utilizar identidades existentesde AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de identidadesweb. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuariofederado cuando se solicita acceso a través de un proveedor de identidad. Para obtener másinformación acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.
• Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal deconfianza) de otra cuenta obtenga acceso a los recursos de su cuenta. Los roles son la forma principalde conceder acceso entre cuentas. Sin embargo, con algunos servicios de AWS, puede asociar unapolítica directamente a un recurso (en lugar de utilizar un rol como proxy). Para obtener informaciónacerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas,consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario deIAM.
• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizaracciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos queson necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles deservicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuandose cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solodentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puedecrear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permitaa Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar
Version 1.08
Amazon WorkMail Guía del administradorAdministración de acceso mediante políticas
los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulteCreación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.
• Aplicaciones que se ejecutan en Amazon EC2: Puede utilizar un rol de IAM para administrarcredenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves deacceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición detodas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene elrol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que seejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Para obtener información acerca del uso de los roles de IAM, consulte Cuándo crear un rol de IAM (en vezde un usuario) en la Guía del usuario de IAM.
Administración de acceso mediante políticasPara controlar el acceso en AWS, se crean políticas y se asocian a identidades de IAM o recursos deAWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, definesus permisos. AWS evalúa estas políticas cuando una entidad principal (usuario raíz, usuario de IAM orol de IAM) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o sedeniega. Las mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtenermás información acerca de la estructura y el contenido de los documentos de política JSON, consulteInformación general de las políticas de JSON en la Guía del usuario de IAM.
Un administrador de IAM puede utilizar las políticas para especificar quién tiene acceso a los recursos deAWS y qué acciones se pueden realizar en dichos recursos. Cada entidad de IAM (usuario o rol) comienzasin permisos. En otras palabras, de forma predeterminada, los usuarios no pueden hacer nada, ni siquieracambiar sus propias contraseñas. Para conceder permiso a un usuario para hacer algo, el administradordebe asociarle una política de permisos. O bien el administrador puede añadir al usuario a un grupo quetenga los permisos necesarios. Cuando el administrador concede permisos a un grupo, todos los usuariosde ese grupo obtienen los permisos.
Las políticas de IAM definen permisos para una acción independientemente del método que se utilicepara realizar la operación. Por ejemplo, suponga que dispone de una política que permite la accióniam:GetRole. Un usuario con dicha política puede obtener información del usuario de la Consola deadministración de AWS, la AWS CLI o la API de AWS.
Políticas basadas en la identidadLas políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociara una identidad, como por ejemplo un usuario, un rol o un grupo de IAM. Estas políticas controlan quéacciones puede realizar dicha identidad, en qué recursos y en qué condiciones. Para obtener másinformación acerca de cómo crear una política basada en identidad, consulte Creación de políticas de IAMen la Guía del usuario de IAM.
Las políticas basadas en identidad pueden clasificarse además como políticas insertadas o políticasadministradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Laspolíticas administradas son políticas independientes que puede asociar a varios usuarios, grupos y rolesde su cuenta de AWS. Las políticas administradas incluyen las políticas administradas por AWS y laspolíticas administradas por el cliente. Para obtener más información acerca de cómo elegir una políticaadministrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas enla Guía del usuario de IAM.
Políticas basadas en recursosLas políticas basadas en recursos son documentos de política JSON que puede asociar a un recursocomo, por ejemplo, un bucket de Amazon S3. Los administradores de servicios pueden utilizar estas
Version 1.09
Amazon WorkMail Guía del administradorFuncionamiento de Amazon WorkMail con IAM
políticas para definir qué acciones puede realizar un principal especificado (miembro de cuenta, usuario orol) en dicho recurso y bajo qué condiciones. Las políticas basadas en recursos son políticas insertadas.No existen políticas basadas en recursos que sean administradas.
Listas de control de acceso (ACL)Las listas de control de acceso (ACL) son un tipo de política que controlan qué entidades principales(cuentas, miembros, usuarios o roles) tienen permisos para obtener acceso a un recurso. Las ACL sonsimilares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticaJSON. Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten ACL. Para obtenermás información sobre las ACL, consulte Información general de las Access Control Lists (ACL, Listas decontrol de acceso) en la Guía para desarrolladores de Amazon Simple Storage Service.
Otros tipos de políticasAWS admite otros tipos de políticas menos frecuentes. Estos tipos de políticas pueden establecer elmáximo de permisos que los tipos de políticas más frecuentes le otorgan.
• Límites de permisos: un límite de permisos es una característica avanzada que le permite definir lospermisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuarioo rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantes sonla intersección de las políticas basadas en identidades de la entidad y los límites de sus permisos. Laspolíticas basadas en recursos que especifiquen el usuario o rol en el campo Principal no estaránrestringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anularáel permiso. Para obtener más información acerca de los límites de permisos, consulte see Límites depermisos para las entidades de IAM en la Guía del usuario de IAM.
• Políticas de control de servicios (SCP): las SCP son políticas de JSON que especifican los permisosmáximos para una organización o unidad organizativa (OU) en AWS Organizations. AWS Organizationses un servicio que le permite agrupar y administrar de forma centralizada varias cuentas de AWSque posee su negocio. Si habilita todas las funciones en una organización, entonces podrá aplicarpolíticas de control de servicio (SCP) a una o todas sus cuentas. Una SCP limita los permisos para lasentidades de las cuentas de miembros, incluido cada Usuario de la cuenta raíz de AWS. Para obtenermás información acerca de Organizaciones y las SCP, consulte Funcionamiento de las SCP en la Guíadel usuario de AWS Organizations.
• Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetrocuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Lospermisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y laspolíticas de la sesión. Los permisos también pueden proceder de una política basada en recursos. Unadenegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información,consulte Políticas de sesión en la Guía del usuario de IAM.
Varios tipos de políticasCuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicadosde entender. Para obtener información acerca de cómo AWS determina si permitir una solicitud cuandohay varios tipos de políticas implicados, consulte Lógica de evaluación de políticas en la Guía del usuariode IAM.
Funcionamiento de Amazon WorkMail con IAMAntes de utilizar IAM para administrar el acceso a Amazon WorkMail, debe saber qué características deIAM están disponibles para su uso con Amazon WorkMail. Para obtener una perspectiva general de cómoAmazon WorkMail y otros servicios de AWS funcionan con IAM, consulte Servicios de AWS que funcionancon IAM en la Guía del usuario de IAM.
Version 1.010
Amazon WorkMail Guía del administradorFuncionamiento de Amazon WorkMail con IAM
Temas• Políticas basadas en la identidad de Amazon WorkMail (p. 11)• Políticas basadas en recursos de Amazon WorkMail (p. 13)• Autorización basada en etiquetas de Amazon WorkMail (p. 13)• Roles de IAM de Amazon WorkMail (p. 13)
Políticas basadas en la identidad de Amazon WorkMailCon las políticas basadas en identidad de IAM, puede especificar las acciones permitidas o denegadasy los recursos además de las condiciones en las que se permiten o deniegan las acciones. AmazonWorkMail admite acciones, recursos y claves de condiciones específicos. Para obtener más informaciónacerca de los elementos que utiliza en una política de JSON, consulte Referencia de los elementos de laspolíticas de JSON de IAM en la Guía del usuario de IAM.
Acciones
El elemento Action de una política basada en la identidad de IAM describe la acción o las accionesespecíficas que la política permitirá o denegará. Las acciones de la política generalmente tienen el mismonombre que la operación de API de AWS asociada. La acción se utiliza en una política para otorgarpermisos para realizar la operación asociada.
Las acciones de políticas de Amazon WorkMail utilizan el siguiente prefijo antes de la acción: workmail:.Por ejemplo, para conceder a alguien permiso para recuperar una lista de usuarios con la operación dela API ListUsers de Amazon WorkMail, incluya la acción workmail:ListUsers en su política. Lasinstrucciones de política deben incluir un elemento Action o NotAction. Amazon WorkMail define supropio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
"Action": [ "workmail:ListUsers", "workmail:DeleteUser"
Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todaslas acciones que comiencen con la palabra List, incluya la siguiente acción:
"Action": "workmail:List*"
Para ver una lista de las acciones de Amazon WorkMail, consulte Acciones definidas por AmazonWorkMail en la Guía del usuario de IAM.
Recursos
El elemento Resource especifica el objeto u objetos a los que se aplica la acción. Las instrucciones debencontener un elemento Resource o NotResource. Especifique un recurso con un ARN o el caráctercomodín (*) para indicar que la instrucción se aplica a todos los recursos.
Amazon WorkMail admite permisos de nivel de recurso para las organizaciones de API de AmazonWorkMail
El recurso de la organización de Amazon WorkMail tiene el siguiente ARN:
arn:aws:workmail:${Region}:${Account}:organization/${OrganizationId}
Version 1.011
Amazon WorkMail Guía del administradorFuncionamiento de Amazon WorkMail con IAM
Para obtener más información acerca del formato de los ARN, consulte Nombres de recursos de Amazon(ARN) y espacios de nombres de servicios de AWS.
Por ejemplo, para especificar la organización m-n1pq2345678r901st2u3vx45x6789yza en lainstrucción, utilice el siguiente ARN.
"Resource": "arn:aws:workmail:us-east-1:111122223333:organization/m-n1pq2345678r901st2u3vx45x6789yza"
Para especificar todas las organizaciones que pertenecen a una cuenta específica, utilice el caráctercomodín (*):
"Resource": "arn:aws:workmail:us-east-1:111122223333:organization/*"
Algunas acciones de Amazon WorkMail, como las que se utilizan para crear recursos, no se pueden llevara cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).
"Resource": "*"
Para ver una lista de los tipos de recursos de Amazon WorkMail y sus ARN, consulte Recursos definidospor Amazon WorkMail en la Guía del usuario de IAM. Para saber con qué acciones puede especificar elARN de cada recurso, consulte Acciones, recursos y claves de condición de Amazon WorkMail.
Claves de condición
Amazon WorkMail no proporciona ninguna clave de condición específica del servicio, pero sí admite el usode las siguientes claves de condición globales.
• aws:CurrentTime
• aws:EpochTime
• aws:MultiFactorAuthAge
• aws:MultiFactorAuthPresent
• aws:PrincipalOrgID
• aws:PrincipalArn
• aws:RequestedRegion
• aws:SecureTransport
• aws:UserAgent
La siguiente política de ejemplo concede acceso a la consola de Amazon WorkMail solo desde lasentidades principales de IAM autenticadas por MFA en la región de AWS eu-west-1.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:Describe*", "ses:Get*", "workmail:Describe*", "workmail:Get*", "workmail:List*", "workmail:Search*",
Version 1.012
Amazon WorkMail Guía del administradorFuncionamiento de Amazon WorkMail con IAM
"lambda:ListFunctions", "iam:ListRoles", "logs:DescribeLogGroups", "cloudwatch:GetMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "eu-west-1" ] }, "Bool": { "aws:MultiFactorAuthPresent": true } } } ]}
Para ver todas las claves de condición globales de AWS, consulte Claves de contexto de condiciónglobales de AWS en la Guía del usuario de IAM.
Ejemplos
Para ver ejemplos de políticas basadas en identidad de Amazon WorkMail, consulte Ejemplos de políticasbasadas en identidad de Amazon WorkMail (p. 14).
Políticas basadas en recursos de Amazon WorkMailAmazon WorkMail no admite las políticas basadas en recursos.
Autorización basada en etiquetas de Amazon WorkMailPuede asociar etiquetas a los recursos de Amazon WorkMail o transferirlas en una solicitud a AmazonWorkMail. Para controlar el acceso utilizando etiquetas, debe proporcionar información de las etiquetasen el elemento de condición de una política utilizando workmail:ResourceTag/key-name,aws:RequestTag/key-name o las claves de condición aws:TagKeys. Para obtener más informaciónsobre el etiquetado de recursos de Amazon WorkMail, consulte Etiquetado de una organización (p. 54).
Roles de IAM de Amazon WorkMailUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos.
Uso de credenciales temporales con Amazon WorkMail
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir unrol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamadaa operaciones de la API de AWS STS, como AssumeRole o GetFederationToken.
Amazon WorkMail admite el uso de credenciales temporales.
Roles vinculados a servicios
Los roles vinculados a servicios permiten a los servicios de AWS obtener acceso a los recursos de otrosservicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta
Version 1.013
Amazon WorkMail Guía del administradorEjemplos de políticas basadas en identidad
de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos delos roles vinculados a servicios.
Amazon WorkMail admite roles vinculados a servicios. Para obtener más información acerca de cómocrear o administrar roles vinculados a servicios de Amazon WorkMail, consulte Uso de funcionesvinculadas a servicios en Amazon WorkMail (p. 20).
Roles de servicio
Esta característica permite que un servicio asuma un rol de servicio en nombre de usted. Este rol permiteque el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre.Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que unadministrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar lafuncionalidad del servicio.
Amazon WorkMail admite roles de servicio.
Ejemplos de políticas basadas en identidad deAmazon WorkMailDe forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar recursosde Amazon WorkMail. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, laAWS CLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permisosa los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificadosque necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesitenesos permisos.
Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estosdocumentos de políticas de JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en laGuía del usuario de IAM.
Temas• Prácticas recomendadas relativas a políticas (p. 14)• Uso de la consola de Amazon WorkMail (p. 15)• Permitir a los usuarios ver sus propios permisos (p. 16)• Permitir a los usuarios acceso de solo lectura a los recursos de Amazon WorkMail (p. 17)
Prácticas recomendadas relativas a políticasLas políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, acceder oeliminar los recursos de de su cuenta. Estas acciones pueden generar costes adicionales para su cuentade AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidad:
• Introducción sobre el uso de políticas administradas de AWS: para comenzar a utilizar rápidamente,utilice las políticas administradas de AWS para proporcionar a los empleados los permisos necesarios.Estas políticas ya están disponibles en su cuenta y las mantiene y actualiza AWS. Para obtener másinformación, consulte Introducción sobre el uso de permisos con políticas administradas de AWS en laGuía del usuario de IAM.
• Conceder privilegios mínimos: al crear políticas personalizadas, conceda solo los permisos necesariospara llevar a cabo una tarea. Comience con un conjunto mínimo de permisos y conceda permisosadicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que sondemasiado tolerantes e intentar hacerlos más severos más adelante. Para obtener más información,consulte Conceder privilegios mínimos en la Guía del usuario de IAM.
Version 1.014
Amazon WorkMail Guía del administradorEjemplos de políticas basadas en identidad
• Habilitar MFA para operaciones confidenciales: para mayor seguridad, obligue a los usuarios deIAM a que utilicen la autenticación multifactor (MFA) para acceder a recursos u operaciones de APIconfidenciales. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) enAWS en la Guía del usuario de IAM.
• Utilizar condiciones de política para mayor seguridad: en la medida en que sea práctico, defina lascondiciones en las que sus políticas basadas en identidad permitan el acceso a un recurso. Por ejemplo,puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debeproceder una solicitud. También puede escribir condiciones para permitir solicitudes solo en un intervalode hora o fecha especificado o para solicitar el uso de SSL o MFA. Para obtener más información,consulte Elementos de la política de JSON de IAM: condición en la Guía del usuario de IAM.
Uso de la consola de Amazon WorkMailPara acceder a la consola de Amazon WorkMail, debe tener un conjunto mínimo de permisos. Estospermisos deben permitirle registrar y consultar los detalles sobre los recursos de Amazon WorkMail ensu cuenta de AWS. Si crea una política basada en identidad que sea más restrictiva que el mínimo depermisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles deIAM) que tengan esa política.
Para asegurarse de que esas entidades puedan seguir usando la consola de Amazon WorkMail, asocietambién la política administrada de AWS siguiente, AmazonWorkMailFullAccess, a las entidades. Paraobtener más información, consulte Adición de permisos a un usuario en la Guía del usuario de IAM:
La política AmazonWorkMailFullAccess concede a un usuario de IAM acceso completo a los recursosde Amazon WorkMail. Esta política proporciona al usuario acceso a todas las operaciones de AmazonWorkMail, AWS Key Management Service, Amazon Simple Email Service y AWS Directory Service. Estotambién incluye varias operaciones de Amazon EC2 que Amazon WorkMail debe realizar en su nombre.Los permisos logs y cloudwatch son necesarios para el registro de eventos de correo electrónico y lavisualización de métricas en la consola de Amazon WorkMail. Para obtener más información, consulteRegistro y monitorización en Amazon WorkMail (p. 22).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:CreateDirectory", "ds:CreateIdentityPoolDirectory", "ds:DeleteAlias", "ds:DeleteDirectory", "ds:DescribeDirectories", "ds:GetDirectoryLimits", "ds:ListAuthorizedApplications", "ds:UnauthorizeApplication", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateTags", "ec2:CreateVpc", "ec2:DeleteSecurityGroup", "ec2:DeleteSubnet", "ec2:DeleteVpc", "ec2:DescribeAvailabilityZones", "ec2:DescribeRouteTables",
Version 1.015
Amazon WorkMail Guía del administradorEjemplos de políticas basadas en identidad
"ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "kms:DescribeKey", "kms:ListAliases" "lambda:ListFunctions", "route53:ChangeResourceRecordSets", "route53:ListHostedZones", "route53:ListResourceRecordSets", "route53domains:CheckDomainAvailability", "route53domains:ListDomains", "ses:*", "workmail:*", "iam:ListRoles", "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy", "cloudwatch:GetMetricData" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "events.workmail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/events.workmail.amazonaws.com/AWSServiceRoleForAmazonWorkMailEvents*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*workmail*", "Condition": { "StringLike": { "iam:PassedToService": "events.workmail.amazonaws.com" } } } ]}
No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadasa la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidancon la operación de API que intenta realizar.
Permitir a los usuarios ver sus propios permisosEn este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver laspolíticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluyepermisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la APIde AWS.
Version 1.016
Amazon WorkMail Guía del administradorEjemplos de políticas basadas en identidad
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Permitir a los usuarios acceso de solo lectura a los recursos deAmazon WorkMailLa siguiente instrucción de política concede acceso de solo lectura a los recursos deAmazon WorkMaila un usuario de IAM. Esta política da el mismo nivel de acceso que la política administrada por AWSAmazonWorkMailReadOnlyAccess. Ambas políticas conceden al usuario acceso a todas las operacionesDescribe de Amazon WorkMail. El acceso a la operación DescribeDirectories de AWS DirectoryService es necesario para obtener información sobre los directorios de AWS Directory Service. El accesoal servicio Amazon SES es necesario para obtener información sobre los dominios configurados. Elacceso a AWS Key Management Service es necesario para obtener información sobre las claves decifrado utilizadas. Los permisos logs y cloudwatch son necesarios para el registro de eventos decorreo electrónico y la visualización de métricas en la consola de Amazon WorkMail. Para obtener másinformación, consulte Registro y monitorización en Amazon WorkMail (p. 22).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:Describe*", "ses:Get*", "workmail:Describe*", "workmail:Get*", "workmail:List*", "workmail:Search*",
Version 1.017
Amazon WorkMail Guía del administradorSolución de problemas
"lambda:ListFunctions", "iam:ListRoles", "logs:DescribeLogGroups", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }}
Solución de problemas de identidad y acceso enAmazon WorkMailUtilice la información siguiente para diagnosticar y solucionar los problemas comunes que puedan surgircuando trabaje con Amazon WorkMail y IAM.
Temas• No tengo autorización para realizar una acción en Amazon WorkMail (p. 18)• No tengo autorización para realizar la operación iam:PassRole (p. 18)• Quiero ver mis claves de acceso (p. 19)• Soy administrador y deseo permitir que otros obtengan acceso a Amazon WorkMail (p. 19)• Quiero permitir a personas externas a mi cuenta de AWS el acceso a mis recursos de Amazon
WorkMail (p. 19)
No tengo autorización para realizar una acción en AmazonWorkMailSi la Consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción,debe ponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que lefacilitó su nombre de usuario y contraseña.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM mateojackson intenta utilizar laconsola para ver detalles de un grupo, pero no tiene permisos workmail:DescribeGroup.
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: workmail:DescribeGroup on resource: group
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obteneracceso al recurso group mediante la acción workmail:DescribeGroup.
No tengo autorización para realizar la operación iam:PassRoleSi recibe un error que indica que no está autorizado para llevar a cabo la acción iam:PassRole, debeponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitósu nombre de usuario y contraseña. Pida a la persona que actualice sus políticas de forma que puedatransferir un rol a .
Algunos servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevorol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado marymajor intentautilizar la consola para realizar una acción en . Sin embargo, la acción requiere que el servicio cuente conpermisos otorgados por un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
Version 1.018
Amazon WorkMail Guía del administradorSolución de problemas
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
En este caso, Mary pide a su administrador que actualice sus políticas para que pueda realizar la accióniam:PassRole.
Quiero ver mis claves de accesoDespués de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso encualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave deacceso secreta, debe crear un nuevo par de claves de acceso.
Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo,AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como unnombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con elmismo nivel de seguridad que para el nombre de usuario y la contraseña.
Important
No proporcione las claves de acceso a terceras personas, ni siquiera para que le ayuden a buscarel ID de usuario canónico. Si lo hace, podría conceder a otra persona acceso permanente a sucuenta.
Cuando cree un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave deacceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de sucreación. Si pierde la clave de acceso secreta, debe añadir nuevas claves de acceso a su usuario de IAM.Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de clavesantes de crear uno nuevo. Para ver las instrucciones, consulte Administración de las claves de acceso enla Guía del usuario de IAM.
Soy administrador y deseo permitir que otros obtengan acceso aAmazon WorkMailPara permitir que otros obtengan acceso a , debe crear una entidad de IAM (usuario o rol) para la personao aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidad para obteneracceso a AWS. A continuación, debe asociar una política a la entidad que le conceda los permisoscorrectos en .
Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía delusuario de IAM.
Quiero permitir a personas externas a mi cuenta de AWS elacceso a mis recursos de Amazon WorkMailPuede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedanutilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol.En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso(ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.
Para obtener más información, consulte lo siguiente:
• Para obtener información acerca de si admite estas características, consulte Funcionamiento de AmazonWorkMail con IAM (p. 10).
• Para aprender cómo proporcionar acceso a sus recursos en cuentas de AWS de su propiedad, consulteProporcionar acceso a un usuario de IAM a otra cuenta de AWS de la que es propietario en la Guía delusuario de IAM.
Version 1.019
Amazon WorkMail Guía del administradorUso de funciones vinculadas a servicios
• Para obtener información acerca de cómo ofrecer acceso a sus recursos a cuentas de AWS de terceros,consulte Proporcionar acceso a las cuentas de AWS propiedad de terceros en la Guía del usuario deIAM.
• Para obtener información acerca de cómo ofrecer acceso a la identidad federada, consulte Proporcionaracceso a usuarios autenticados externamente (identidad federada) en la Guía del usuario de IAM.
• Para obtener información acerca de la diferencia entre utilizar los roles y las políticas basadas enrecursos para el acceso entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadasen recursos en la Guía del usuario de IAM.
Uso de funciones vinculadas a servicios en AmazonWorkMail
Amazon WorkMail usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Unrol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AmazonWorkMail. Las funciones vinculadas a servicios están predefinidas por Amazon WorkMail e incluyen todoslos permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Con una función vinculada a servicios, resulta más sencillo configurar Amazon WorkMail, porque no espreciso agregar los permisos necesarios manualmente. Amazon WorkMail define los permisos de lasfunciones vinculadas con su propio servicio y, a menos que esté definido de otra manera, solo AmazonWorkMail puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la políticade permisos, y esa política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados. Deesta forma, se protegen los recursos de Amazon WorkMail, ya que se evita que se puedan eliminaraccidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Serviciosde AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado aservicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado alservicio en cuestión.
Permisos de funciones vinculadas a servicios paraAmazon WorkMailAmazon WorkMail usa la función vinculada al servicio denominada AmazonWorkMailEvents – AmazonWorkMail uses this service-linked role to enable access to AWS services and resources used ormanaged by Amazon WorkMail events, such as monitoring email events logged by CloudWatch.For more information about enabling email event logging for Amazon WorkMail, see Mensajes deseguimiento (p. 67).
La función vinculada al servicio AmazonWorkMailEvents confía en los siguientes servicios para asumir lafunción:
• events.workmail.amazonaws.com
La política de permisos de la función permite que Amazon WorkMail realice las siguientes acciones en losrecursos especificados:
• Acción: logs:CreateLogGroup en all AWS resources• Acción: logs:CreateLogStream en all AWS resources
Version 1.020
Amazon WorkMail Guía del administradorCreación de un rol vinculado a
servicios para Amazon WorkMail
• Acción: logs:PutLogEvents en all AWS resources
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear,editar o eliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consultePermisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios para AmazonWorkMailNo necesita crear manualmente un rol vinculado a un servicio. Al realizar una operación turn on AmazonWorkMail event logging and use the default settings en la Amazon WorkMail consola, Amazon WorkMail seencarga de crear automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso paravolver a crear el rol en su cuenta. Al realizar una operación de turn on Amazon WorkMail event loggingand use the default settings, Amazon WorkMail se encarga de volver crear automáticamente la funciónvinculada al servicio.
Edición de una función vinculada a un servicio paraAmazon WorkMailAmazon WorkMail no le permite editar la función vinculada al servicio AmazonWorkMailEvents. Despuésde crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades puedenhacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando IAM. Para obtenermás información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.
Eliminación de una función vinculada a un serviciopara Amazon WorkMailSi ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, lerecomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoriceni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes deeliminarlo manualmente.
Note
Si el servicio Amazon WorkMail está utilizando el rol cuando intenta eliminar los recursos, laeliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo laoperación.
Para eliminar los recursos Amazon WorkMail que se utilizan en AmazonWorkMailEvents
1. Desactivación Amazon WorkMail del registro de eventos.
a. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.b. Elija el alias de la organización para el que se va a eliminar el AmazonWorkMailEvents rol.c. Elija Organization settings (Configuración de la organización), Monitoring (Monitorización).d. Para la configuración de registro, elija Edit (Editar).e. Elimine la selección de la casilla de verificación para Enable mail events (Habilitar los eventos de
correo electrónico).f. Seleccione Save.
2. Elimine Amazon CloudWatch el grupo de registros.
Version 1.021
Amazon WorkMail Guía del administradorRegiones admitidas para los roles
vinculados al servicio de Amazon WorkMail
a. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.b. Seleccione Logs.c. En Log Groups (Grupo de registros), seleccione el grupo de registros que desea eliminar.d. En Actions (Acciones), seleccione Delete log group (Eliminar grupo de registros) .e. Elija Yes, Delete (Sí, eliminar).
Para eliminar manualmente la función vinculada al servicio utilizando IAM
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicioAmazonWorkMailEvents. Para obtener más información, consulte Eliminar un rol vinculado a un servicio enla Guía del usuario de IAM.
Regiones admitidas para los roles vinculados alservicio de Amazon WorkMailAmazon WorkMail admite el uso de roles vinculados a servicios en todas las regiones en las que el servicioestá disponible. Para obtener más información, consulte Amazon WorkMail Regions and Endpoints.
Registro y monitorización en Amazon WorkMailLa monitorización de su flujo de correo electrónico es importante para mantener el estado de suAmazon WorkMail organización. La monitorización de la actividad de envío de correo electrónicopara su organización ayuda a proteger su reputación de dominio. La monitorización también puedeayudarle a realizar un seguimiento de correos electrónicos que se envían y reciben. Para obtener másinformación acerca de cómo habilitar el registro de eventos de correo electrónico, consulte Mensajes deseguimiento (p. 67).
AWS ofrece las siguientes herramientas de monitorización para controlar Amazon WorkMail, informarcuando algo no funciona y realizar acciones automáticas cuando proceda:
• Amazon CloudWatch monitoriza sus AWS recursos y las aplicaciones que ejecuta de AWS entiempo real. Por ejemplo, cuando se habilita el registro de eventos de correo electrónico AmazonWorkMail, CloudWatch puede realizar el seguimiento de correos electrónicos enviados y recibidos en suorganización. Para obtener más información sobre la monitorización Amazon WorkMail con CloudWatch,consulte Monitorización Amazon WorkMail con Amazon CloudWatch (p. 23). Para obtener másinformación sobre CloudWatch, consulte la Guía del usuario de Amazon CloudWatch.
• Amazon CloudWatch Logs le permite monitorizar, almacenar y obtener acceso a los registros de eventosde correo electrónico Amazon WorkMail cuando el registro de eventos de correo electrónico estáhabilitado en la Amazon WorkMail consola. CloudWatch Logs puede monitorizar información en losarchivos de registro, y puede archivar sus datos de registro en almacenamiento de larga duración. Paraobtener más información sobre el seguimiento de Amazon WorkMail mensajes en los que se utilizaCloudWatch Logs, consulte Mensajes de seguimiento (p. 67). Para obtener más información sobreCloudWatch Logs, consulte la Amazon CloudWatch Logs User Guide.
• AWS CloudTrail captura las llamadas a la API y eventos relacionados efectuados por su AWS cuenta oen su nombre, y entrega los registros al Amazon S3 bucket que se haya especificado. También puedenidentificar qué usuarios y cuentas llamaron a AWS, la dirección IP de origen desde la que se realizaronlas llamadas y el momento en que se efectuaron las llamadas. Para obtener más información, consulteRegistro de llamadas a la API Amazon WorkMail con AWS CloudTrail (p. 31).
Temas• Monitorización Amazon WorkMail con Amazon CloudWatch (p. 23)
Version 1.022
Amazon WorkMail Guía del administradorMonitorización con CloudWatch
• Registro de llamadas a la API Amazon WorkMail con AWS CloudTrail (p. 31)
Monitorización Amazon WorkMail con AmazonCloudWatchPuede monitorizar Amazon WorkMail mediante CloudWatch, que recopila y procesa los datos sin formatoen métricas legibles y casi en tiempo real. Estas estadísticas se mantienen durante 15 meses, deforma que pueda obtener acceso a información histórica y disponer de una mejor perspectiva sobre eldesempeño de su aplicación web o servicio. También puede establecer alarmas que vigilen determinadosumbrales y enviar notificaciones o realizar acciones cuando se cumplan dichos umbrales. Para obtenermás información, consulte Guía del usuario de Amazon CloudWatch.
CloudWatch Métricas para Amazon WorkMailAmazon WorkMail envía la siguiente información sobre métricas y dimensiones a CloudWatch.
El espacio de nombres de AWS/WorkMail incluye las siguientes métricas.
Métrica Descripción
OrganizationEmailReceived El número de mensajes de correo electrónicorecibidos por su Amazon WorkMail organización.Si 1 mensaje de correo electrónico es dirigidoa 10 destinatarios en su organización, elOrganizationEmailReceived recuento es 1.
Unidades: recuento
MailboxEmailDelivered El número de mensajes de correo electrónico quese entregan a buzones de correo individualesen su Amazon WorkMail organización. Si 1correo electrónico se entregó correctamentea 10 destinatarios de su organización, elMailboxEmailDelivered recuento es 10.
Unidades: recuento
IncomingEmailBounced El número de correos electrónicos entrantes conrebotes debido a buzones de correo completo oinexistente buzones de correo. Esta métrica secuenta para cada destinatario. Por ejemplo, si1 correo electrónico se envía a 10 destinatariosde su organización, y 2 de los destinatariostienen buzones de correo completo lo quese traduce en una respuesta de rebote, elIncomingEmailBounced recuento es 2.
Unidades: recuento
OutgoingEmailBounced El número de correos electrónicos salientesque no se pudieron entregar, cuenta paracada destinatario. Por ejemplo, si se envía1 correo electrónico a 10 destinatarios y 2correos electrónicos no se pudieron entregar, elOutgoingEmailBounced recuento es 2.
Version 1.023
Amazon WorkMail Guía del administradorMonitorización con CloudWatch
Métrica DescripciónUnidades: recuento
OutgoingEmailSent El número de mensajes de correo electrónicoenviado correctamente de su Amazon WorkMailorganización. Esta métrica se cuenta para cadadestinatario de un correo electrónico enviadocorrectamente. Por ejemplo, si se envía 1correo electrónico a 10 destinatarios, y el correoelectrónico se ha enviado correctamente a 8 de losdestinatarios, el OutgoingEmailSent recuentoes 8.
Unidades: recuento
CloudWatch Los registros de los eventos para Amazon WorkMailAl activar el registro de eventos de correo electrónico para su organización de Amazon WorkMail, AmazonWorkMail registra los eventos de correo electrónico con CloudWatch. Para obtener más información acercade cómo activar el registro de eventos de correo electrónico, consulte Mensajes de seguimiento (p. 67).
En la siguientes tablas se describen los eventos que Amazon WorkMail registre con CloudWatch, cuandolos eventos se transmiten y qué contienen los campos del evento.
ORGANIZATION_EMAIL_RECEIVED
Este evento se registra cuando su Amazon WorkMail organización recibe un mensaje de correoelectrónico.
Campo Descripción
recipients Los destinatarios del mensaje.
remitente La dirección de correo electrónico del usuarioque envió el mensaje de correo electrónico ennombre de otro usuario. Este campo se estableceúnicamente cuando un mensaje de correoelectrónico se envía en nombre de otro usuario.
desde La dirección From (De), que suele ser la direcciónde correo electrónico del usuario que envió elmensaje. Si el usuario envió el mensaje como otrousuario o en nombre de otro usuario, el campodevuelve la dirección de correo electrónico delusuario en cuyo nombre se ha enviado el correoelectrónico, no la dirección de correo electrónicodel remitente real.
subject El mensaje de correo electrónico.
messageId El ID de mensaje de SMTP
spamVerdict Indica si el mensaje está marcada como spampor Amazon SES. Para obtener más información,consulte Contenido de notificaciones pararecepción de Amazon SES correo electrónico en
Version 1.024
Amazon WorkMail Guía del administradorMonitorización con CloudWatch
Campo Descripciónla Guía para desarrolladores de Amazon SimpleEmail Service.
dkimVerdict Objeto que indica si se ha superado lacomprobación de Correo identificado con clavesde dominio (DKIM). Para obtener más información,consulte Contenido de notificaciones para AmazonSES recepción de correos electrónicos en la Guíapara desarrolladores de Amazon Simple EmailService.
dmarcVerdict Objeto que indica si se ha superado lacomprobación Domain-based MessageAuthentication, Reporting & Conformance(DMARC). Para obtener más información, consulteContenido de notificaciones para Amazon SESrecepción de correos electrónicos en la Guía paradesarrolladores de Amazon Simple Email Service.
dmarcPolicy Aparece solo cuando el campo dmarcVerdictcontiene «FAIL». Indica la acción que se deberealizar en el correo electrónico cuando se produceun error en la comprobación DMARC (NONE,QUARANTINE, or REJECT). Esto lo establece elpropietario del dominio de correo electrónico deenvío.
spfVerdict Objeto que indica si se ha superado lacomprobación de Sender Policy Framework(SPF). Para obtener más información, consulteContenido de notificaciones para Amazon SESrecepción de correos electrónicos en la Guía paradesarrolladores de Amazon Simple Email Service.
messageTimestamp Indica cuándo se recibe el mensaje.
MAILBOX_EMAIL_DELIVERED
Este evento se registra cuando un mensaje se envía a un buzón de correo de su organización.Esto se registra una vez por cada buzón de correo al que un mensaje se envía, por lo que un únicoORGANIZATION_EMAIL_RECEIVED evento puede dar lugar a varios MAILBOX_EMAIL_DELIVEREDeventos.
Campo Descripción
destinatario El buzón de correo al que el mensaje se envía.
carpeta La carpeta de buzón de correo en el que elmensaje se coloca.
RULE_APPLIED
Este evento se registra cuando un mensaje entrante o saliente activa una regla del flujo de correoelectrónico.
Version 1.025
Amazon WorkMail Guía del administradorMonitorización con CloudWatch
Campo Descripción
ruleName El nombre de la regla.
ruleType El tipo de regla aplicada (INBOUND_RULE,OUTBOUND_RULE, MAILBOX_RULE). Las reglasde entrada y de salida se aplican a su AmazonWorkMail organización. Las reglas de buzón decorreo se aplican únicamente a buzones de correoespecificados. Para obtener más información,consulte Administración de flujos de correoelectrónico (p. 57).
ruleActions Las acciones realizadas en función de la regla.Diferentes destinatarios del mensaje podríantener acciones diferentes, como, por ejemplo, uncorreo electrónico rebotado o un correo electrónicoentregado correctamente.
targetFolder Carpeta de destino prevista para unaMAILBOX_RULE Move o Copy.
targetRecipient Destinatario de una MAILBOX_RULE Forward oRedirect.
JOURNALING_INITIATED
Este evento se registra cuando Amazon WorkMail envía un correo electrónico a la dirección especificadapor el registro del administrador de su organización. Esto solo es transmitido si se ha configurado elregistro de su organización. Para obtener más información, consulte Uso del registro en diario del correoelectrónico con Amazon WorkMail (p. 105).
Campo Descripción
journalingAddress Dirección de correo electrónico a la que se envía elmensaje de registro.
INCOMING_EMAIL_BOUNCED
Este evento se registra cuando no se puede entregar un mensaje entrante a su destinatario. Los correoselectrónicos pueden rebotar por diversas razones, como, por ejemplo, que el buzón de destino no existao esté completo. Esto se registra una vez por cada destinatario que ha dado lugar a un correo electrónicorebotado. Por ejemplo, si un mensaje entrante se dirige a tres destinatarios y dos de ellos tienen buzonesde correo completos, se registran dos INCOMING_EMAIL_BOUNCED eventos.
Campo Descripción
bouncedRecipient El destinatario del Amazon WorkMail mensajerebotado.
OUTGOING_EMAIL_SUBMITTED
Este evento se registra cuando un usuario de su organización envía un mensaje de correo electrónico.Esto se registra antes de que salga el mensaje Amazon WorkMail, por lo que este evento no indica si elcorreo electrónico se entregó correctamente.
Version 1.026
Amazon WorkMail Guía del administradorMonitorización con CloudWatch
Campo Descripción
recipients Los destinatarios del mensaje tal como seespecifica en el remitente. Incluye todos losdestinatarios en Para, CC y BCC.
remitente La dirección de correo electrónico del usuarioque envió el mensaje de correo electrónico ennombre de otro usuario. Este campo se estableceúnicamente cuando un mensaje de correoelectrónico se envía en nombre de otro usuario.
desde La dirección From (De), que suele ser la direcciónde correo electrónico del usuario que envió elmensaje. Si el usuario envió el mensaje como otrousuario o en nombre de otro usuario, el campodevuelve la dirección de correo electrónico delusuario en cuyo nombre se ha enviado el correoelectrónico, no la dirección de correo electrónicodel remitente real.
subject El mensaje de correo electrónico.
OUTGOING_EMAIL_SENT
Este evento se registra cuando un correo electrónico saliente se ha entregado correctamentea su destinatario. Esto se registra una vez por cada destinatario correcto, por lo que un soloOUTGOING_EMAIL_SUBMITTED puede dar lugar a varias OUTGOING_EMAIL_SENT entradas.
Campo Descripción
destinatario El destinatario del correo electrónico que se haenviado correctamente.
remitente La dirección de correo electrónico del usuarioque envió el mensaje de correo electrónico ennombre de otro usuario. Este campo se estableceúnicamente cuando un mensaje de correoelectrónico se envía en nombre de otro usuario.
desde La dirección From (De), que suele ser la direcciónde correo electrónico del usuario que envió elmensaje. Si el usuario envió el mensaje como otrousuario o en nombre de otro usuario, el campodevuelve la dirección de correo electrónico delusuario en cuyo nombre se ha enviado el correoelectrónico, no la dirección de correo electrónicodel remitente real.
messageId El ID de mensaje de SMTP
OUTGOING_EMAIL_BOUNCED
Este evento se registra cuando un mensaje saliente no se puede entregar a su destinatario. Los correoselectrónicos pueden rebotar por diversas razones, como, por ejemplo, que el buzón de destino no existao esté completo. Esto se registra una vez por cada destinatario que ha dado lugar a un correo electrónico
Version 1.027
Amazon WorkMail Guía del administradorMonitorización con CloudWatch
rebotado. Por ejemplo, si un mensaje saliente se dirige a tres destinatarios y dos de ellos tienen buzonesde correo completos, se registran dos OUTGOING_EMAIL_BOUNCED eventos.
Campo Descripción
bouncedRecipient El destinatario por el cual el servidor de correo dedestino ha rebotado el mensaje.
DMARC_POLICY_APPLIED
Este evento se registra cuando se aplica una política de DMARC a un correo electrónico enviado a suorganización.
Campo Descripción
desde La dirección From (De), que suele ser la direcciónde correo electrónico del usuario que envió elmensaje. Si el usuario envió el mensaje como otrousuario o en nombre de otro usuario, el campodevuelve la dirección de correo electrónico delusuario en cuyo nombre se ha enviado el correoelectrónico, no la dirección de correo electrónicodel remitente real.
recipients Los destinatarios del mensaje.
política La política de DMARC aplicada, que indicala acción que se debe realizar en el correoelectrónico cuando se produce un error en lacomprobación DMARC (NONE, QUARANTINE oREJECT). Es el mismo que el campo dmarcPolicydel evento ORGANIZATION_EMAIL_RECEIVED.
Uso de CloudWatch Insights con Amazon WorkMailSi ha habilitado el registro de eventos de correo electrónico en la consola de Amazon WorkMail, puedeutilizar Amazon CloudWatch Logs Insights para consultar la información de sus registros de eventos. Paraobtener más información acerca de cómo activar el registro de eventos de correo electrónico, consulteMensajes de seguimiento (p. 67). Para obtener más información acerca de CloudWatch Logs Insights,consulte Analizar datos de registro con CloudWatch Logs Insights en la Amazon CloudWatch Logs UserGuide.
Los siguientes ejemplos muestran cómo CloudWatch los registros de consultas para eventos comunes decorreo electrónico. Usted ejecuta estas consultas en la CloudWatch consola. Para obtener instruccionessobre cómo ejecutarlas, consulte Tutorial: Ejecutar y Modificar una Consulta de muestra en la AmazonCloudWatch Logs User Guide.
Example Ejemplo: Descubra por qué usuario B no ha recibido un mensaje de correo electrónicoenviado por usuario A.
El siguiente ejemplo de código muestra cómo una consulta en un mensaje de correo electrónico enviadopor un usuario saliente al usuario B, ordenados por marca de tiempo.
fields @timestamp, traceId
Version 1.028
Amazon WorkMail Guía del administradorMonitorización con CloudWatch
| sort @timestamp asc| filter (event.from like /(?i)[email protected]/and event.eventName = "OUTGOING_EMAIL_SUBMITTED"and event.recipients.0 like /(?i)[email protected]/)
Esto devuelve el mensaje enviado y el ID de rastro. Utilice el ID de rastro en el siguiente ejemplo de códigopara consultar los registros de eventos del el mensaje enviado.
fields @timestamp, event.eventName| sort @timestamp asc| filter traceId = "$TRACEID"
Devuelve el ID de mensaje de correo electrónico y los eventos de correo electrónico.OUTGOING_EMAIL_SENT indica que el correo electrónico se ha enviado. OUTGOING_EMAIL_BOUNCEDindica que el correo electrónico ha rebotado. Para ver si se ha recibido el correo electrónico, consultemediante el ID de mensaje en el siguiente ejemplo de código.
fields @timestamp, event.eventName| sort @timestamp asc| filter event.messageId like "$MESSAGEID"
Esto también debe devolver el mensaje recibido, ya que tiene el mismo ID de mensaje. Utilice el ID derastro en el siguiente ejemplo de código para consultar la entrega.
fields @timestamp, event.eventName| sort @timestamp asc| filter traceId = "$TRACEID"
Devuelve la acción de entrega y las acciones de las reglas aplicables.
Example Ejemplo: Consulte todo el correo recibido de un usuario o dominio
El siguiente ejemplo de código muestra cómo consultar todo el correo recibido de un usuario especificado.
fields @timestamp, event.eventName| sort @timestamp asc| filter (event.from like /(?i)[email protected]/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")
El siguiente ejemplo de código muestra cómo consultar todo el correo recibido de un dominio especificado.
fields @timestamp, event.eventName| sort @timestamp asc| filter (event.from like "example.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")
Example Ejemplo: Consulte quién envió correos electrónicos rebotados
El siguiente ejemplo de código muestra cómo realizar consultas de correos electrónicos salientes que hanrebotado, y explica también las razones de rebote.
fields @timestamp, event.destination, event.reason| sort @timestamp desc| filter event.eventName = "OUTGOING_EMAIL_BOUNCED"
Version 1.029
Amazon WorkMail Guía del administradorMonitorización con CloudWatch
El siguiente ejemplo de código muestra cómo realizar consultas de correos electrónicos entrantes que hanrebotado, y también devuelve las direcciones de correo electrónico de los destinatarios que han rebotado ylas razones de rebote.
fields @timestamp, event.bouncedRecipient.emailAddress, event.bouncedRecipient.reason, event.bouncedRecipient.status| sort @timestamp desc| filter event.eventName = "INCOMING_EMAIL_BOUNCED"
Example Ejemplo: Vea qué dominios están enviando spam
El siguiente ejemplo de código muestra cómo consultar los destinatarios de su organización que recibenspam.
stats count(*) as c by event.recipients.0| filter (event.eventName = "ORGANIZATION_EMAIL_RECEIVED" and event.spamVerdict = "FAIL")| sort c desc
El siguiente ejemplo de código muestra cómo consultar quién es el remitente de los mensajes de correoelectrónico de spam.
fields @timestamp, event.recipients.0, event.sender, event.from| sort @timestamp asc| filter (event.spamVerdict = "FAIL")
Example Ejemplo: Consulte por qué un correo electrónico se envió a una carpeta de spam deldestinatario
El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico identificadoscomo spam, filtrados por asunto.
fields @timestamp, event.recipients.0, event.spamVerdict, event.spfVerdict, event.dkimVerdict, event.dmarcVerdict| sort @timestamp asc| filter event.subject like /(?i)$SUBJECT/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED"
También puede consultar mediante el ID de rastro de correo electrónico para ver todos los eventos delcorreo electrónico.
Example Ejemplo: Consulte correos electrónicos que coinciden con las reglas del flujo de correoelectrónico
El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico que coincidencon las reglas del flujo de correo electrónico saliente.
fields @timestamp, event.ruleName, event.ruleActions.0.action| sort @timestamp desc| filter event.ruleType = "OUTBOUND_RULE"
El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico que coincidencon las reglas del flujo de correo electrónico entrante.
fields @timestamp, event.ruleName, event.ruleActions.0.action, event.ruleActions.0.recipients.0| sort @timestamp desc
Version 1.030
Amazon WorkMail Guía del administradorRegistro de llamadas a la API Amazon
WorkMail con AWS CloudTrail
| filter event.ruleType = "INBOUND_RULE"
Example Ejemplo: Consulte la cantidad de correos electrónicos que han sido recibidos o enviadospor su organización
El siguiente ejemplo de código muestra cómo consultar el número de mensajes de correo electrónicorecibido por cada destinatario de su organización.
stats count(*) as c by event.recipient| filter event.eventName = "MAILBOX_EMAIL_DELIVERED"| sort c desc
El siguiente ejemplo de código muestra cómo consultar el número de mensajes de correo electrónicoenviados por cada remitente en su organización.
stats count(*) as c by event.from| filter event.eventName = "OUTGOING_EMAIL_SUBMITTED"| sort c desc
Registro de llamadas a la API Amazon WorkMail conAWS CloudTrailAmazon WorkMail está integrado con AWS CloudTrail, un servicio que proporciona un registro de lasacciones realizadas por un usuario, un rol o un AWS servicio en Amazon WorkMail. CloudTrail capturatodas las llamadas a la API Amazon WorkMail como eventos, incluidas las llamadas procedentes de laconsola Amazon WorkMail y de las llamadas del código a las Amazon WorkMail API. Si crea un registrode seguimiento, puede habilitar la entrega continua de eventos a un CloudTrail bucket de Amazon S3,incluidos los eventos de Amazon WorkMail. Si no configura un registro de seguimiento, puede ver loseventos más recientes en la consola de CloudTrail en el Event history (Historial de eventos). Mediante lainformación que recopila CloudTrail, se puede determinar la solicitud que se envió a Amazon WorkMail,la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo la realizó y los detallesadicionales.
Para obtener más información sobre CloudTrail, consulte la AWS CloudTrail User Guide.
Información de Amazon WorkMail en CloudTrailCloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad en AmazonWorkMail, dicha actividad se registra en un evento de CloudTrail junto con los eventos de los demásservicios de AWS en el Event history (Historial de eventos). Puede ver, buscar y descargar los últimoseventos de la cuenta de AWS. Para obtener más información, consulte Visualización de eventos con elhistorial de eventos de CloudTrail.
Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de AmazonWorkMail, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviararchivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registrode seguimiento en la consola, este se aplica a todas las regiones. El registro de seguimiento registra loseventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de AmazonS3 especificado. También puede configurar otros servicios de AWS para analizar y actuar en función de losdatos de eventos recopilados en los registros de CloudTrail. Para obtener más información, consulte:
• Introducción a la creación de registros de seguimiento• Servicios e integraciones compatibles con CloudTrail• Configuración de notificaciones de Amazon SNS para CloudTrail
Version 1.031
Amazon WorkMail Guía del administradorRegistro de llamadas a la API Amazon
WorkMail con AWS CloudTrail
• Recibir archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro deCloudTrail de varias cuentas
Todas las acciones de Amazon WorkMail las registra CloudTrail y se documentan en la Referenciade la API de Amazon WorkMail. Por ejemplo, las llamadas a las operaciones de API de CreateUser,CreateAlias y GetRawMessageContent generan entradas en los archivos de registro de CloudTrail.
Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La informaciónde identidad del usuario le ayuda a determinar lo siguiente:
• Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.• Si la solicitud la realizó otro servicio de AWS.
Para obtener más información, consulte el elemento userIdentity de CloudTrail.
Descripción de las entradas de archivos de registro de AmazonWorkMailUn registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienenuna o varias entradas de registro. Un evento representa una única solicitud de cualquier origen e incluyeinformación sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,etcétera. Los archivos de registro de CloudTrail no son un rastro de la pila ordenada de las llamadas a laAPI públicas, por lo que no aparecen en ningún orden específico.
En el ejemplo siguiente se muestra una entrada de registro de CloudTrail que ilustra la acciónCreateUser de la API de Amazon WorkMail.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:user/WMSDK", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE" "userName": "WMSDK" }, "eventTime": "2017-12-12T17:49:59Z", "eventSource": "workmail.amazonaws.com", "eventName": "CreateUser", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.12", "userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151", "requestParameters": { "name": "janedoe", "displayName": "Jane Doe", "organizationId": "m-5b1c980000EXAMPLE" }, "responseElements": { "userId": "a3a9176d-EXAMPLE" }, "requestID": "dec81e4a-EXAMPLE", "eventID": "9f2f09c5-EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"
Version 1.032
Amazon WorkMail Guía del administradorRegistro de llamadas a la API Amazon
WorkMail con AWS CloudTrail
}
En el ejemplo siguiente se muestra una entrada de registro de CloudTrail que ilustra la acciónCreateAlias de la API de Amazon WorkMail.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:user/WMSDK", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "WMSDK" }, "eventTime": "2017-12-12T18:13:44Z", "eventSource": "workmail.amazonaws.com", "eventName": "CreateAlias", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.12", "userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151", "requestParameters": { "alias": "[email protected]", "organizationId": "m-5b1c980000EXAMPLE" "entityId": "a3a9176d-EXAMPLE" }, "responseElements": null, "requestID": "dec81e4a-EXAMPLE", "eventID": "9f2f09c5-EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}
En el ejemplo siguiente se muestra una entrada de registro de CloudTrail que ilustra la acciónGetRawMessageContent de la API de flujo de mensajes de Amazon WorkMail.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:user/WMSDK", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "WMSDK" }, "eventTime": "2017-12-12T18:13:44Z", "eventSource": "workmailMessageFlow.amazonaws.com", "eventName": "GetRawMessageContent", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.12", "userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151", "requestParameters": { "messageId": "123A4A5A-67B8-90C1-D23E-45FG67H890J1" }, "responseElements": null, "requestID": "dec81e4a-EXAMPLE", "eventID": "9f2f09c5-EXAMPLE", "readOnly": true, "eventType": "AwsApiCall", "recipientAccountId": "111111111111"
Version 1.033
Amazon WorkMail Guía del administradorValidación de la conformidad
}
Validación de la conformidad en Amazon WorkMailAuditores externos evalúan la seguridad y la conformidad de Amazon WorkMail como parte de variosprogramas de conformidad de AWS. Estos incluyen SOC, ISO y C5.
Para obtener una lista de los servicios de AWS incluidos en el ámbito de programas de conformidadespecíficos, consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtenerinformación general, consulte Programas de conformidad de AWS.
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte la sección Descarga de informes en AWS Artifact.
Su responsabilidad de cumplimiento al usar Amazon WorkMail viene determinada por la confidencialidadde sus datos, los objetivos de cumplimiento de su compañía y las leyes y normativas aplicables. AWSofrece los siguientes recursos para ayudarle con el cumplimiento:
• Guías de inicio rápido de seguridad y conformidad: estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.
• Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector yubicación.
• AWS Config – este servicio de AWS evalúa en qué medida las configuraciones de los recursos cumplenlas prácticas internas, las directrices del sector y las normativas.
• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas del sector de seguridad y las prácticasrecomendadas.
Resiliencia en Amazon WorkMailLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Laszonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que lasinfraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.
Además de la infraestructura global de AWS, Amazon WorkMail ofrece varias características que le ayudancon sus necesidades de resiliencia y copia de seguridad de los datos.
Seguridad de la infraestructura en AmazonWorkMail
Al tratarse de un servicio administrado, Amazon WorkMail está protegido por los procedimientos deseguridad de red globales de AWS que se describen en el documento técnico Amazon Web Services:Información general sobre procesos de seguridad.
Version 1.034
Amazon WorkMail Guía del administradorSeguridad de la infraestructura
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Amazon WorkMail a través dela red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles conconjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 yposteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Version 1.035
Amazon WorkMail Guía del administradorIntroducción a Amazon WorkMail
Introducción a Amazon WorkMailCuando se cumplan todos los Requisitos previos (p. 4), estará listo para comenzar a utilizar AmazonWorkMail. Para obtener más información, consulte Introducción a Amazon WorkMail (p. 36).
También puede obtener más información sobre la migración de buzones de correo a Amazon WorkMail,sobre la interoperabilidad con Microsoft Exchange y sobre los las cuotas de Amazon WorkMail en lassiguientes secciones.
Temas• Introducción a Amazon WorkMail (p. 36)• Migración a Amazon WorkMail (p. 38)• Interoperabilidad entre Amazon WorkMail y Microsoft Exchange (p. 39)• Cuotas de Amazon WorkMail (p. 46)
Introducción a Amazon WorkMailTanto si es un usuario nuevo de Amazon WorkMail como si es un usuario existente de Amazon WorkDocso Amazon WorkSpaces, puede empezar a usar Amazon WorkMail realizando los pasos siguientes.
Note
Complete los Requisitos previos (p. 4) antes de comenzar a utilizar el servicio.
Temas• Paso 1: Iniciar una sesión en la consola de Amazon WorkMail (p. 36)• Paso 2: Configurar el sitio de Amazon WorkMail (p. 36)• Paso 3: Configurar el acceso de los usuarios de Amazon WorkMail (p. 37)• Más temas de introducción (p. 37)
Paso 1: Iniciar una sesión en la consola de AmazonWorkMailTiene que iniciar sesión en consola de Amazon WorkMail antes de poder añadir usuarios y administrarcuentas y buzones de correo.
Para iniciar sesión en la consola de Amazon WorkMail
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon WorkMail enhttps://console.aws.amazon.com/iam/.
2. Si fuera necesario, vaya a la barra de navegación y seleccione la región de AWS adecuada a susnecesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
Paso 2: Configurar el sitio de Amazon WorkMail1. Después de iniciar sesión en la consola de Amazon WorkMail, configure la organización. Elija una de las
siguientes opciones para configurar la organización:
Version 1.036
Amazon WorkMail Guía del administradorPaso 3: Configurar el acceso de
los usuarios de Amazon WorkMail
• Configuración rápida: creación de un directorio nuevo (p. 50): configura un directorio nuevo parausted.
• Standard Setup (Configuración estándar): integración en un directorio existente (p. 51): se integracon su directorio existente.
2. A continuación, añada un dominio. Le recomendamos que registre un dominio dedicado para suorganización de Amazon WorkMail. Para obtener más información sobre cómo añadir un dominio,consulte Adición de un dominio (p. 72).
Note
Puede comenzar a utilizar su organización de Amazon WorkMail con el dominio deprueba proporcionado creado durante la instalación. El formato del dominio de prueba esejemplo.awsapps.com. Puede utilizar el dominio de correo de prueba siempre y cuandomantenga usuarios habilitados en su organización de Amazon WorkMail. Sin embargo, eldominio de prueba no se puede utilizar fuera de Amazon WorkMail. Además, es posible queotros clientes puedan registrar y usar el dominio de prueba si su organización de AmazonWorkMail no mantiene al menos un usuario habilitado.
3. Cree usuarios nuevos o habilite los usuarios existentes en su directorio para Amazon WorkMail. Paraobtener más información, consulte Creación de usuarios (p. 84).
4. (Opcional) Si dispone de buzones de correo de Microsoft Exchange, mígrelos a Amazon WorkMail. Paraobtener más información, consulte Migración a Amazon WorkMail (p. 38).
Una vez que haya terminado de configurar el sitio de Amazon WorkMail, puede tener acceso a AmazonWorkMail utilizando la URL de la aplicación web.
Para localizar la URL de la aplicación web de Amazon WorkMail
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En el panel de navegación, elija Organization settings.
La URL de la aplicación web se encuentra en la pestaña General settings (Configuración general) y tiene elsiguiente aspecto: https://alias.awsapps.com/mail.
Paso 3: Configurar el acceso de los usuarios deAmazon WorkMailElija una de las opciones siguientes para configurar el acceso de los usuarios de Amazon WorkMail.
• Configurar el acceso de los usuarios desde un cliente de escritorio existente con el cliente de MicrosoftOutlook. Para obtener más información, consulte Conectar Microsoft Outlook a su cuenta de AmazonWorkMail.
• Configurar el acceso de los usuarios desde un dispositivo móvil, como un Kindle, Android, iPad, iPhone oWindows Phone. Para obtener más información, consulte Configuración para utilizar un dispositivo móvil.
• Configurar el acceso de los usuarios con cualquier software de cliente compatible con IMAP. Paraobtener más información, consulte el tema sobre la conexión de clientes IMAP a su cuenta de AmazonWorkMail.
Más temas de introducción• Migración a Amazon WorkMail (p. 38)• Interoperabilidad entre Amazon WorkMail y Microsoft Exchange (p. 39)
Version 1.037
Amazon WorkMail Guía del administradorMigración a Amazon WorkMail
• Cuotas de Amazon WorkMail (p. 46)
Migración a Amazon WorkMailPuede migrar a Amazon WorkMail desde Microsoft Exchange, Microsoft Office 365, G Suite Basic (antesGoogle Apps for Work) y muchas otras plataformas en colaboración con uno de nuestros socios. Paraobtener más información acerca de nuestros socios, consulte Características de Amazon WorkMail.
Temas• Paso 1: Crear o habilitar usuarios en Amazon WorkMail (p. 38)• Paso 2: Migrar a Amazon WorkMail (p. 38)• Paso 3: Completar la migración a Amazon WorkMail (p. 38)
Paso 1: Crear o habilitar usuarios en AmazonWorkMailAntes de migrar los usuarios, tiene que añadir usuarios a Amazon WorkMail para aprovisionar el buzón decorreo. Para obtener más información, consulte Creación de usuarios (p. 84).
Paso 2: Migrar a Amazon WorkMailPuede colaborar con cualquiera de nuestros socios de migración de AWS para migrar a Amazon WorkMail.Para obtener más información acerca de estos proveedores, consulte Características de AmazonWorkMail.
Para migrar los buzones, cree un usuario dedicado de Amazon WorkMail que actúe como administrador dela migración. El procedimiento siguiente concede permiso al usuario para acceder a todos los buzones dela organización.
Para crear un administrador de migración
1. Aplique alguna de las siguientes acciones:
• En la consola de Amazon WorkMail, cree un nuevo usuario para que actúe como administrador dela migración. Para obtener más información, consulte Creación de usuarios (p. 84).
• En Active Directory, cree un nuevo usuario para que actúe como administrador de la migración yhabilítelo para Amazon WorkMail. Para obtener más información, consulte Habilitación de usuariosexistentes (p. 85).
2. En la consola de Amazon WorkMail, en Organizaciones, elija el nombre de su organización.3. Elija Organization settings (Configuración de la organización), Migration (Migración), Edit (Editar).4. En Mailbox permissions (Permisos de buzón), seleccione On (Activado).5. Seleccione Select user (Seleccionar usuario).6. Busque y seleccione el usuario que desea que actúe como administrador de la migración y elija Select
user (Seleccionar usuario).7. Elija Save (Guardar).
Paso 3: Completar la migración a Amazon WorkMailDespués de haber migrado las cuentas de correo electrónico a Amazon WorkMail, verifique sus registrosde DNS y configure los clientes de escritorio y móviles.
Version 1.038
Amazon WorkMail Guía del administradorInteroperabilidad entre AmazonWorkMail y Microsoft Exchange
Para completar la migración a Amazon WorkMail
1. Verifique que todos los registros de DNS están actualizados y apuntan a Amazon WorkMail. Paraobtener más información sobre los registros de DNS, consulte Adición de un dominio (p. 72).
Note
El proceso de actualización del registro DNS puede tardar varias horas. Si aparece algúnelemento nuevo en el buzón de correo de origen mientras se cambian los registros MX,ejecute la herramienta de migración de nuevo para migrar los elementos nuevos después deque se actualicen los registros de DNS.
2. Para obtener más información sobre la configuración de los clientes de escritorio y móviles parautilizar Amazon WorkMail, consulte Conectar Microsoft Outlook a su cuenta de Amazon WorkMail en laAmazon WorkMail User Guide.
Interoperabilidad entre Amazon WorkMail yMicrosoft Exchange
La interoperabilidad entre Amazon WorkMail y Microsoft Exchange Server le permite minimizar lasinterrupciones para los usuarios durante la migración de buzones de correo a Amazon WorkMail o utilizarAmazon WorkMail para un subconjunto de buzones de correo corporativos.
Esta interoperabilidad le permite utilizar el mismo dominio corporativo para los buzones de correo de losdos entornos. De esta forma, los usuarios pueden programar reuniones y compartir información de tiempolibre u ocupado del calendario entre los dos entornos.
Requisitos previosAntes de habilitar la interoperabilidad con Microsoft Exchange, haga lo siguiente:
• Asegúrese de que ha habilitado al menos un usuario para Amazon WorkMail con objeto de poderconfigurar los parámetros de disponibilidad para Microsoft Exchange. Para habilitar un usuario, siga lospasos en Habilitación del direccionamiento de correo electrónico para un usuario (p. 41).
• Configure un conector de Active Directory (AD): la configuración de un AD Connector con el directoriolocal permite a los usuarios continuar usando sus credenciales corporativas actuales. Para obtener másinformación, consulte los temas relacionados con la configuración de AD Connector y con la integraciónde Amazon WorkMail con el directorio local.
• Configure la organización de Amazon WorkMail: cree una organización de Amazon WorkMail que utiliceel AD Connector que ha configurado.
• Añada sus dominios corporativos a su organización de Amazon WorkMail y verifíquelos en la consolade Amazon WorkMail. De lo contrario, los correos electrónicos enviados a este alias rebotarán. Paraobtener más información, consulte Trabajo con dominios.
• Migre los buzones de correo: permita a los usuarios aprovisionar y migrar buzones de correo de suentorno local a Amazon WorkMail. Para obtener más información, consulte Habilitación de usuariosexistentes y Migración a Amazon WorkMail.
Note
No actualice los registros de DNS de modo que apunten a Amazon WorkMail. De este modo, seasegura de que Microsoft Exchange sigue siendo el servidor principal para los correos entrantessiempre que desee mantener la interoperabilidad entre los dos entornos.
• Asegúrese de que los nombres principales de usuario (UPN) en Active Directory coinciden con lasdirecciones SMTP principales.
Version 1.039
Amazon WorkMail Guía del administradorAdición de dominios y habilitación de buzones de correo
Amazon WorkMail realiza solicitudes HTTPS a la URL de EWS en Microsoft Exchange para obtenerinformación sobre el tiempo libre u ocupado del calendario.
• Asegúrese de que la configuración del firewall relevante permite acceso desde Internet. El puertopredeterminado para las solicitudes HTTPS es el puerto 443.
• Amazon WorkMail necesita un certificado firmado por una entidad de certificación (CA) válida que estédisponible en su entorno de Microsoft Exchange para poder hacer solicitudes HTTPS correctas a laURL de EWS en Microsoft Exchange. Para obtener más información, consulte V-Exchange en MicrosoftTechNet. Para obtener más información sobre la importación de certificados, consulte ImportingCertificates en Microsoft TechNet.
• Tiene que habilitar la Basic Authentication (Autenticación básica) para EWS en Microsoft Exchange.Para obtener más información, consulte Virtual Directories: Exchange 2013 en el blog Microsoft MVPAward Program.
Adición de dominios y habilitación de buzones decorreoAñada sus dominios corporativos a Amazon WorkMail para poder usarlos en las direcciones decorreo electrónico. Asegúrese de que los dominios añadidos a Amazon WorkMail se han verificado; acontinuación, habilite usuarios y grupos para aprovisionar los buzones de correo en Amazon WorkMail.No es posible habilitar recursos en Amazon WorkMail en el modo de interoperabilidad, y deben recrearseen Amazon WorkMail tras desactivar el modo de interoperabilidad. Sin embargo, puede utilizarlos paraprogramar reuniones mientras está en el modo de interoperabilidad. Los recursos de Microsoft Exchangese muestran siempre en la pestaña Users (Usuarios) de Amazon WorkMail.
• Para obtener más información, consulte Adición de un dominio, Habilitación de usuarios existentes yActivación de un grupo existente.
Note
Para garantizar la interoperabilidad con Microsoft Exchange, no actualice los registros DNSde modo que apunten a registros de Amazon WorkMail. Microsoft Exchange sigue siendo elservidor principal para los correos electrónicos entrantes siempre que usted desee mantener lainteroperabilidad entre los dos entornos.
Habilitación de la interoperabilidadSi no ha creado una organización de Amazon WorkMail, siga los pasos para la integración de AmazonWorkMail con un directorio local (configuración personalizada) y elija Enable interoperability (Habilitar lainteroperabilidad) al crear su organización de Amazon WorkMail.
Si ya ha creado una organización de Amazon WorkMail con un AD Connector vinculado a Active Directoryy también tiene Microsoft Exchange, póngase en contacto con AWS Support para obtener asistencia alhabilitar la interoperabilidad de Microsoft Exchange para una organización de Amazon WorkMail existente.
Creación de cuentas de servicio en MicrosoftExchange y en Amazon WorkMailPara tener acceso a la información de tiempo libre u ocupado del calendario, cree una cuenta de servicio,tanto en Microsoft Exchange como en Amazon WorkMail. La cuenta de servicio de Microsoft Exchange escualquier usuario de Microsoft Exchange que tenga acceso a la información de tiempo libre u ocupado delcalendario de los demás usuarios de Exchange. El acceso se otorga de forma predeterminada, por lo queno se necesitan permisos especiales.
Version 1.040
Amazon WorkMail Guía del administradorLimitaciones del modo de interoperabilidad
De igual modo, la cuenta de servicio de Amazon WorkMail es cualquier usuario de Amazon WorkMail quetenga acceso a la información de tiempo libre u ocupado del calendario de los demás usuarios de AmazonWorkMail. Este acceso también se otorga de forma predeterminada.
El uso de una organización de Amazon WorkMail que utiliza un AD Connector integrado con el directoriolocal significa que el usuario de la cuenta de servicio de Amazon WorkMail tiene que crearse en directoriolocal y, a continuación, habilitarse para Amazon WorkMail.
Limitaciones del modo de interoperabilidadCuando su organización se encuentra en el modo de interoperabilidad, la administración de todos losusuarios, grupos y recursos debe realizarse con el Centro de administración de Exchange. Tambiénpueden habilitarse usuarios y grupos para Amazon WorkMail por medio de la Consola de administración deAWS. Para obtener más información, consulte Habilitación de usuarios existentes y Activación de un grupoexistente.
Al habilitar un grupo o un usuario para Amazon WorkMail, no puede editar los alias ni las direcciones decorreo electrónico de esos usuarios y grupos. Estos tienen que configurarse por medio del Centro deadministración de Exchange. Amazon WorkMail sincroniza los cambios en el directorio cada cuatro horas.
No es posible crear ni habilitar recursos en Amazon WorkMail en el modo de interoperabilidad. Sinembargo, todos los recursos de Exchange están disponibles en la libreta de direcciones de AmazonWorkMail y se pueden utilizar para programar reuniones como de costumbre.
Habilitación del direccionamiento de correo electrónicoentre Microsoft Exchange y los usuarios de AmazonWorkMailAl habilitar el direccionamiento de correo electrónico entre Microsoft Exchange Server y Amazon WorkMail,los usuarios que están configurados para Amazon WorkMail pueden seguir utilizando sus direccionesde correo electrónico actuales para enviar y recibir correo electrónico en Amazon WorkMail. Una vezhabilitado el direccionamiento de correo electrónico, Microsoft Exchange Server sigue siendo el servidorSMTP principal para el correo entrante.
Requisitos previos para el direccionamiento de correo electrónico:
• Se ha habilitado el modo de interoperabilidad para su organización. Para obtener más información,consulte Habilitación de la interoperabilidad (p. 40).
• Su dominio se ha añadido y se ha verificado en la consola de Amazon WorkMail.• Su Microsoft Exchange Server puede enviar correos electrónicos a Internet. Puede que tenga que
configurar un conector de envío. Para obtener más información, consulte Crear un conector de envíopara enviar correo a Internet en Microsoft TechNet.
Habilitación del direccionamiento de correo electrónico para unusuarioRecomendamos que, en primer lugar, realice los siguientes pasos para usuarios de prueba antes deaplicar el cambio a su organización.
1. Habilite el usuario que va a migrar a Amazon WorkMail. Para obtener más información, consulteHabilitación de usuarios existentes.
2. En la consola de Amazon WorkMail, asegúrese de que haya al menos dos direcciones de correoelectrónico asociadas al usuario habilitado.
Version 1.041
Amazon WorkMail Guía del administradorHabilitación del direccionamiento de correo electrónico entre
Microsoft Exchange y los usuarios de Amazon WorkMail
• usuaariodeworkmail@nombredelaorganización.awsapps.com (esta dirección se añadeautomáticamente y se puede utilizar para hacer pruebas sin Microsoft Exchange).
• [email protected] (esta dirección se añade automáticamente y es la direcciónprincipal de Microsoft Exchange).
Para obtener más información, consulte Modificación de direcciones de correo electrónico de losusuarios.
3. Asegúrese de migrar todos los datos del buzón de correo de Microsoft al de Amazon WorkMail. Paraobtener más información, consulte Migración a Amazon WorkMail.
4. Cuando se hayan migrado todos los datos, deshabilite el buzón de correo del usuario en MicrosoftExchange y cree un usuario de correo (o un usuario con acceso al correo) que tenga la direcciónSMTP externa apuntando a Amazon WorkMail. Para ello, utilice los siguientes comandos en el shell deadministración de Exchange.
Important
Los siguientes pasos borran el contenido del buzón de correo. Asegúrese de que los datosse han migrado a Amazon WorkMail antes de intentar habilitar el direccionamiento del correoelectrónico. Algunos clientes tienen dificultades al cambiar a Amazon WorkMail cuando seejecuta este comando. Para obtener más información, consulte Configuración del cliente decorreo (p. 43).
$old_mailbox = Get-Mailbox exchangeuser
Disable-Mailbox $old_mailbox
$new_mailuser = Enable-MailUser $old_mailbox.Identity -ExternalEmailAddress [email protected] -PrimarySmtpAddress $old_mailbox.PrimarySmtpAddress
Set-MailUser $new_mailuser -EmailAddresses $old_mailbox.EmailAddresses -HiddenFromAddressListsEnabled $old_mailbox.HiddenFromAddressListsEnabled
En los comandos anteriores, orgname representa el nombre de la organización de Amazon WorkMail.Para obtener más información, consulte Deshabilitar o eliminar un buzón de correo y Enabling MailUsers en Microsoft TechNet.
5. Envíe un correo electrónico de prueba al usuario (en el ejemplo anterior,[email protected]). Si el direccionamiento del correo electrónico se ha habilitadocorrectamente, el usuario tiene que poder iniciar sesión en el buzón de correo de Amazon WorkMail yrecibir el correo electrónico.
Note
Microsoft Exchange sigue siendo el servidor principal para los correos electrónicos entrantessiempre que usted quiera tener interoperabilidad entre los dos entornos. Para garantizar lainteroperabilidad con Microsoft Exchange, no se deben actualizar los registros de DNS de modoque apunten a registros de Amazon WorkMail hasta más adelante.
Tareas posteriores a la configuraciónLos pasos anteriores mueven un buzón de correo de un usuario de Microsoft Exchange Server a AmazonWorkMail, al tiempo que mantienen al usuario en Microsoft Exchange como un contacto. Como el
Version 1.042
Amazon WorkMail Guía del administradorConfiguración de los parámetros dedisponibilidad en Amazon WorkMail
usuario migrado es ahora un usuario de correo externo, Microsoft Exchange Server impone limitacionesadicionales y puede haber otros requisitos de configuración para completar la migración.
• El usuario podría no ser capaz de enviar correos electrónicos a grupos de forma predeterminada. Parahabilitar esta funcionalidad, es necesario añadir el usuario a una lista de remitentes seguros para todoslos grupos. Para obtener más información, consulte Administración de entregas en Microsoft TechNet.
• Además, el usuario podría no ser capaz de reservar recursos. Para habilitar esta funcionalidad, tieneque configurar los ProcessExternalMeetingMessages de todos los recursos a los que el usuarionecesita acceder. Para obtener más información, consulte Set-CalendarProcessing en MicrosoftTechNet.
Configuración del cliente de correoAlgunos clientes de correo tienen dificultades al cambiar a Amazon WorkMail y es necesario que el usuariorealice algunos pasos de configuración adicionales. Diferentes clientes de correo exigen realizar diferentesacciones.
• Microsoft Outlook en Windows: es necesario reiniciar MS Outlook. Al iniciar, tiene que elegir entre seguirusando el buzón de correo anterior o usar un buzón de correo temporal. Elija la opción de buzón decorreo temporal y reconfigure el buzón de correo de Microsoft Exchange desde cero.
• Microsoft Outlook en MacOS: al reiniciar Outlook, verá el siguiente mensaje: Outlook was redirectedto server orgname.awsapps.com. Do you want this server to configure your settings? (Outlook se haredirigido al servidor orgname.awsapps.com. ¿Desea que este servidor configure sus parámetros?)Acepte la sugerencia.
• Aplicación de correo de iOS: la aplicación de correo deja de recibir correos electrónicos y generaun error Cannot get mail (No se puede recibir correo). Reconfigure el buzón de correo de MicrosoftExchange desde cero.
Configuración de los parámetros de disponibilidad enAmazon WorkMailConfigure los parámetros de disponibilidad en Amazon WorkMail y en Microsoft Exchange para permitircompartir la información de tiempo libre u ocupado del calendario entre los dos entornos.
Para configurar los parámetros de disponibilidad en la consola
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En el panel de navegación, elija Organization settings, Interoperability Settings.3. Elija Configure availability settings y proporcione la siguiente información:
• Domain (Dominio): el dominio para el que se configura la interoperabilidad entre Amazon WorkMail yMicrosoft Exchange.
• Exchange Web Services (EWS) URL (URL de Exchange Web Services (EWS)): la URL a la que AmazonWorkMail envía solicitudes HTTPS para tener acceso a información de tiempo libre u ocupado deMicrosoft Exchange. La URL de EWS tiene el siguiente aspecto: https://servername.com/EWS/Exchange.asmx. Puede obtener la URL de EWS de una de estas formas:• Con Microsoft Outlook
1. Inicie sesión en Microsoft Outlook en Windows para el usuario que desee en el entorno Exchange.2. Mantenga pulsada la tecla Ctrl y abra el menú contextual (botón derecho) en el icono de Microsoft
Outlook en la barra de tareas.3. Elija Test E-mail AutoConfiguration.
Version 1.043
Amazon WorkMail Guía del administradorConfiguración de los parámetros de
disponibilidad en Microsoft Exchange
4. Escriba la contraseña y dirección de correo electrónico del usuario de Microsoft Exchange y elijaTest.
5. En la ventana Results, copie el valor de Availability Service URL.• Con PowerShell
•Get-WebServicesVirtualDirectory |Select name, *url* | fl
La URL externa devuelta por el comando anterior es la URL de EWS.• User email address and password (Dirección de correo electrónico y contraseña del usuario): son las
credenciales de la cuenta de servicio de Microsoft Exchange que están cifradas y se almacenan conseguridad en Amazon WorkMail. La dirección de correo electrónico de la cuenta de servicio de MicrosoftExchange debe usar el nombre de dominio completo (FQDN). Para obtener más información, consulteCreación de cuentas de servicio en Microsoft Exchange y en Amazon WorkMail (p. 40).
Si el dominio de Active Directory no es el mismo que el dominio de Microsoft Exchange, use el nombreprincipal de usuario (UPN) de la cuenta de servicio de Microsoft Exchange. Se puede obtener con elsiguiente comando de PowerShell:
Get-ADUser exchange_service_account_username | select UserPrincipalName
En el ejemplo anterior, exchange_service_account_username es el nombre de usuario de lacuenta de servicio de Microsoft Exchange.
Configuración de los parámetros de disponibilidad enMicrosoft ExchangePara redirigir todas las solicitudes de información de tiempo libre u ocupado del calendario a AmazonWorkMail, configure un espacio de direcciones de disponibilidad en Microsoft Exchange.
Utilice el siguiente comando PowerShell:
$credentials = Get-Credential
Cuando se le indique, escriba las credenciales de la cuenta de servicio de Amazon WorkMail. Elnombre de usuario debe escribirse como domain\username, es decir, orgname.awsapps.com\workmail_service_account_username. Aquí, orgname representa el nombre de la organización deAmazon WorkMail. Para obtener más información, consulte Creación de cuentas de servicio en MicrosoftExchange y en Amazon WorkMail (p. 40).
Add-AvailabilityAddressSpace -ForestName orgname.awsapps.com -AccessMethod OrgWideFB -Credentials $credentials
Para obtener más información, consulte Add-AvailabilityAddressSpace en Microsoft TechNet.
Deshabilitar la interoperabilidad y retirar su servidor decorreoUna vez que haya configurado los buzones de correo de Microsoft Exchange para Amazon WorkMail,puede deshabilitar la interoperabilidad. Si no ha migrado ningún usuario ni registro, deshabilitar lainteroperabilidad no afecta ninguna de sus configuraciones.
Version 1.044
Amazon WorkMail Guía del administradorSolución de problemas
Warning
Antes de deshabilitar la interoperabilidad, asegúrese de que ha completado todos los pasosnecesarios. De no hacerlo así, los correos electrónicos podrían ser devueltos o podrían producirsecomportamientos no deseados. Si no ha completado la migración, deshabilitar la interoperabilidadpuede causar interrupciones en su organización. No podrá deshacer esta operación.
Para deshabilitar la compatibilidad con la interoperabilidad
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, elija la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la página Organizations, elija la organización con el modo de interoperabilidad habilitado y elijaDisable Interoperability.
4. En el cuadro de diálogo Disable interoperability with Microsoft Exchange, escriba el nombre de laorganización y elija Disable.
Después de deshabilitar la compatibilidad con la interoperabilidad, los usuarios y grupos que no estánhabilitados para Amazon WorkMail se eliminan de la libreta de direcciones. Aun así, puede habilitar losusuarios o grupos que faltan con la consola de Amazon WorkMail, y estos se añaden a la libreta dedirecciones. Los recursos de Microsoft Exchange no se pueden habilitar y no aparecen en la libreta dedirecciones hasta completar los pasos siguientes.
• Crear recursos en Amazon WorkMail: puede crear recursos en Amazon WorkMail y configurar delegadosy opciones de reserva para estos recursos. Para obtener más información, consulte Uso de recursos.
• Crear un registro de DNS de detección automática: configure un registro de DNS de detecciónautomática para todos los dominios de correo de la organización para permitir a los usuarios que seconecten fácilmente a sus buzones de correo de Amazon WorkMail desde sus clientes móviles y deMicrosoft Outlook. Para obtener más información, consulte Habilitación de la detección automática paraconfigurar puntos de enlace.
• Cambiar el registro MX de DNS a Amazon WorkMail: para entregar todos los correos electrónicosentrantes a Amazon WorkMail, tiene que cambiar el registro MX de DNS a Amazon WorkMail. Puedentranscurrir hasta 72 horas antes de que el cambio de DNS se propague a todos los servidores DNS.
• Retirar el servidor de correo: después de haber verificado que todos los correos electrónicos se dirigendirectamente a Amazon WorkMail, es posible retirar su servidor de correo si no tiene previsto seguirusándolo.
Solución de problemasA continuación, se enumeran las soluciones a los errores de migración e interoperabilidad más habitualesen Amazon WorkMail.
La URL de Exchange Web Services (EWS) no es válida o es inaccesible: compruebe que tiene la URL deEWS correcta. Para obtener más información, consulte Configuración de los parámetros de disponibilidaden Amazon WorkMail (p. 43).
Error de conexión durante la validación de EWS: se trata de un error general y puede deberse a:
• No hay conexión a Internet en Microsoft Exchange.• El firewall no está configurado para permitir acceso desde Internet. Asegúrese de que el puerto 443 (el
puerto predeterminado para HTTPS) está abierto.
Version 1.045
Amazon WorkMail Guía del administradorCuotas de Amazon WorkMail
Si ha confirmado la configuración de la conexión de Internet y el firewall, pero el error persiste, contactecon AWS Support.
Contraseña y nombre de usuario no válido durante la configuración de la interoperabilidad con MicrosoftExchange: se trata de un error general que puede deberse a:
• El nombre de usuario no tiene el formato esperado. Use el siguiente patrón:
DOMAIN\username
• El servidor de Microsoft Exchange no está configurado para la autenticación básica para EWS. Paraobtener más información, consulte Virtual Directories: Exchange 2013 en el blog Microsoft MVP AwardProgram.
El usuario recibe correos electrónicos con un adjunto winmail.dat: esto podría ocurrir cuando se envía uncorreo electrónico S/MIME cifrado desde Exchange a Amazon WorkMail y se recibe en Outlook para Mac2016 o en el cliente IMAP. La solución es ejecutar el siguiente comando en el shell de administración deExchange:
Set-RemoteDomain -Identity "Default" -TNEFEnabled $false
Si ha confirmado los puntos anteriores pero el error persiste, contacte con AWS Support.
Cuotas de Amazon WorkMailAmazon WorkMail puede utilizarse tanto en pequeñas como en grandes empresas. Si bien damossoporte a la mayoría de los casos de uso sin tener que configurar ningún cambio en las cuotas, tambiénprotegemos a nuestros usuarios e Internet frente al abuso del producto. Por tanto, algunos clientes podríanalcanzar las cuotas que hemos establecido. En esta sección se describen estas cuotas y cómo cambiarlas.
Algunos valores de cuotas se pueden cambiar y otros son cuotas rígidas que no se pueden cambiar. Paraobtener más información acerca de cómo solicitar un aumento de cuotas, consulte Cuotas de servicio deAWS en Referencia general de Amazon Web Services.
Cuotas de usuarios y organizaciones de AmazonWorkMailPuede añadir un máximo de 25 usuarios para una prueba gratuita de 30 días. Una vez que este periodofinalice, se le cobrará por todos los usuarios activos a menos que los elimine o cierre la cuenta de AmazonWorkMail.
Todos los mensajes que se envían a otro usuario se tienen en cuenta al evaluar estas cuotas. Incluyenmensajes de correo electrónico, solicitudes de reuniones, respuestas de reuniones, solicitudes de tareas ymensajes que se reenvían o redirigen automáticamente como consecuencia de una regla.
Note
Al solicitar un aumento de cuota hágalo solo para una organización específica, incluya el nombrede la organización en su solicitud.
Recurso Cuota predeterminada Límite superior para solicitudesde cambio
Usuarios por organización deAmazon WorkMail
1 000 Puede aumentarse en función deltipo de directorio utilizado para laorganización:
Version 1.046
Amazon WorkMail Guía del administradorCuotas de usuarios y organizaciones de Amazon WorkMail
Recurso Cuota predeterminada Límite superior para solicitudesde cambio• Directorio de Amazon
WorkMail: un máximo de 10millones de usuarios
• Simple AD o AD Connector,grande: un máximo de 5 000usuarios*
• Simple AD o AD Connector,pequeño: un máximo de 500usuarios*
• Microsoft AD, hospedadopor AWS Directory Service:dependiendo de la instalacióny de la configuración, hasta10 millones de usuarios
*Si está utilizando Simple AD oAD Connector, consulte AWSDirectory Service para obtenerinformación adicional.
Usuarios de la prueba gratuita Un máximo de 25 usuarios losprimeros 30 días
El periodo de prueba gratuitosolo es aplicable para losprimeros 25 usuarios decualquier organización. Cualquierusuario adicional no está incluidoen la oferta de prueba gratuita.
Destinatarios contactados porcuenta de AWS al día
100 000 destinatarios externos ala organización, sin cuota rígidapara destinatarios internos de laorganización
No hay límite superior. Noobstante, Amazon WorkMail esun servicio de correo electrónicoempresarial y no se ha diseñadopara su uso en servicios decorreo electrónico masivo. Paraservicios masivos de correoelectrónico, consulte AmazonSES o Amazon Pinpoint.
Destinatarios contactadospor cuenta de AWS al díaque utilizan cualquiera de losdominios de prueba
200 destinatarios,independientemente del destino
No hay límite superior. Noobstante, el dominio de correo deprueba no ha sido diseñado parauso a largo plazo. En su lugar,recomendamos que añada supropio dominio y lo utilice comodominio predeterminado.
Los límites de las cuotas se definen de acuerdo con el directorio subyacente.
Version 1.047
Amazon WorkMail Guía del administradorCuotas de configuración de la organización de WorkMail
Cuotas de configuración de la organización deWorkMail
Recurso Cuota predeterminada
Número de dominios por organización de AmazonWorkMail
1 000
Esta es una cuota rígida y no se puede cambiar.
Número de patrones de remitente en reglas de flujode correo electrónico por regla
250
Esta es una cuota rígida y no se puede cambiar.
Número de patrones de remitente en reglas de flujode correo electrónico por organización
1 000
Esta es una cuota rígida y no se puede cambiar.
Cuotas por usuarioTodos los mensajes que se envían a otro usuario se tienen en cuenta al evaluar estas cuotas. Incluyenmensajes de correo electrónico, solicitudes de reuniones, respuestas de reuniones, solicitudes de tareas ymensajes que se reenvían o redirigen automáticamente como consecuencia de una regla.
Recurso Cuota predeterminada Cuota superior para solicitudesde cambio
Tamaño máximo del buzón decorreo
50 GB 50 GB
Número máximo de alias porusuario
100
Esta es una cuota rígida y no sepuede cambiar.
N/D
Destinatarios contactados porusuario por día utilizando eldominio del cual es propietario
10 000 destinatarios externos ala organización, sin cuota rígidapara destinatarios internos de laorganización
No hay límite superior. Noobstante, Amazon WorkMail esun servicio de correo electrónicoempresarial y no se ha diseñadopara su uso en servicios decorreo electrónico masivo. Paraservicios masivos de correoelectrónico, consulte AmazonSES o Amazon Pinpoint.
Cuotas de mensajesTodos los mensajes que se envían a otro usuario se tienen en cuenta al evaluar estas cuotas. Incluyenmensajes de correo electrónico, solicitudes de reuniones, respuestas de reuniones, solicitudes de tareas ymensajes que se reenvían o redirigen automáticamente como consecuencia de una regla.
Version 1.048
Amazon WorkMail Guía del administradorCuotas de mensajes
Recurso Cuota predeterminada
Tamaño máximo del mensaje entrante 25 MB
Esta es una cuota rígida y no se puede cambiar.
Tamaño máximo del mensaje saliente 25 MB
Esta es una cuota rígida y no se puede cambiar.
Número de destinatarios por mensaje 500
Esta es una cuota rígida y no se puede cambiar.
Version 1.049
Amazon WorkMail Guía del administradorAdición de una organización
Uso de organizacionesEn Amazon WorkMail, su organización representa a los usuarios de su empresa. En la consola de AmazonWorkMail, se ve una lista de las organizaciones disponibles. Si no hay ninguna disponible, tiene que crearuna para utilizar Amazon WorkMail.
Temas• Adición de una organización (p. 50)• Eliminación de una organización (p. 53)• Etiquetado de una organización (p. 54)• Trabajo con reglas de control de acceso (p. 55)• Modificación de la política de dispositivos móviles de la organización (p. 57)• Administración de flujos de correo electrónico (p. 57)• Mensajes de seguimiento (p. 67)• Aplicación de políticas de DMARC en el correo electrónico entrante (p. 70)
Adición de una organizaciónPara utilizar Amazon WorkMail, primero debe añadir una organización. Una cuenta de AWS puede tenervarias organizaciones de Amazon WorkMail. A continuación, puede añadir usuarios, grupos y dominios alas organizaciones.
Están disponibles las siguientes opciones de instalación:
• Quick setup (Configuración rápida): crea un directorio automáticamente.• Standard setup (Configuración estándar): integra Amazon WorkMail en un directorio existente, como por
ejemplo, una instancia local de Microsoft Active Directory, AWS Managed Active Directory o AWS SimpleActive Directory.
También puede crear un directorio compatible por medio de Amazon WorkDocs o Amazon WorkSpacesy, a continuación, completar la configuración de Amazon WorkMail utilizando la opción Standard setup(Configuración estándar).
Temas• Configuración rápida: creación de un directorio nuevo (p. 50)• Standard Setup (Configuración estándar): integración en un directorio existente (p. 51)• Integración de un directorio de Amazon WorkDocs o de Amazon WorkSpaces (p. 52)• Estados de la organización y sus descripciones (p. 52)
Configuración rápida: creación de un directorio nuevoPuede utilizar la opción Quick setup (Configuración rápida) para crear una organización de AmazonWorkMail.
Note
La opción Quick setup (Configuración rápida) no admite los grupos anidados y no es compatiblecon Amazon WorkDocs ni con Amazon WorkSpaces.
Version 1.050
Amazon WorkMail Guía del administradorStandard Setup (Configuración estándar):
integración en un directorio existente
La opción Quick setup (Configuración rápida) de Amazon WorkMail hace lo siguiente automáticamente:
• Crea un directorio de WorkMail nuevo para almacenar sus usuarios y grupos. No se puede ver este tipode directorio en AWS Directory Service.
• Crea un dominio de prueba gratuito.• Utiliza la clave maestra predeterminada de KMS administrada por AWS para cifrar el contenido del
buzón de correo.
Para agregar una organización con la opción de configuración rápida
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la barra de navegación, seleccione la región adecuada a sus necesidades. Para obtener más
información, consulte Regiones y puntos de enlace en la Referencia general de Amazon WebServices.
3. Elija Get started.4. En la pantalla Set up your organization, elija Quick setup.5. En la pantalla Quick setup, para Organization name, escriba un alias único para utilizarlo como su
dominio de correo electrónico y, a continuación, elija Create.
Después de crear su organización, puede añadir dominios, usuarios y grupos.
Note
Si supera el número de organizaciones que puede crear con la configuración rápida, recibeel error "You have reached the maximum number of organizations you can create" (Haalcanzado el número máximo de organizaciones que puede crear). Para obtener másinformación, consulte Cuotas de Amazon WorkMail (p. 46).
Standard Setup (Configuración estándar): integraciónen un directorio existentePuede integrar Amazon WorkMail a un directorio existente como por ejemplo Microsoft Active Directorylocal, Active Directory administrado de AWS o AWS Simple Active Directory. Al realizar la integración conel directorio local, puede reutilizar los usuarios y grupos existentes en Amazon WorkMail y los usuariospueden iniciar sesión con las credenciales existentes.
También tiene la opción de seleccionar una clave maestra administrada que Amazon WorkMail utilizapara cifrar el contenido del buzón de correo. Puede seleccionar la clave maestra predeterminada AWSadministrada para Amazon WorkMail o seleccionar una clave maestra administrada con el cliente en AWSKMS para utilizarla con Amazon WorkMail.
Si el directorio existente es local, en primer lugar deberá configurar un AD Connector en AWS DirectoryService. El AD Connector se utiliza para sincronizar sus usuarios y grupos con la libreta de direcciones deAmazon WorkMail y realizar solicitudes de autenticación de usuarios.
Para obtener información sobre cómo configurar un AD Connector, consulte el tema sobre cómoconectarse a un directorio existente con AD Connector en la AWS Directory Service Administration Guide.
Para realizar una instalación estándar
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la barra de navegación, seleccione la región adecuada a sus necesidades. Para obtener más
información, consulte Regiones y puntos de enlace en la Referencia general de Amazon WebServices.
Version 1.051
Amazon WorkMail Guía del administradorIntegración de un directorio de AmazonWorkDocs o de Amazon WorkSpaces
3. Elija Get started.4. En la pantalla Set up your organization, elija Standard setup.5. En la pantalla Standard setup, para Available Directories, seleccione su directorio existente.
Note
Si tiene un Active Directory local con Microsoft Exchange y un AD Connector de AWS, elijaEnable interoperability (Habilitar la interoperabilidad) en la pantalla Interoperability withMicrosoft Exchange (Interoperabilidad con Microsoft Exchange). La interoperabilidad lepermite minimizar las interrupciones para los usuarios durante la migración de buzones decorreo a Amazon WorkMail o utilizar Amazon WorkMail para un subconjunto de buzones decorreo corporativos. Para obtener más información, consulte Interoperabilidad entre AmazonWorkMail y Microsoft Exchange.Amazon WorkMail no es compatible actualmente con los servicios de directorio administradosde Microsoft Active Directory que se comparten con varias cuentas.
6. En Master keys (Claves maestras), seleccione la clave maestra predeterminada administrada porAWS o una clave maestra administrada por el cliente en AWS Key Management Service.
Note
Para obtener más información acerca de la creación de una nueva clave maestraadministrada por el cliente, consulte Creación de claves en la AWS Key Management ServiceDeveloper Guide.Si ha iniciado sesión como usuario de IAM, hágase administrador de claves en la clavemaestra. Para obtener más información, consulte Habilitar y deshabilitar claves en la AWSKey Management Service Developer Guide.
Integración de un directorio de Amazon WorkDocs ode Amazon WorkSpacesPara usar Amazon WorkMail con Amazon WorkDocs o Amazon WorkSpaces, cree un directorio compatiblemediante los pasos que se indican a continuación.
Para añadir una organización de Amazon WorkDocs o Amazon WorkSpaces compatible
1. Cree un directorio compatible mediante Amazon WorkDocs o Amazon WorkSpaces.
a. Para obtener instrucciones sobre Amazon WorkDocs, consulte Cómo crear un directorio SimpleAD mediante el inicio rápido.
b. Para obtener instrucciones sobre Amazon WorkSpaces, consulte Introducción a la instalaciónrápida de Amazon WorkSpaces.
2. En la consola de Amazon WorkMail, configure Amazon WorkMail. Para obtener más información,consulte Standard Setup (Configuración estándar): integración en un directorio existente (p. 51).
Estados de la organización y sus descripcionesDespués de crear una organización, puede tener uno de los siguientes estados.
Estado Descripción
Activa Su organización está en buen estado y lista parasu uso.
Version 1.052
Amazon WorkMail Guía del administradorEliminación de una organización
Estado Descripción
Creando Se ejecuta un flujo de trabajo para crear suorganización.
Con error No se pudo crear su organización.
Deteriorado Su organización no funciona correctamente o se hadetectado un problema.
Inactivo Su organización está inactiva.
Solicitada Su solicitud de creación de organización está en lacola y a la espera de creación.
Validación Se está comprobando toda la configuración de laorganización.
Eliminación de una organizaciónSi no quiere seguir utilizando Amazon WorkMail para el correo electrónico de su organización, puedeeliminar su organización de Amazon WorkMail.
Note
No es posible deshacer esta operación y no podrá recuperar los datos de su buzón de correo.
Para quitar una organización
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región correspondiente.
Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general deAmazon Web Services.
3. En la pantalla Organizations, en la lista de organizaciones, seleccione la organización que deseaquitar y elija Remove.
4. Para eliminar una organización, escriba el nombre de la organización y especifique si desea mantenerel directorio de usuario existente o prefiere eliminarlo.
5. Elija Remove (Eliminar).
Note
Si no proporcionó su propio directorio de Amazon WorkMail, crearemos uno para usted. Simantiene este directorio existente después de eliminar la organización, se le cobrará por él amenos que utilice Amazon WorkMail, Amazon WorkDocs o Amazon WorkSpaces. Para obtenerinformación sobre los precios, consulte este artículo acerca de los precios de otros tipos dedirectorios.Para eliminar un directorio, este no puede tener ninguna otra aplicación de AWS habilitada. Paraobtener más información, consulte Eliminación de un directorio de Simple AD o Eliminación de undirectorio de AD Connector en la AWS Directory Service Administration Guide.
Si aparece un mensaje de error de conjunto de reglas de Amazon SES no válido al intentar eliminar unaorganización, edite la regla de Amazon SES en la consola de Amazon SES y elimine el conjunto de reglasno válido. La regla que edite debe tener su ID de organización de Amazon WorkMail en el nombre de laregla. Para obtener más información sobre la edición de las reglas de Amazon SES, consulte Edición deuna regla de recepción en la Guía para desarrolladores de Amazon Simple Email Service.
Version 1.053
Amazon WorkMail Guía del administradorEtiquetado de una organización
Si necesita averiguar qué conjunto de reglas no es válido, guarde primero la regla. Aparece un mensaje deerror para el conjunto de reglas no válido.
Etiquetado de una organizaciónAl etiquetar el recurso de una organización de Amazon WorkMail, podrá hacer lo siguiente:
• Diferenciar las organizaciones en la consola de AWS Billing and Cost Management.• Controlar el acceso a los recursos de la organización de Amazon WorkMail agregándolos al elementoResource de las instrucciones de política de permisos de IAM.
Para obtener más información sobre los permisos de nivel de recursos de Amazon WorkMail, consulteRecursos (p. 11). Para obtener más información sobre el control de acceso basado en etiquetas, consulteAutorización basada en etiquetas de Amazon WorkMail (p. 13).
Los administradores de Amazon WorkMail pueden etiquetar las organizaciones a través de la consola deAmazon WorkMail.
Para agregar etiquetas a una organización de Amazon WorkMail
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la pantalla Organizations (Organizaciones), elija el alias de la organización en la que desea agregar
las etiquetas.3. Seleccione Tags (Etiquetas).4. En Organization tags (Etiquetas de la organización), elija Add new tag (Agregar nueva etiqueta).5. En Key (Clave), escriba una cadena para identificar la etiqueta.6. (Opcional) En Value (Valor), escriba un valor para la etiqueta.7. (Opcional) Repita los pasos 4 a 6 para agregar más etiquetas a la organización. Puede añadir hasta
50 etiquetas.8. Elija Submit (Enviar) para guardar los cambios.
Puede ver las etiquetas de la organización en la consola de Amazon WorkMail.
Los desarrolladores también pueden etiquetar organizaciones usando el SDK de AWS SDK oAWS Command Line Interface (AWS CLI). Para obtener más información, consulte los comandosTagResource, ListTagsForResource y UntagResource en la Referencia de la API de AmazonWorkMail o la Referencia de comandos de AWS CLI.
Puede quitar etiquetas de una organización en cualquier momento utilizando la consola de AmazonWorkMail.
Para eliminar etiquetas de una organización de Amazon WorkMail
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la pantalla Organizations (Organizaciones), elija el alias de la organización cuyas etiquetas desea
quitar.3. Seleccione Tags (Etiquetas).4. En Organization tags (Etiquetas de la organización), elija la opción Remove (Quitar) situada junto a la
etiqueta que desee quitar.5. Elija Submit (Enviar) para guardar los cambios.
Version 1.054
Amazon WorkMail Guía del administradorTrabajo con reglas de control de acceso
Trabajo con reglas de control de accesoLas reglas de control de acceso para Amazon WorkMail permiten a los administradores controlar cómose accede a los buzones de su organización. Cada organización de Amazon WorkMail tiene una reglade control de acceso predeterminada que concede acceso al buzón a todos los usuarios agregadosa la organización, independientemente del protocolo de acceso o de la dirección IP que utilicen. Losadministradores pueden editar o reemplazar la regla predeterminada por una de las suyas, agregar unanueva regla o eliminar una regla.
Warning
Si un administrador elimina todas las reglas de control de acceso de una organización, AmazonWorkMail bloquea todo el acceso a los buzones de la organización.
Los administradores pueden aplicar reglas de control de acceso que permitan o denieguen el accesosegún los siguientes criterios:
• Protocols (Protocolos): el protocolo utilizado para acceder al buzón como, por ejemplo, Autodiscover(Detección automática), EWS, IMAP, SMTP, ActiveSync, Outlook for Windows (Outlook para Windows) yWebmail (Correo web).
• Direcciones IP: los rangos CIDR de IPv4 utilizados para acceder al buzón.• Usuarios de Amazon WorkMail: los ID de usuario de su organización que se utilizan para acceder al
buzón.
Los administradores aplican reglas de control de acceso además de los permisos de buzón y carpeta delusuario. Para obtener más información, consulte Cómo usar los permisos del buzón de correo (p. 99) yPermisos y uso compartido de las carpetas en la Amazon WorkMail User Guide.
Note
Las reglas de control de acceso no se aplican al acceso a la consola de Amazon WorkMail oal SDK. Utilice los roles o políticas de IAM en su lugar. Para obtener más información, consulteIdentity and Access Management para Amazon WorkMail (p. 6).
Creación de reglas de control de accesoCree nuevas reglas de control de acceso desde la consola de Amazon WorkMail.
Para crear una nueva regla de control de acceso
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la pantalla Organizations (Organizaciones), elija el alias de la organización.3. Elija Access control rules (Reglas de control de acceso).4. Elija Create rule.5. En Description (Descripción), escriba una descripción para la regla.6. En Effect (Efecto), elija Allow (Permitir) o Deny (Denegar). Esto permite o deniega el acceso en
función de las condiciones que seleccione en el paso siguiente.7. Para This rule applies to requests that ... (Esta regla se aplica a las solicitudes que...), seleccione las
condiciones que aplicar a la regla, por ejemplo si incluir o excluir protocolos específicos, direcciones IPo usuarios.
8. (Opcional) Si introduce rangos de direcciones IP o ID de usuario, elija Add (Agregar) para agregarlos ala regla.
9. Elija Create rule.
Version 1.055
Amazon WorkMail Guía del administradorEdición de reglas de control de acceso
Edición de reglas de control de accesoEdite las reglas de control de acceso nuevas y predeterminadas desde la consola de Amazon WorkMail.
Para editar una regla de control de acceso
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la pantalla Organizations (Organizaciones), elija el alias de la organización.3. Elija Access control rules (Reglas de control de acceso).4. Seleccione la regla que desea editar.5. Elija Edit rule.6. Edite la descripción, el efecto y las condiciones según sea necesario.7. Elija Save changes.
Prueba de reglas de control de accesoPara ver cómo se aplican las reglas de control de acceso de la organización, pruebe las reglas desde laconsola de Amazon WorkMail.
Para probar las reglas de control de acceso para su organización
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la pantalla Organizations (Organizaciones), elija el alias de la organización.3. Elija Access control rules (Reglas de control de acceso).4. Elija Test rules (Probar reglas).5. En Request context (Contexto de solicitud), seleccione el protocolo que se va a probar.6. En Source IP address (Dirección IP de origen), escriba la dirección IP que se va a probar.7. En User (Usuario), introduzca el usuario que desea probar.8. Seleccione Test (Probar).
Los resultados de la prueba aparecen en Effect (Efecto).
Eliminación de reglas de control de accesoElimine las reglas de control de acceso que ya no necesite de la consola de Amazon WorkMail.
Warning
Si un administrador elimina todas las reglas de control de acceso de una organización, AmazonWorkMail bloquea todo el acceso a los buzones de la organización.
Para eliminar una regla de control de acceso
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la pantalla Organizations (Organizaciones), elija el alias de la organización.3. Elija Access control rules (Reglas de control de acceso).4. Seleccione la regla que desea eliminar.5. Elija Delete rule (Eliminar regla).6. Elija Eliminar.
Version 1.056
Amazon WorkMail Guía del administradorModificación de la política de
dispositivos móviles de la organización
Modificación de la política de dispositivos móvilesde la organización
Puede editar la política de dispositivos móviles de su organización para cambiar la manera en que losdispositivos móviles interactúan con Amazon WorkMail.
Para editar la política de dispositivos móviles de la organización
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región correspondiente.
Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general deAmazon Web Services.
3. En la pantalla Organizations, en la columna Alias, seleccione la organización que va a editar.4. En el panel de navegación, elija Mobile Policies y, a continuación, en la pantalla Default mobile policy,
elija Edit.5. Actualice cualquiera de los siguientes parámetros cuanto sea necesario:
a. Exigir cifrado en dispositivo: cifre los datos de correo electrónico en el dispositivo móvil.b. Exigir cifrado en tarjeta de almacenamiento: cifre los datos de correo electrónico en la tarjeta
extraíble del dispositivo móvil.c. Contraseña obligatoria: solicite una contraseña para bloquear un dispositivo móvil.d. Permita el uso de una contraseña sencilla: utilice el PIN del dispositivo como contraseña.e. Longitud mínima de la contraseña: establezca el número de caracteres necesario para una
contraseña válida.f. Exija contraseña alfanumérica: exija que las contraseñas estén formadas por letras y números.g. Número mínimo de conjuntos de caracteres: especifique el número de conjuntos de caracteres
que debe incluir una contraseña, como letras minúsculas y mayúsculas, símbolos y números.h. Número de intentos fallidos permitidos: especifique el número de intentos de inicio de sesión
fallidos permitidos antes de bloquear el acceso a un usuario a su cuenta.i. Vencimiento de contraseña: especifique el número de días antes del vencimiento de una
contraseña y cuándo debe cambiarse.j. Habilitar el bloqueo de pantalla: especifique el número de segundos que deben transcurrir sin
entradas del usuario para bloquear la pantalla del usuario.k. Aplicar el historial de contraseñas: especifique el número de contraseñas que pueden escribirse
antes de repetir la misma contraseña.6. Seleccione Save.
Administración de flujos de correo electrónicoPuede configurar reglas de flujo de correo electrónico para administrar flujos de correo electrónico basadosen direcciones de correo electrónico o dominios. Las reglas de flujo de correo electrónico saliente se basanen las direcciones de correo electrónico o los dominios del remitente y del destinatario.
Para crear una regla de flujo de correo, deberá especificar una acción de regla (p. 58) para aplicarla aun correo electrónico cuando se produzca una coincidencia con un patrón (p. 60) especificado.
Temas• Acciones de las reglas de correo electrónico entrante (p. 58)• Acciones de las reglas de correo electrónico saliente (p. 59)
Version 1.057
Amazon WorkMail Guía del administradorAcciones de las reglas de correo electrónico entrante
• Patrones de remitentes y destinatarios (p. 60)• Creación de una regla de flujo de correo electrónico (p. 61)• Configuración de gateways SMTP (p. 61)• Configuración de AWS Lambda para Amazon WorkMail (p. 62)• Recuperación de contenido de los mensajes con AWS Lambda (p. 64)• Comprobación de una regla de flujo de correo electrónico (p. 66)• Modificación de una regla de flujo de correo electrónico (p. 66)• Eliminación de una regla de flujo de correo electrónico (p. 67)
Acciones de las reglas de correo electrónico entranteLas reglas de flujo de correo electrónico entrante evitan que el correo electrónico de remitentes nodeseados llegue a los buzones de correo de sus usuarios. Puede utilizar estas reglas con una función deAWS Lambda para procesar el correo electrónico entrante antes de que se entregue a los buzones decorreo de sus usuarios. Para obtener más información sobre el uso de Lambda con Amazon WorkMail,consulte Configuración de Lambda para Amazon WorkMail (p. 62). Para obtener más informaciónacerca de Lambda, consulte la AWS Lambda Developer Guide.
Las reglas de flujo de correo electrónico entrante, también denominadas acciones de regla, se aplicanautomáticamente a todos los correos electrónicos enviados a cualquier persona dentro de la organizaciónde Amazon WorkMail. Esto difiere de las reglas de correo electrónico para buzones individuales.
Las siguientes acciones de regla definen cómo se trata el correo electrónico entrante. Para cada regla, seespecifican patrones de remitente y destinatario (p. 60) junto con una de las siguientes acciones.
Acción Descripción
Eliminar correo electrónico El correo electrónico se pasa por alto. No seentrega y no se notifica al remitente que la entregano se ha producido.
Enviar respuesta de rebote El correo electrónico no se entrega y se notifica alremitente que la entrega no se ha producido en unmensaje de rebote.
Deliver to junk folder El mensaje se entrega a las carpetas de spam ocorreo no deseado de los usuarios, incluso si elsistema de detección de spam Amazon WorkMailno detecta originalmente que se trata de spam.
Valor predeterminado El mensaje lo entrega una vez comprobadoel sistema de detección de spam de AmazonWorkMail. El correo electrónico de spam seentrega a la carpeta de correo no deseado. Todoslos demás mensajes se entregan a la bandeja deentrada.
Otras reglas de flujo de correo electrónico conun patrón de remitente menos específico seomiten. Para añadir excepciones a reglas deflujo de correo electrónico basadas en dominios,configure la acción predeterminada con un patrónde remitente más específico. Para obtener másinformación, consulte Patrones de remitentes ydestinatarios (p. 60).
Version 1.058
Amazon WorkMail Guía del administradorAcciones de las reglas de correo electrónico saliente
Acción Descripción
Never deliver to junk folder (No entregar nunca encarpeta de correo no deseado)
El mensaje se entrega siempre a las bandejas decorreo de los usuarios, incluso si el sistema dedetección de spam de Amazon WorkMail lo marcacomo spam.
Important
Si no utiliza el sistema de detección despam predeterminado, podría exponer asus usuarios a contenido de alto riesgo delas direcciones que especifique.
Ejecute Lambda Transfiere el correo electrónico a una función deLambda para su procesamiento antes de quese entregue a las bandejas de entrada de losusuarios.
Note
El correo electrónico entrante se entrega primero a Amazon SES y luego a Amazon WorkMail. SiAmazon SES bloquea un mensaje de correo electrónico entrante, las acciones de las reglas no seaplican. Por ejemplo, Amazon SES bloquea un mensaje de correo electrónico cuando se detectaun virus conocido o debido a reglas explícitas de filtrado de direcciones IP. La especificación deuna acción de regla como, por ejemplo, Default (Predeterminada), Deliver to junk folder (Entregara carpeta de correo no deseado) o Never deliver to junk folder (No entregar nunca a la carpeta decorreo no deseado), no tiene ningún efecto.
Acciones de las reglas de correo electrónico salienteLas reglas de flujo de correo electrónico saliente se pueden utilizar para dirigir el correo electrónico através de gateways SMTP o para impedir que los remitentes envíen correo electrónico a determinadosdestinatarios. Para obtener más información acerca de las gateways SMTP, consulte Configuración degateways SMTP (p. 61).
Las reglas de flujo de correo electrónico saliente también se puede utilizar para transferir el correoelectrónico a una función AWS Lambda para su procesamiento después de que se envíe el correoelectrónico. Para obtener más información sobre el uso de Lambda con Amazon WorkMail, consulteConfiguración de Lambda para Amazon WorkMail (p. 62). Para obtener más información acerca deLambda, consulte la AWS Lambda Developer Guide.
Las siguientes acciones de regla definen cómo se trata el correo electrónico saliente. Para cada regla, seespecifican patrones de remitente y destinatario (p. 60) junto con una de las siguientes acciones.
Acción Descripción
Predeterminado El correo electrónico se envía a través del flujonormal.
Eliminar correo electrónico El correo electrónico se elimina. No se envía y elremitente no recibe una notificación.
Enviar respuesta de rebote El correo electrónico no se envía y el remitenterecibe un mensaje en el que se indica que eladministrador ha bloqueado el correo electrónico.
Version 1.059
Amazon WorkMail Guía del administradorPatrones de remitentes y destinatarios
Acción Descripción
Route to SMTP gateway (Enviar a gateway SMTP) El correo electrónico se envía a través de unagateway SMTP configurada.
Ejecute Lambda Transfiere el correo electrónico a una funciónLambda para su procesamiento después de que seenvíe el correo electrónico. No afecta al envío decorreo electrónico.
Patrones de remitentes y destinatariosSe puede aplicar una regla de flujo de correo electrónico a una dirección de correo específica o a todas lasdirecciones de correo electrónico bajo un dominio específico o un conjunto de dominios. Los patrones deremitente se definen para determinar las direcciones de correo a las que se aplica una regla.
Tanto los patrones de remitente como de destinatario adoptan una de las formas siguientes:
• Una dirección de correo electrónico coincide con una dirección de correo electrónico única; por ejemplo:
• Un nombre de dominio coincide con todas las direcciones de correo electrónico bajo ese dominio; comopor ejemplo:
example.com
• Un dominio comodín coincide con todas las direcciones de correo electrónico bajo ese dominio y todossus subdominios. El comodín solo aparece delante de un dominio; por ejemplo:
*.example.com
• Estrella coincide con cualquier dirección de correo electrónico bajo cualquier dominio.
*
Se pueden especificar varios patrones para una regla. Para obtener más información, consulte Accionesde las reglas de correo electrónico entrante (p. 58) y Acciones de las reglas de correo electrónicosaliente (p. 59).
Las reglas de flujo de correo electrónico entrante se aplican si el encabezado Sender o From de un correoelectrónico entrante coincide con algún patrón. Si está presente, se empareja la dirección Sender enprimer lugar. La dirección From se empareja si no hay encabezamiento Sender o si el encabezamientoSender no coincide con ninguna regla. Si hay varios destinatarios del mensaje de correo electrónico quecoinciden con diferentes reglas, cada regla se aplica a los destinatarios coincidentes.
Las reglas de flujo de correo electrónico saliente se aplican si el destinatario y el encabezado Sendero From de un correo electrónico saliente coinciden con algún patrón. Si hay varios destinatarios delmensaje de correo electrónico que coinciden con diferentes reglas, cada regla se aplica a los destinatarioscoincidentes.
Si hay varias reglas coincidentes, se aplica la acción de la regla más específica. Un ejemplo es cuandouna regla para una dirección de correo electrónico específica tiene prioridad sobre una regla para undominio entero. Si varias reglas tienen el mismo nivel de especificidad, se aplica la acción más restrictiva.Un ejemplo es cuando una acción Drop (Eliminar) tiene prioridad sobre una acción Bounce (Rebote). El
Version 1.060
Amazon WorkMail Guía del administradorCreación de una regla de flujo de correo electrónico
orden de preferencia para las acciones es el mismo que el orden en el que se enumeran en Accionesde las reglas de correo electrónico entrante (p. 58) y Acciones de las reglas de correo electrónicosaliente (p. 59).
Note
Tenga cuidado al crear reglas con patrones de remitente solapados con acciones Drop o Bounce.Un orden de precedencia inesperado podría provocar que no se entreguen muchos mensajes decorreo electrónico entrante.
Creación de una regla de flujo de correo electrónicoPara crear una regla de flujo de correo electrónico, debe especificar una acción de regla (p. 58)para aplicarla a un correo electrónico cuando se produzca una coincidencia con un patrón (p. 60)especificado. Cuando crea una regla de flujo de correo electrónico nueva, se aplica de inmediato.
Para crear una regla de flujo de correo electrónico nueva
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En el panel de navegación, elija Organization settings (Configuración de la organización), Inbound/
Outbound rules (Reglas de entrada y salida).3. Elija Create Rule.4. Introduzca un nombre para la regla.5. Introduzca uno o varios patrones de remitente y uno o varios patrones de destinatario.6. Seleccione la acción que desea aplicar al correo electrónico.7. Elija Create Rule.
Puede probar la regla de flujo de correo electrónico nueva que ha creado. Para obtener más información,consulte Comprobación de una regla de flujo de correo electrónico (p. 66).
Configuración de gateways SMTPPuede configurar gateways SMTP para su uso con reglas de flujo de correo electrónico saliente. Las reglasde flujo de correo electrónico saliente le permiten dirigir los mensajes de correo electrónico enviados desdesu organización de Amazon WorkMail a través de una gateway SMTP. Para obtener más información,consulte Acciones de las reglas de correo electrónico saliente (p. 59).
Note
Las gateways SMTP configuradas para las reglas de flujo de correo electrónico saliente debenadmitir TLS v1.2 mediante certificados de las principales entidades de certificación. Solo seadmite la autenticación básica.
Para configurar una gateway SMTP
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Elija Organization settings (Configuración de la organización), SMTP gateways (Gateways SMTP).3. Elija Create gateway (Crear gateway).4. Escriba un nombre para la gateway y la dirección y el puerto del servidor.5. En Basic authentication (Autenticación básica), escriba el nombre de usuario y la contraseña para la
autenticación con la gateway.6. Elija Create gateway (Crear gateway).7. La gateway SMTP está disponible para su uso con reglas de flujo de correo electrónico saliente.
Version 1.061
Amazon WorkMail Guía del administradorConfiguración de Lambda para Amazon WorkMail
Cuando configura una gateway SMTP para utilizarla en una regla de flujo de correo electrónico saliente,todos los mensajes de correo electrónico saliente cuya regla coincide con la acción de gateway SMTPse envían a la gateway SMTP correspondiente. La gateway SMTP se encarga del resto de la entrega decorreo electrónico.
Si Amazon WorkMail no puede conectar con la gateway SMTP, el mensaje de correo electrónico sedevuelve al remitente. En este caso, corrija la configuración de la gateway SMTP en la consola de AmazonWorkMail eligiendo Organization settings (Configuración de la organización), SMTP gateways (GatewaysSMTP).
Configuración de AWS Lambda para AmazonWorkMailUse las reglas de flujo de correo electrónico entrante y saliente Run (Ejecutar) Lambda para transferirlos mensajes de correo electrónico que coincidan con las reglas a una función de Lambda para suprocesamiento.
Cuando se utiliza la regla Run (Ejecutar) Lambda para los correos electrónicos entrantes, los correoselectrónicos entrantes que coinciden con la regla se transfieren a una función de Lambda para suprocesamiento antes de que se entreguen a buzones de correo de los usuarios.
Cuando se utiliza la regla Run (Ejecutar) Lambda para los correos electrónicos salientes, los correoselectrónicos salientes que coinciden con la regla se transfieren a una función de Lambda para suprocesamiento al mismo tiempo que se envía el correo electrónico.
La función de Lambda no afecta al envío ni a la recepción de correo electrónico. Para obtener másinformación acerca de las reglas de flujo de correo electrónico entrante y saliente, consulte Administraciónde flujos de correo electrónico (p. 57). Para obtener más información acerca de Lambda, consulte laAWS Lambda Developer Guide.
Note
En la actualidad, las reglas de flujo de correo electrónico de Lambda solo hacen referencia a lasfunciones Lambda de la misma región de AWS y cuenta de AWS que la organización de AmazonWorkMail configurada.
Introducción a Lambda para Amazon WorkMailPara comenzar a utilizar Lambda con Amazon WorkMail, implemente la función Lambda de ejemplo desdeAWS Serverless Application Repository en su cuenta. Los permisos para la función Lambda de ejemplo yaestán configurados automáticamente.
Si decide crear su propia función Lambda para usarla con Amazon WorkMail, debe configurar permisoscon la AWS Command Line Interface (AWS CLI). En el siguiente comando de ejemplo, sustituyaMY_FUNCTION_NAME por el nombre de su función Lambda y REGION por su región Amazon WorkMail. Lasregiones Amazon WorkMail disponibles son us-east-1, us-west-2 y eu-west-1.
aws --region REGION lambda add-permission --function-name MY_FUNCTION_NAME --statement-id AllowWorkMail --action "lambda:InvokeFunction" --principal workmail.REGION.amazonaws.com
Para obtener más información sobre el uso de la AWS CLI, consulte la AWS Command Line Interface Guíadel usuario.
Datos del evento de LambdaLa función Lambda se activa mediante los siguientes datos de eventos. La presentación de los datos varíaen función de lenguaje de programación que se utilice para la función Lambda.
Version 1.062
Amazon WorkMail Guía del administradorConfiguración de Lambda para Amazon WorkMail
{ "summaryVersion": "2018-10-10", "envelope": { "mailFrom" : { "address" : "[email protected]" }, "recipients" : [ { "address" : "[email protected]" }, { "address" : "[email protected]" } ] }, "sender" : { "address" : "[email protected]" }, "subject" : "Hello From Amazon WorkMail!", "messageId": "00000000-0000-0000-0000-000000000000", "truncated": false}
El JSON del evento incluye los siguientes datos.
sobre
El sobre del mensaje de correo electrónico, que incluye los siguientes campos:mailFrom
La dirección From (De), que suele ser la dirección de correo electrónico del usuario que envió elmensaje. Si el usuario envió el mensaje como otro usuario o en nombre de otro usuario, el campomailFrom devuelve la dirección de correo electrónico del usuario en cuyo nombre se ha enviado elcorreo electrónico, no la dirección de correo electrónico del remitente real.
recipients
Una lista de todas las direcciones de correo electrónico de los destinatarios. No hay diferenciaentre To (Para), CC o BCC (CCO).
Note
Para las reglas de flujo de correo electrónico entrante, esta lista incluye los destinatariosde cada dominio que forma parte de la organización de Amazon WorkMail en la que secrea la regla. La función de Lambda se invoca por separado para cada conversaciónSMTP del remitente y el contenido del campo de destinatarios coincide con losdestinatarios de esa conversación SMTP. Los destinatarios con dominios externos no seincluyen.
remitente
La dirección de correo electrónico del usuario que envió el mensaje de correo electrónico en nombrede otro usuario. Este campo se establece únicamente cuando un mensaje de correo electrónico seenvía en nombre de otro usuario.
subject
La línea de asunto del correo electrónico. Se trunca cuando supera el límite de 256 caracteres.messageId
Un ID único usado para acceder al contenido completo del mensaje de correo electrónico al usar elSDK de flujo de mensajes de Amazon WorkMail.
truncated
Se aplica al tamaño de carga, no a la longitud de la línea de asunto. Si es true, el tamaño de la cargasupera el límite de 128 KB, por lo que la lista de destinatarios se trunca para no superar el límite.
Version 1.063
Amazon WorkMail Guía del administradorRecuperación de contenido de los mensajes
Más información acerca del uso de Lambda con AmazonWorkMailTambién puede acceder al contenido completo del mensaje de correo electrónico que activa la función deLambda. Para obtener más información, consulte Recuperación de contenido de los mensajes con AWSLambda (p. 64).
Recuperación de contenido de los mensajes con AWSLambdaDespués de configurar una función de AWS Lambda para administrar flujos de correo electrónico paraAmazon WorkMail, puede acceder al contenido completo de los mensajes de correo electrónico que seprocesan con Lambda. Si necesita más información sobre cómo empezar a trabajar con Lambda paraAmazon WorkMail, consulte Configuración de AWS Lambda para Amazon WorkMail (p. 62).
Para acceder al contenido completo de los mensajes de correo electrónico, use la acciónGetRawMessageContent en la API de flujo de mensajes de Amazon WorkMail. El ID de mensaje decorreo electrónico que se pasa a su función de Lambda tras la invocación envía una solicitud a la API.A continuación, la API responde con el contenido MIME completo del mensaje de correo electrónico.Para obtener más información, consulte el artículo sobre el flujo de mensajes de Amazon WorkMail en laReferencia de la API de Amazon WorkMail.
En el siguiente ejemplo de muestra cómo una función de Lambda que usa el entorno de tiempo deejecución de Python puede recuperar el contenido de los mensajes completo.
import boto3import email
def email_handler(event, context): workmail = boto3.client('workmailmessageflow', region_name=os.environ["AWS_REGION"]) msg_id = event['message_id'] raw_msg = workmail.get_raw_message_content(msg_id)
parsed_msg = email.message_from_bytes(raw_msg['messageContent'].read()) print(parsed_msg)
Para ver ejemplos más detallados de formas de analizar el contenido de mensajes que están en tránsito,consulte el repositorio amazon-workmail-lambda-templates en GitHub.
Note
La API de flujo de mensajes de Amazon WorkMail se puede usar para acceder solo a mensajesde correo electrónico que están en tránsito. Solo se puede acceder a los mensajes en un plazo de24 horas de su envío o recepción. Para acceder mediante programación a mensajes ya enviadosa la bandeja de correo de un usuario, use uno de los otros protocolos admitidos por AmazonWorkMail, como IMAP o Exchange Web Services (EWS).
Administración de acceso a la API de flujo de mensajes deAmazon WorkMailUtilice políticas de AWS Identity and Access Management (IAM) para administrar el acceso a la API deflujo de mensajes de Amazon WorkMail.
La API de flujo de mensajes de Amazon WorkMail trabaja con un solo tipo de recurso, un mensaje decorreo electrónico en tránsito. Cada mensaje de correo electrónico en tránsito tiene asociado un nombre derecurso de Amazon (ARN) único.
Version 1.064
Amazon WorkMail Guía del administradorRecuperación de contenido de los mensajes
En el siguiente ejemplo se muestra la sintaxis de un ARN asociado a un mensaje de correo electrónico entránsito.
arn:aws:workmailmessageflow:region:account:message/organization/context/messageID
Entre los campos que admiten cambios del ejemplo anterior se incluyen los siguientes:
• Región: la región de AWS para su organización de Amazon WorkMail.• Cuenta: el ID de cuenta de AWS para su organización de Amazon WorkMail.• Organización: su ID de organización de Amazon WorkMail.• Contexto: indica si el mensaje es incoming o outgoing de su organización.• ID de mensaje: el ID de mensaje de correo electrónico único que se pasa como entrada a su función de
Lambda.
En el siguiente ejemplo se incluyen ID de ejemplo para un ARN asociado a un mensaje de correoelectrónico entrante en tránsito.
arn:aws:workmailmessageflow:us-east-1:111122223333:message/m-n1pq2345678r901st2u3vx45x6789yza/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9
Puede usar estos ARN como recursos en la sección Resource de sus políticas de usuario de IAM paraadministrar el acceso a mensajes de Amazon WorkMail en tránsito. Para obtener más información sobrecómo conceder a los usuarios de IAM permisos para Amazon WorkMail, consulte Creación de usuarios ygrupos de AWS Identity and Access Management (p. 5).
Políticas de IAM de ejemplo para el acceso al flujo de mensajesde Amazon WorkMailLa siguiente política de ejemplo concede a una entidad de IAM acceso de lectura completo a todos losmensajes entrantes y salientes para todas las organizaciones de Amazon WorkMail de su cuenta de AWS.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/*", "Effect": "Allow" } ]}
Si tiene varias organizaciones en su cuenta de AWS, también puede limitar el acceso a una o variasorganizaciones. Esto resulta útil si algunas funciones de Lambda deben usarse únicamente paradeterminadas organizaciones.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent"
Version 1.065
Amazon WorkMail Guía del administradorComprobación de una regla de flujo de correo electrónico
], "Resource": "arn:aws:workmailmessageflow:region:account:message/organization/*", "Effect": "Allow" } ]}
También puede elegir conceder acceso a mensajes dependiendo de si son incoming o outgoing de suorganización. Para ello, use el calificador incoming o outgoing en el ARN.
La siguiente política de ejemplo concede acceso solo a mensajes entrantes de su organización.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/organization/incoming/*", "Effect": "Allow" } ]}
Comprobación de una regla de flujo de correoelectrónicoPara comprobar la configuración actual de la regla, puede probar cómo se comporta la configuración condirecciones de correo electrónico específicas.
Para comprobar una regla de flujo de correo electrónico
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En el panel de navegación, elija Organization settings (Configuración de la organización), Inbound/
Outbound rules (Reglas de entrada y salida).3. Junto a Test configuration (Probar configuración), escriba las direcciones de correo electrónico
completas del remitente y el destinatario que desea probar.4. Elija Test. Se muestra la acción que se realizará para la dirección de correo electrónico proporcionada.
Modificación de una regla de flujo de correoelectrónicoPuede modificar la acción de la regla (p. 58) o el patrón (p. 60) para una regla de flujo de correoelectrónico. Cuando modifica una regla de flujo de correo electrónico, los cambios se aplican de inmediato.
Para modificar una regla de flujo de correo electrónico
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En el panel de navegación, elija Organization settings (Configuración de la organización), Inbound/
Outbound rules (Reglas de entrada y salida).3. Seleccione la regla y, a continuación, elija Edit.
Version 1.066
Amazon WorkMail Guía del administradorEliminación de una regla de flujo de correo electrónico
4. Cambie los patrones o la acción según sea necesario.5. Seleccione Save.
Puede probar la regla de flujo de correo electrónico nueva que ha creado. Para obtener más información,consulte Comprobación de una regla de flujo de correo electrónico (p. 66).
Eliminación de una regla de flujo de correo electrónicoCuando elimina una regla de flujo de correo electrónico, los cambios se aplican de inmediato.
Para eliminar una regla de flujo de correo electrónico
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En el panel de navegación, elija Organization settings (Configuración de la organización), Inbound/
Outbound rules (Reglas de entrada y salida).3. Seleccione la regla y elija Remove.4. En el mensaje de confirmación, elija Remove (Eliminar).
Mensajes de seguimientoActivar el registro de eventos de correo electrónico en la consola de Amazon WorkMail para realizar unseguimiento de los mensajes de correo electrónico de su organización. El registro de eventos de correoelectrónico utiliza un rol vinculado al AWS Identity and Access Management servicio para concederpermisos a publicar los registros de eventos de correo electrónico Amazon CloudWatch. Para obtener másinformación acerca de los roles vinculados a servicios de IAM, consulte Uso de funciones vinculadas aservicios en Amazon WorkMail (p. 20).
En los registros de eventos de CloudWatch, puede utilizar las herramientas de búsqueda y métricas deCloudWatch para realizar un seguimiento de mensajes de correo electrónico y solucionar los problemas.Para obtener más información acerca de los registros de eventos que Amazon WorkMail envía aCloudWatch, consulte CloudWatch Los registros de los eventos para Amazon WorkMail (p. 24). Paraobtener más información sobre CloudWatch Logs, consulte la Amazon CloudWatch Logs User Guide.
Activación del registro de eventos de correoelectrónicoAl activar el registro de eventos de correo electrónico mediante la configuración predeterminada, AmazonWorkMail:
• Crea un rol vinculado a un servicio de AWS Identity and Access Management:AmazonWorkMailEvents.
• Crea un grupo de registros de CloudWatch: /aws/workmail/emailevents/organization-alias.• Establece la retención de los registros de CloudWatch a 30 días.
Para activar el registro de eventos de correo electrónico
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Para Organizations, elija el alias de su Amazon WorkMail organización.3. En el panel de navegación, elija Organization settings (Configuración de distribución), Email flow rules
(Reglas del flujo de correo electrónico).
Version 1.067
Amazon WorkMail Guía del administradorCreación de un grupo de registros personalizado y un rolde IAM para el registro de eventos de correo electrónico
4. Para la configuración de registro, elija Edit (Editar).5. Para Eventos de registro, seleccione Enable mail events (Habilitación de eventos de correo
electrónico).6. Aplique alguna de las siguientes acciones:
a. (Recomendado) Seleccione Use default settings (Usar configuración predeterminada).b. (Opcional) Desmarque la casilla de verificación para Use default settings (Usar configuración
predeterminada) y seleccione Destination Log Group (Nombre de grupo de registros de destino) eIAM Role (Rol de IAM).
Note
Elija esta opción solo si ya ha creado un grupo de registros y un rol de IAM personalizadomediante la AWS CLI. Para obtener más información, consulte Creación de un grupode registros personalizado y un rol de IAM para el registro de eventos de correoelectrónico (p. 68).
7. Seleccione I authorize (Autorizo) Amazon WorkMail para publicar registros en mi cuenta con estaconfiguración.
8. Seleccione Save.
Creación de un grupo de registros personalizado yun rol de IAM para el registro de eventos de correoelectrónicoRecomendamos utilizar la configuración predeterminada al habilitar el registro de eventos de correoelectrónico para Amazon WorkMail. Si necesita una configuración de monitorización personalizada, puedeutilizar la AWS CLI para crear un grupo de registros dedicado y un rol de IAM personalizado para elregistro de eventos de correo electrónico.
Para crear un grupo de registros personalizado y un rol de IAM para el registro de eventos decorreo electrónico
1. Mediante la AWS CLI, cree un grupo de registros en la misma región de AWS que su organizaciónde Amazon WorkMail. Para obtener más información, consulte create-log-group en la AWS CLICommand Reference.
aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring
2. Cree un archivo que contenga la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "events.workmail.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}
Version 1.068
Amazon WorkMail Guía del administradorDesactivación del registro de eventos de correo electrónico
3. Mediante la AWS CLI, cree un rol de IAM y adjunte este archivo como el documento de política de rol.Para obtener más información, consulte create-role en la AWS CLI Command Reference.
aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json
Note
Si es un usuario de política administrada por WorkMailFullAccess, debe incluir el términoworkmail en el nombre de rol. Esta política administrada solo le permite configurar elregistro de eventos de correo electrónico con roles con workmail en el nombre. Paraobtener más información, consulte Concesión de permisos a un usuario para transferir un rola un servicio de AWS en la Guía del usuario de IAM.
4. Cree un archivo que contenga la política para el rol de IAM que creó en el paso anterior. Comomínimo, la política debe conceder permisos al rol para crear secuencias de registro e incluir eventosde registro en el grupo de registros que creó en el paso 1.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*" } ]}
5. Mediante la AWS CLI, asociar el archivo de política al rol de IAM. Para obtener más información,consulte put-role-policy en la AWS CLI Command Reference.
aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json
Siga los pasos del tema anterior para activar el registro de eventos de correo electrónico mediante el grupode registros y el rol recién creados. Para obtener más información, consulte Activación del registro deeventos de correo electrónico (p. 67).
Desactivación del registro de eventos de correoelectrónicoDesactive el registro de eventos de correo electrónico desde la Amazon WorkMail consola. Si ya notiene que utilizar el registro de eventos de correo electrónico, le recomendamos que elimine el grupode CloudWatch registros y relacionados con el rol vinculado al servicio. Para obtener más información,consulte Eliminación de una función vinculada a un servicio para Amazon WorkMail (p. 21).
Para desactivar el registro de eventos de correo electrónico
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Para Organizations, elija el alias de su Amazon WorkMail organización.
Version 1.069
Amazon WorkMail Guía del administradorAplicación de políticas de DMARCen el correo electrónico entrante
3. En el panel de navegación, elija Organization settings (Configuración de distribución), Email flow rules(Reglas del flujo de correo electrónico).
4. Para la configuración de registro, elija Edit (Editar).5. Elimine la selección de la casilla de verificación para Enable mail events (Habilitar los eventos de
correo electrónico).6. Seleccione Save.
Aplicación de políticas de DMARC en el correoelectrónico entrante
Los dominios de correo electrónico utilizan registros de DNS para la seguridad. Protegen a sus usuarios deataques comunes como suplantación de identidad o el phishing. Los registros DNS para dominios suelenincluir registros TXT de DMARC, que son establecidos por el propietario del dominio que envía el correoelectrónico. Los registros TXT de DMARC incluyen políticas que especifican las medidas que se debenadoptar cuando un correo electrónico no supera una comprobación de DMARC. Puede elegir si deseaaplicar la política de DMARC en los correos electrónicos que se envían a su organización.
Las nuevas organizaciones de Amazon WorkMail tienen activada la aplicación DMARC de formapredeterminada.
Para activar la aplicación DMARC
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Para Organizations, elija el alias de su Amazon WorkMail organización.3. En el panel de navegación, elija Organization settings (Configuración de la organización).4. Seleccione Advanced (Avanzado).5. En Inbound DMARC Settings (Configuración de DMARC entrante), seleccione Edit (Editar).6. En DMARC enforcement (Aplicación DMARC), seleccione On (Activada).7. Seleccione la casilla de verificación de confirmación.8. Seleccione Save.
Para desactivar la aplicación DMARC
• Siga los pasos 1 a 8 de la sección anterior, pero en el paso 6, elija Off (Desactivada) en lugar de On(Activada).
Uso del registro de eventos de correo electrónico pararastrear la aplicación DMARCLa activación de la aplicación DMARC puede provocar que los correos electrónicos entrantes se elimineno se marquen como spam, en función de cómo haya configurado su dominio el remitente. Si un remitenteconfigura incorrectamente su dominio de correo electrónico, es posible que los usuarios dejen de recibircorreos electrónicos legítimos. Para comprobar si hay correos electrónicos que no se entregan a losusuarios, puede habilitar el registro de eventos de correo electrónico en su organización de AmazonWorkMail. A continuación, puede consultar los registros de eventos de correo electrónico para los correoselectrónicos entrantes que se filtran en función de las políticas de DMARC del remitente.
Antes de utilizar el registro de eventos de correo electrónico para realizar un seguimiento de la aplicaciónDMARC, habilite el registro de eventos de correo electrónico en la consola de Amazon WorkMail. Para
Version 1.070
Amazon WorkMail Guía del administradorUso del registro de eventos de correo
electrónico para rastrear la aplicación DMARC
sacar el máximo provecho de los datos de registro, deje pasar algún tiempo mientras se registran loseventos de correo electrónico. Para obtener más información e instrucciones, consulte the section called“Activación del registro de eventos de correo electrónico” (p. 67).
Para utilizar el registro de eventos de correo electrónico para realizar un seguimiento de laaplicación DMARC
1. En la consola de CloudWatch Insights, en Logs (Registros), elija Insights.2. En Select log group(s) (Seleccionar grupos de registro), seleccione el grupo de registro de su
organización de Amazon WorkMail. Por ejemplo, /aws/workmail/events/organization-alias.3. Seleccione un período de tiempo para consultar.4. Ejecute la siguiente consulta: stats count() by event.dmarcPolicy | filter event.dmarcVerdict == "FAIL"5. Elija Run Query (Ejecutar consulta).
También puede configurar métricas personalizadas para estos eventos. Para obtener más información,consulte Creación de filtros de métricas.
Version 1.071
Amazon WorkMail Guía del administradorAdición de un dominio
Uso de dominiosPuede agregar o eliminar dominios de correo electrónico o convertirlos en predeterminados.
Temas• Adición de un dominio (p. 72)• Eliminación de un dominio (p. 74)• Elección del dominio predeterminado (p. 75)• Verificación de dominios (p. 75)• Habilitación de la detección automática para configurar puntos de enlace (p. 78)• Modificación de políticas de identidad de dominios (p. 82)• Autenticación de correo electrónico con SPF (p. 83)
Adición de un dominioPuede añadir hasta 100 dominios a su organización para el envío de correo electrónico. Cuando se añadeun dominio, se añade automáticamente una política de autorización de envío de Amazon SES a la políticade identidad del dominio. Esto proporciona a Amazon WorkMail acceso a todas las acciones de envíode Amazon SES para el dominio y le permite redirigir correo electrónico al dominio, así como a dominiosexternos.
Note
Como práctica recomendada, también debería añadir alias para postmaster@ y [email protected] crear grupos de distribución para estos alias si desea que determinados usuarios de suorganización reciban correo electrónico enviado a estos alias.
Para añadir un dominio
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon WorkMail enhttps://console.aws.amazon.com/iam/.
2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a susnecesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations, en la columna Alias, seleccione el nombre de la organización a la que vaa añadir un dominio.
4. En el panel de navegación, elija Domains, Add domain.5. En la pantalla Add domain (Añadir dominio), escriba el nombre de dominio que se va a añadir. Los
nombres de dominio pueden contener caracteres de alfabeto latino básico (ASCII).
• (Opcional) Si tiene un dominio que se administra en una zona alojada pública de Amazon Route 53,puede elegirlo en el menú desplegable que aparece.
6. Elija Add domain (Añadir dominio).
• (Opcional) Si añade un dominio para el que utiliza Route 53 como servicio DNS y la zona alojadano contiene ningún registro para Amazon WorkMail (como registros MX), se abrirá la páginaAutomatic Configuration (Configuración automática). Elija Configure automatically (Configurarautomáticamente), siga las instrucciones para que Amazon WorkMail inserte automáticamente losregistros de DNS y omita el resto de este procedimiento.
Version 1.072
Amazon WorkMail Guía del administradorAdición de un dominio
7. En la sección de la consola Step 1: Verify domain ownership (Paso 1: Verificar propiedad del dominio),el registro TXT verifica la propiedad del dominio.
Una vez que se han creado todos los usuarios y grupos de distribución, y se han migradocorrectamente los buzones de correo, puede actualizar el registro MX para comenzar a reenviar correoelectrónico a Amazon WorkMail. Las actualizaciones de los registros de DNS puede tardar hasta 48horas en procesarse. Para obtener más información acerca de cómo crear registros de DNS, consulteel paso 8.
8. En las secciones de la consola Step 2: Finalize domain setup (Paso 2: Finalizar la configuración deldominio) y Step 3: Increase security (recommended) (Paso 3: Aumentar la seguridad (recomendado)),se muestran los siguientes registros:
• El registro MX para entregar correo electrónico entrante a Amazon WorkMail.• El registro CNAME para la detección automática que permite a los usuarios configurar fácilmente
Microsoft Outlook o un dispositivo móvil sabiendo solamente su dirección de correo electrónico ycontraseña.
• Los registros CNAME para firma DKIM. Para obtener más información sobre la firma DKIM, consulteAutenticación de correo electrónico con DKIM en la Guía para desarrolladores de Amazon SimpleEmail Service.
• Registro TXT para la verificación SPF. Para obtener más información sobre la verificación SPF,consulta Autenticación de correo electrónico con SPF (p. 83).
• Registro TXT para DMARC. Para obtener más información acerca de los registros DMARCen Amazon WorkMail, consulte Cumplir con DMARC mediante Amazon SES en la Guía paradesarrolladores de Amazon Simple Email Service.
Important
Algunos proveedores de DNS añaden automáticamente el nombre de dominio al final delos registros de DNS. Añadir un registro que ya contiene el nombre de dominio (como, porejemplo _amazonses.example.com) podría dar lugar a la duplicación del nombre de dominio(como, por ejemplo _amazonses.example.com.example.com). Para evitar la duplicación delnombre de dominio en el nombre de registro, añada un punto al final del nombre de dominioen el registro de DNS. Esto indica a su proveedor de DNS que se trata de un nombre deregistro completo, lo que significa que ya no está relacionado con el nombre de dominio.También impide que el proveedor de DNS añada un nombre de dominio adicional.
Puede copiar estos registros para usarlos con el servicio DNS. Los nombres de registro copiadosincluyen el nombre de dominio. En función del proveedor del servicio DNS que utilice, es posible queel nombre de dominio ya se haya añadido al registro de DNS del dominio.
Los registros de la página de dominio también incluyen el estado de verificación. Después decrear un registro, elige el icono de actualización para ver el estado de verificación y el valor deregistro. Para obtener más información sobre la verificación de dominios, consulte Verificación dedominios (p. 75).
En la tabla siguiente se muestran los estados de verificación disponibles para cada tipo de registro.
Verificado Pendiente Ausente Con error Incoherente
Registro depropiedad TXT
Registroresuelto yverificado.
Registro aúnno verificado.
N/A No se puedeverificar lapropiedad.Registro nocoincidente oinaccesible.
N/A
Version 1.073
Amazon WorkMail Guía del administradorEliminación de un dominio
Verificado Pendiente Ausente Con error Incoherente
MX Registroresuelto yverificado.
N/A No se puederesolver elregistro.
N/A El valor nocoincide conel registroesperado.
Detecciónautomática
Registroresuelto yverificado.
N/A No se puederesolver elregistro.
N/A El valor nocoincide conel registroesperado.
RegistrosCNAME paraDKIM
Registroresuelto yverificado.
Registro aúnno verificado.
N/A No se puedeverificar lapropiedad.Registro nocoincidente oinaccesible.
N/A
Registro TXTde SPF
Registroresuelto yverificado.
N/A No se puederesolver elregistro.
N/A El valor nocoincide conel registroesperado.
Registro TXTde DMARC
Registroresuelto yverificado.
N/A No se puederesolver elregistro.
N/A El valor nocoincide conel registroesperado.
Note
La verificación de dominio de detección automática también comprueba si la configuraciónde detección automática es correcta. Tras completar la verificación de la fase 2 y la fase 3,aparece una marca de verificación junto al estado Verificado.
Recomendamos que configure Tiempo de vida (TTL) en hasta 3600 del registro MX y CNAME parala detección automática. La reducción del TTL garantiza que los servidores de correo electrónico noutilicen registros MX obsoletos o no válidos después de actualizar los registros MX o de migrar losbuzones de correo.
Eliminación de un dominioPuede eliminar un dominio cuando ya no lo necesite.
Note
No puede eliminar un dominio cuando haya usuarios o grupos que utilizan el dominio comodirección de correo electrónico.
Para eliminar un dominio
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon WorkMail enhttps://console.aws.amazon.com/iam/.
2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a susnecesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
Version 1.074
Amazon WorkMail Guía del administradorElección del dominio predeterminado
3. En la pantalla Organizations, en la columna Alias, seleccione el nombre de la organización de la queva a eliminar el dominio.
4. En la lista de dominios, seleccione la casilla de verificación junto al nombre de dominio y, acontinuación, elija Remove.
5. En el cuadro de diálogo Remove domain, escriba el nombre del dominio que va a quitar y elijaRemove.
Elección del dominio predeterminadoPara usar un dominio como predeterminado en la dirección de correo de sus usuarios y grupos, puedeelegir un dominio predeterminado. Convertir un dominio en predeterminado no cambia las direcciones decorreo electrónico existentes.
Para convertir un dominio en predeterminado
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon WorkMail enhttps://console.aws.amazon.com/iam/.
2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a susnecesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations, en la columna Alias, seleccione el nombre de la organización a la que vaa añadir un dominio predeterminado.
4. En la lista de dominios, seleccione la casilla de verificación junto al nombre de dominio y, acontinuación, elija Set as default.
Verificación de dominiosDespués de añadir un dominio para Amazon WorkMail en la consola, el siguiente paso consiste enverificarlo. La verificación del dominio confirma que usted es el propietario del dominio y que está utilizandoAmazon WorkMail como el servicio de correo electrónico para el dominio.
Para verificar un dominio con Amazon WorkMail, inicie el proceso mediante la consola de AmazonWorkMail. A continuación, añada un registro TXT a su servicio DNS tal y como se describe en Verificaciónde dominios en Amazon SES en la Guía para desarrolladores de Amazon Simple Email Service. Utilicela consola de Amazon WorkMail para verificar que su servicio DNS se ha actualizado correctamentecon el registro TXT de Amazon WorkMail. Para obtener más información, consulte Adición de undominio (p. 72).
También puede utilizar nslookup o dig para confirmar que sus registros TXT y MX de Amazon WorkMailse actualizan con su servicio DNS.
Temas• Verificación de registros TXT y registros MX con su servicio DNS (p. 75)• Solución de problemas de verificación de dominios (p. 77)
Verificación de registros TXT y registros MX con suservicio DNSConfirme que el registro TXT que verifica que usted es el propietario del dominio se añade correctamentea su servicio DNS. Este procedimiento utiliza la herramienta nslookup, que está disponible para Windows yLinux. En Linux, también puede utilizar dig.
Version 1.075
Amazon WorkMail Guía del administradorVerificación de registros TXT y
registros MX con su servicio DNS
En este procedimiento de la herramienta nslookup, busque primero los servidores DNS que dan servicioa a su dominio. A continuación, consulte los servidores para ver los registros TXT. Debe consultar losservidores DNS de su dominio porque dichos servidores contienen la información más actualizada de sudominio. Esta información puede tardar tiempo en propagarse a otros servidores DNS.
Para utilizar nslookup para verificar que su registro TXT se ha añadido a su servicio DNS
1. Busque los servidores de nombres del dominio:
a. Abra un símbolo del sistema.b. Ejecute el siguiente comando para ver una lista de todos los nombres de servidor que dan servicio
a su dominio:
nslookup -type=NS example.com
Consultará uno de estos servidores de nombres en el siguiente paso.2. Compruebe que el registro TXT se ha añadido correctamente:
a. Ejecute el siguiente comando utilizando su dominio y uno de los servidores de nombres queencontró en el paso 1.
nslookup -type=TXT _amazonses.example.com ns1.name-server.net
b. En la salida del comando, verifique que la cadena que sigue a text = coincide con el valorTXT que ve cuando selecciona el dominio en la lista de remitentes verificados de la consola deAmazon WorkMail.
En el ejemplo, está buscando un registro TXT en _amazonses.example.com con un valor defmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk=. Si el registro se ha actualizadocorrectamente, el comando debería emitir el siguiente resultado:
_amazonses.example.com text = "fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk="
Para utilizar dig para comprobar que su registro TXT se ha añadido a su servicio DNS
1. Abra una ventana de terminal.2. Ejecute el siguiente comando para mostrar los registros TXT de su dominio:
dig +short example.com txt
3. Verifique que la cadena que sigue a TXT coincide con el valor TXT que ve cuando selecciona eldominio en la lista de remitentes verificados de la consola de Amazon WorkMail.
Para utilizar nslookup para comprobar que el registro MX se ha añadido a su servicio DNS
1. Busque los servidores de nombres del dominio:
a. Abra un símbolo del sistema.b. Ejecute el siguiente comando para ver una lista de todos los nombres de servidor que dan servicio
a su dominio:
nslookup -type=NS example.com
Consultará uno de estos servidores de nombres en el siguiente paso.
Version 1.076
Amazon WorkMail Guía del administradorSolución de problemas de verificación de dominios
2. Compruebe que el registro MX se ha añadido correctamente:
a. Ejecute el siguiente comando utilizando su dominio y uno de los servidores de nombres queencontró en el paso 1.
nslookup -type=MX example.com ns1.name-server.net
b. En la salida del comando, verifique que la cadena que sigue a mail exchange = coincide conuno de los siguientes valores:
Para Región EE.UU. Este (Norte de Virginia), el registro tiene que ser: 10 inbound-smtp.us-east-1.amazonaws.com
Para Región de Europa (Irlanda), el registro tiene que ser: 10 inbound-smtp.eu-west-1.amazonaws.com
Para Región EE.UU. Oeste (Oregón), el registro tiene que ser: 10 inbound-smtp.us-west-2.amazonaws.com
Note
10 representa el número de preferencia o prioridad de MX.
Para utilizar dig para comprobar que el registro MX se ha añadido a su servicio DNS
1. Abra una ventana de terminal.2. Ejecute el siguiente comando para obtener una lista de los registros MX de su dominio:
dig +short example.com mx
3. Compruebe que la cadena que sigue a MX coincide con uno de los siguientes valores:
Para Región EE.UU. Este (Norte de Virginia), el registro tiene que ser: 10 inbound-smtp.us-east-1.amazonaws.com
Para Región de Europa (Irlanda), el registro tiene que ser: 10 inbound-smtp.eu-west-1.amazonaws.com
Para Región EE.UU. Oeste (Oregón), el registro tiene que ser: 10 inbound-smtp.us-west-2.amazonaws.com
Note
10 representa el número de preferencia o prioridad de MX.
Solución de problemas de verificación de dominiosPara obtener ayuda con la resolución de problemas de verificación de dominios, consulte la siguiente lista.
• Su servicio DNS no permite el uso de caracteres de subrayado en el nombre del registro TXT: puedeomitir _amazonses en el nombre del registro TXT.
• Desea verificar el mismo dominio varias veces y no puede tener varios registros TXT con el mismonombre: es posible que tenga que verificar su nombre de dominio más de una vez, ya que está enviandocorreo desde varias cuentas de AWS que utilizan el mismo dominio en la misma región. Si su servicioDNS no le permite tener varios registros TXT con el mismo nombre, existen dos soluciones temporales.La primera solución, si su servicio DNS lo permite, consiste en asignar varios valores al registro TXT. PorVersion 1.0
77
Amazon WorkMail Guía del administradorHabilitación de la detección automática
para configurar puntos de enlace
ejemplo, si Amazon Route 53 administra su DNS, puede configurar varios valores para el mismo registroTXT de la siguiente manera:1. En la consola de Route 53, elija el registro TXT _amazonses que añadió cuando verificó su dominio
en la primera región.2. En Value (Valor), pulse Intro después del primer valor.3. Añada el valor para la región adicional y guarde el conjunto de registros.
Si solo necesita verificar su dominio dos veces, otra solución que puede probar es verificarlo una vezcon _amazonses en el nombre de registro TXT y, a continuación, omitir _amazonses en el nombre deregistro por completo. No obstante, le recomendamos que utilice la solución de varios valores.
• Amazon WorkMail notifica que la verificación del dominio ha producido un error: el dominio indicaun estado "failed" (error) en la pestaña Domains (Dominios) de la consola de Amazon WorkMail.Esto significa que Amazon WorkMail no puede encontrar el registro TXT necesario del servicio DNS.Verifique que el registro TXT necesario se ha añadido correctamente a su servicio DNS utilizando elprocedimiento de Verificación de registros TXT y registros MX con su servicio DNS (p. 75) y busqueel siguiente error posible.• Su proveedor de DNS adjuntó el nombre de dominio al final del registro TXT: añadir un registro
TXT que ya contiene el nombre de dominio (como, por ejemplo, _amazonses.example.com)podría dar lugar a la duplicación del nombre de dominio (como, por ejemplo,_amazonses.example.com.example.com). Para evitar la duplicación del nombre de dominio, añada unpunto al final del nombre de dominio en el registro TXT. Esto indicará a su proveedor de DNS que elnombre de registro es completo (es decir, ya no está relacionado con el nombre de dominio) y evitaque el proveedor de DNS anexe un nombre de dominio adicional.
• Amazon WorkMail informa de que el registro MX es incoherente: al migrar desde servidores de correoexistentes, el registro MX puede tener ser Inconsistent (Incoherente). Para resolverlo, actualice suregistro MX para que apunte a Amazon WorkMail en lugar de apuntar a su servidor de correo anterior. Elregistro MX también se devuelve como Inconsistent (Incoherente) cuando se utiliza un proxy de correoelectrónico de terceros junto con Amazon WorkMail. Si este es el caso, se puede ignorar la advertenciaInconsistent (Incoherente) sin problemas.
Habilitación de la detección automática paraconfigurar puntos de enlace
La detección automática le permite configurar fácilmente Microsoft Outlook y clientes móviles con tan solosu dirección de correo electrónico y contraseña. El servicio también mantiene una conexión con AmazonWorkMail y actualiza la configuración local siempre que se hacen cambios en los puntos de enlace o enla configuración. Además, la detección automática permite al cliente utilizar características adicionalesde Amazon WorkMail, como la libreta de direcciones sin conexión, el asistente para fuera de oficina y laposibilidad de ver el tiempo libre u ocupado en el calendario.
El cliente realiza las siguientes fases de la detección automática para detectar las URL de puntos deenlace del servidor:
• Fase 1: el cliente realiza una búsqueda de SCP en la instancia local de Active Directory. Si su cliente nose ha incorporado a un dominio, la detección automática omite este paso.
• Fase 2: el cliente envía una solicitud a las siguientes URL y valida los resultados. Estos puntos de enlacesolo están disponibles si se utiliza HTTPS.• https://company.tld/autodiscover/autodiscover.xml• https://autodiscover.company.tld/autodiscover/autodiscover.xml
• Fase 3: el cliente realiza una búsqueda de DNS para autodiscover.company.tld y envía una solicitudGET sin autenticar al punto de enlace derivado de la dirección de correo electrónico del usuario. Si el
Version 1.078
Amazon WorkMail Guía del administradorHabilitación de la detección automática
para configurar puntos de enlace
servidor devuelve una redirección 302, el cliente vuelve a enviar la solicitud de detección automática alpunto de enlace HTTPS devuelto.
Si se produce un error en todas estas fases, no es posible configurar automáticamente el cliente y deberáconfigurar el cliente manualmente. Para obtener información sobre la configuración manual de dispositivosmóviles, consulte Conectar manualmente un dispositivo.
Al configurar su dominio en Amazon WorkMail, se le pide que añada el registro DNS para la detecciónautomática. Esto permite al cliente realizar la fase 3 del proceso de detección automática. No obstante,estos pasos no funcionarán para todos los dispositivos móviles como por ejemplo la aplicación de correoelectrónico stock de Android y es posible que tenga que configurar la fase 2 de detección automáticamanualmente.
Puede configurar la fase 2 de la detección automática para su dominio de dos formas:
• Mediante Route 53 y Amazon CloudFront (recomendado)• Configurando un servidor web Apache con un servidor proxy inverso
Para habilitar la fase 2 de la detección automática con Route 53 y CloudFront
Note
Los siguientes pasos muestran como asignar https://autodiscover.company.tld/autodiscover/autodiscover.xml. Para asignar https://company.tld/autodiscover/autodiscover.xml, quite el prefijo"autodiscover" de los dominios siguiendo los pasos que se describen a continuación.Para obtener más información sobre los precios aplicables, consulte Precios de AmazonCloudFront y Precios de Amazon Route 53.
1. Obtenga un certificado SSL para autodiscover.company.tld y cárguelo en AWS Identity and AccessManagement o AWS Certificate Manager. Para obtener más información, consulte Uso de certificadosde servidor en la Guía del usuario de IAM o Introducción en la Guía del usuario de AWS CertificateManager.
2. Cree una distribución de CloudFront nueva.
1. Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/.2. Seleccione Create Distribution.3. En Web, elija Get Started (Introducción).4. Rellene los siguientes valores para Origin Settings (Configuración de origen):
• En Origin Domain Name (Nombre de dominio de origen), escriba el nombre de dominioadecuado para su región: autodiscover-service.mail.us-east-1.awsapps.com,autodiscover-service.mail.eu-west-1.awsapps.com o autodiscover-service.mail.us-west-2.awsapps.com.
• Origin Protocol Policy (Política de protocolo de origen): Match ViewerNote
Deje el campo Origin path (Ruta de origen) en blanco y no modifique el valorespecificado de forma automática en Origin ID (ID de origen).
5. Seleccione los valores siguientes para Default Cache Behavior Settings (Configuraciónpredeterminada del comportamiento de la caché):• Viewer Protocol Policy: solo HTTPS• Allowed HTTP Methods: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE• Cache Based on Selected Request Headers: All (Almacenar en caché en función de los
encabezados de solicitud seleccionados: Todo)• Forward Cookies: todas
Version 1.079
Amazon WorkMail Guía del administradorHabilitación de la detección automática
para configurar puntos de enlace
• Query String Forwarding and Caching: None (Improves Caching) [Reenvío de cadenas deconsulta y almacenamiento en caché: Ninguno (mejora el almacenamiento en caché)]
• Smooth Streaming: no• Restrict Viewer Access: no
6. Seleccione los valores siguientes para Distribution Settings (Configuración de distribución):• Price Class: usar solo Estados Unidos, Canadá y Europa• En Alternate Domain Names (CNAMEs) (Nombres de dominio alternativos (CNAME)), escribaautodiscover.company.tld o company.tld
• SSL Certificate (Certificado SSL): certificado SSL personalizado (almacenado en IAM)• Custom SSL Client Support (Soporte de cliente SSL personalizado): elija All Clients (Todos los
clientes) u Only Clients that Support Server Name Indication (SNI) (Solo clientes que admitenindicación de nombre de servidor, SNI). Es posible que las versiones anteriores de Android nofuncionen con esta última opción.
Note
Si elige All Clients (Todos los clientes), deje Default Root Object (Objeto raízpredeterminado) en blanco.
• Logging (Registro): elija On (Activado) u Off (Desactivado).• En Comment (Comentario), escriba AutoDiscover type2 forautodiscover.company.tld
• En Distribution State (Estado de distribución), elija Enabled (Habilitado).7. Seleccione Create Distribution (Crear distribución).
3. En Route 53, cree un registro que enrute el tráfico de Internet de su nombre de dominio a sudistribución de CloudFront:
Note
En estos pasos, se presupone que el registro de DNS para example.com está alojado enRoute 53.
1. En la consola de Route 53, elija Hosted Zones (Zonas alojadas) y example.com.2. Elija Create Record Set (Crear conjunto de registros) y, a continuación, rellene los siguientes
campos:• Name (Nombre): autodiscover.example.com• Type (Tipo): A: dirección IPv4• Alias: sí• Alias Target (Destino de alias): la distribución de CloudFront creada anteriormente
Note
Si la distribución de CloudFront creada anteriormente no existe, espere un poco yvuelva a intentarlo más tarde. El cambio de propagación para una nueva distribución deCloudFront puede tardar hasta una hora.
• Evaluate Target Health (Evaluar estado de destino): no3. Seleccione Create.
Para habilitar la fase 2 de detección automática con un servidor web Apache
1. Configure las dos directivas siguientes en un servidor Apache habilitado para SSL:
SSLProxyEngine on ProxyPass /autodiscover/autodiscover.xmlhttps://autodiscover-service.mail.REGION.awsapps.com/autodiscover/autodiscover.xmlVersion 1.0
80
Amazon WorkMail Guía del administradorSolución de problemas de la fase 2 de detección automática
2. Si aun no están habilitados, habilite los siguientes módulos de Apache:
• proxy• proxy_http• socache_shmcb• ssl
3. Confirme que el punto de enlace está habilitado para SSL y configurado correctamente.
Solución de problemas de la fase 2 de detecciónautomáticaEnvíe las siguientes solicitudes a su punto de enlace de detección automática para probar la configuracióncorrecta. Si el punto de enlace de detección automática está configurado correctamente, responde con unmensaje de solicitud no autorizada.
Para realizar una solicitud básica no autorizada
• Cree una solicitud POST no autenticada en el punto de enlace de detección automática.
Si su punto de enlace está configurado correctamente, debería devolver un mensaje 401 unauthorized:
$ curl -X POST -v https://autodiscover.''company.tld''/autodiscover/autodiscover.xml...HTTP/1.1 401 Unauthorized
A continuación, ejecute una solicitud real que emitirá un dispositivo móvil.
Para ejecutar una solicitud real
1. Cree un archivo request.xm con el siguiente contenido XML:
<?xml version="1.0" encoding="utf-8"?><Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/mobilesync/requestschema/2006"> <Request> <EMailAddress>[email protected]</EMailAddress> <AcceptableResponseSchema> http://schemas.microsoft.com/exchange/autodiscover/mobilesync/responseschema/2006 </AcceptableResponseSchema> </Request></Autodiscover>
2. Haga la solicitud.
$ curl -d @request.xml -u [email protected] -v https://autodiscover.company.tld/autodiscover/autodiscover.xmlEnter host password for user '[email protected]':<?xml version="1.0" encoding="UTF-8"?><Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/mobilesync/responseschema/2006"> <Culture>en:us</Culture> <User>
Version 1.081
Amazon WorkMail Guía del administradorModificación de políticas de identidad de dominios
<DisplayName>User1</DisplayName> <EMailAddress>[email protected]</EMailAddress> </User> <Action> <Settings> <Server> <Type>MobileSync</Type> <Url>https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync</Url> <Name>https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync</Name> </Server> </Settings> </Action></Response>
Si el resultado de la respuesta es parecido, el punto de enlace de detección automática está configuradocorrectamente.
Modificación de políticas de identidad de dominiosLas políticas de identidad de dominio especifican permisos para acciones de correo electrónico (como elredireccionamiento de mensajes de correo). Puede redirigir el correo electrónico a cualquier dirección decorreo electrónico de su elección; no obstante, si su dominio se añadió antes del 13 de octubre de 2016,tiene que actualizar manualmente la política de autorización de envío para admitirlo.
La actualización es la suma de una nueva acción: ses:*. Los dominios añadidos con fecha posterior al 13de octubre de 2016 han añadido esto de manera predeterminada.
Note
Actúe con cautela al modificar otras secciones de la política ses, ya que si la configuración esincorrecta, esto puede tener efectos adversos en la funcionalidad de Amazon WorkMail.
Para actualizar la política de identidad del dominio
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon SES en https://console.aws.amazon.com/ses/home.
2. En el panel Navigation (Navegación) de la consola de Amazon SES, en Identity Management(Administración de identidades), elija Domains (Dominios).
3. En la lista de dominios, elija el dominio que se va a editar.4. En el panel Details, expanda Identity Policies, encuentre la política que desea editar y, a continuación,
elija Edit Policy.5. En el panel Edit Policy, bajo "Action", añada ses:*,.6. Seleccione Apply Policy.
Las acciones actualizadas de la política tendrán un aspecto similar al siguiente:
"Action": [ "ses:*", "ses:SendBounce", "ses:SendRawEmail" ],
Version 1.082
Amazon WorkMail Guía del administradorAutenticación de correo electrónico con SPF
Autenticación de correo electrónico con SPFEl marco de directivas de remitente (SPF) es un estándar de validación de correo electrónico diseñadopara combatir la suplantación de correo electrónico. Para obtener información sobre cómo configurar SPFpara el dominio habilitado para Amazon WorkMail, consulte Autenticación de correo electrónico con SPFen Amazon SES.
Version 1.083
Amazon WorkMail Guía del administradorAdministración de cuentas de usuario
Trabajo con usuariosPuede crear y quitar usuarios de Amazon WorkMail. Además, puede restablecer sus contraseñas decorreo electrónico y eliminar los datos de sus dispositivos móviles.
Temas• Administración de cuentas de usuario (p. 84)• Administración de los buzones de correo de los usuarios (p. 87)• Administración de dispositivos móviles (p. 92)• Habilitación del correo electrónico firmado o cifrado (p. 94)
Administración de cuentas de usuarioUtilice Amazon WorkMail para crear usuarios nuevos, habilitar los usuarios existentes, editar lasdirecciones de correo electrónico de los usuarios, crear alias para el correo electrónico de los usuarios,editar los detalles de los usuarios y restablecer las contraseñas de los usuarios.
Temas• Creación de usuarios (p. 84)• Habilitación de usuarios existentes (p. 85)• Modificación de direcciones de correo electrónico de los usuarios (p. 85)• Modificación de los detalles de los usuarios (p. 85)• Restablecimiento de las contraseñas de los usuarios (p. 86)• Solución de problemas de políticas de contraseñas de Amazon WorkMail (p. 86)
Creación de usuariosCuando se crean usuarios, Amazon WorkMail crea buzones de correo para ellos. Los usuarios puedeniniciar sesión y obtener acceso a su correo desde la aplicación web de Amazon WorkMail, desde undispositivo móvil o desde Microsoft Outlook en macOS o en un PC.
Para crear un nuevo usuario
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, seleccione Users (Usuarios) para ver una lista de todos los usuariosdel directorio. Esa lista incluye a los usuarios habilitados, deshabilitados y del sistema según loestablecido en el directorio subyacente.
5. Para crear un nuevo usuario, seleccione Create User (Crear usuario).6. En la pantalla Add the details for your new user, escriba el nombre y apellidos del usuario, el nombre
de usuario y el nombre de visualización y, a continuación, elija Next.7. En la pantalla Set up email address and password, escriba la dirección de correo electrónico y la
contraseña del usuario y elija Add user.
Version 1.084
Amazon WorkMail Guía del administradorHabilitación de usuarios existentes
Habilitación de usuarios existentesCuando Amazon WorkMail está integrado con un Active Directory corporativo o si se tienen usuariosdisponibles en el directorio de Simple AD, es posible habilitar esos usuarios en Amazon WorkMail.
Para activar un usuario de un directorio existente
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, elija Users para ver una lista de todos los usuarios del directorio, incluidoslos usuarios habilitados, deshabilitados y del sistema.
5. En la lista de usuarios desactivados, seleccione los usuarios que desea activar y seleccione Enableuser.
6. En el cuadro de diálogo Enable user(s), verifique la dirección principal de correo electrónico yseleccione Enable.
Modificación de direcciones de correo electrónico delos usuariosPuede asignar varias direcciones de correo electrónico a un solo usuario, mientras que la direcciónde correo electrónico predeterminada se usa como dirección de envío predeterminada para el correoelectrónico saliente.
También puede añadir uno o varios alias de correo electrónico, que se pueden usar para enviar o recibircorreo electrónico desde una dirección o dominio diferentes. Para obtener más información, consulteEnviar como alias.
Para editar la dirección de correo electrónico de un usuario
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, seleccione Users y, a continuación, en la lista de usuarios, seleccione elnombre del usuario que desea editar.
5. En la pestaña General, elija Edit, Add email address y, a continuación, escriba la dirección de correoelectrónico para añadirla a este usuario.
6. Para establecer la nueva dirección de correo electrónico como valor predeterminado, elija Set asdefault.
Modificación de los detalles de los usuariosPuede editar el nombre y apellidos, la dirección de correo electrónico, el nombre de visualización, elnúmero de teléfono e información sobre la empresa de un usuario. También puede definir una cuota de
Version 1.085
Amazon WorkMail Guía del administradorRestablecimiento de las contraseñas de los usuarios
buzón de correo del usuario desde 1 MB hasta 51,200 MB (50 GB). Los usuarios reciben una notificacióncuando alcanzan el 90 % de la cuota de buzón establecida.
Cambio de una cuota de buzón de correo del usuario no afecta a los precios. Para más información sobrelos precios, consulte Amazon WorkMail Precios.
Note
Si ha integrando Amazon WorkMail con un directorio de AD Connector, no puede editar estosdetalles desde la Consola de administración de AWS. En su lugar, debe editarlos mediantesus herramientas de administración de Active Directory. Las limitaciones se aplican cuandosu organización está en modo de interoperabilidad. Para obtener más información, consulteLimitaciones del modo de interoperabilidad (p. 41).
Para editar los detalles de un usuario
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, elija Users y seleccione el nombre del usuario que desea editar.5. En la pestaña General, elija Edit y, a continuación, actualice cualquiera de los campos según
corresponda. Para actualizar una cuota de buzón de correo del usuario, elija la pestaña Quota.6. Seleccione Save.
Restablecimiento de las contraseñas de los usuariosSi un usuario olvida una contraseña o tiene problemas al iniciar sesión en Amazon WorkMail, es posiblerestablecer su contraseña. Si ha integrando Amazon WorkMail con un directorio de AD Connector, deberestablecer la contraseña del usuario en Active Directory.
Para restablecer una contraseña de usuario
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, seleccione Users.5. En la lista de usuarios, seleccione el nombre del usuario que desea editar y elija Reset password.6. En el cuadro de diálogo Reset Password (Restablecer contraseña), escriba la nueva contraseña y elija
Reset (Restablecer).
Solución de problemas de políticas de contraseñas deAmazon WorkMailSi no se puede restablecer la contraseña, compruebe que la nueva contraseña cumple los requisitos de laspolíticas de contraseñas.
Version 1.086
Amazon WorkMail Guía del administradorAdministración de los buzones de correo de los usuarios
Los requisitos de las políticas de contraseñas dependen del tipo de directorio utilizado por la organizaciónde Amazon WorkMail.
Políticas de contraseñas de Amazon WorkMail Directory y Simple AD Directory
De forma predeterminada, las contraseñas de un directorio de Amazon WorkMail o un directorio de SimpleAD deben:
• No estar vacías.• Tener al menos ocho caracteres.• Tener menos de 64 caracteres.• Estar formadas por caracteres Basic Latin o Latin-1.
Las contraseñas también debe contener caracteres de tres de los cinco grupos siguientes:
• Caracteres en mayúsculas• Caracteres en minúsculas• Dígitos numéricos• Caracteres especiales (como <, ~ o !)• Caracteres del complemento Latin-1 (como é, ü o ñ)
Las políticas de contraseñas del directorio de Amazon WorkMail no se pueden cambiar.
Para cambiar una política de contraseñas de Simple AD, utilice las herramientas de administración de ADen una instancia Amazon EC2 de Windows de su directorio Simple AD. Para obtener más información,consulte Instalar las herramientas de administración de Active Directory en la AWS Directory ServiceAdministration Guide.
Política de contraseñas de AWS Managed Microsoft AD
Para obtener más información acerca de la política de contraseñas predeterminada de un directorio deAWS Managed Microsoft AD, consulte Administración de las políticas de contraseñas para AWS ManagedMicrosoft AD en la AWS Directory Service Administration Guide.
Política de contraseñas de AD Connector
AD Connector utiliza la política de contraseñas del dominio de Active Directory al que se conecta.
Administración de los buzones de correo de losusuarios
Puede deshabilitar y restaurar buzones de correo de los usuarios y habilitar notificaciones de inserción.Para obtener información acerca de la administración de los permisos de los buzones de correo, consulteCómo usar los permisos del buzón de correo (p. 99).
Temas• Deshabilitación de los buzones de correo de los usuarios (p. 88)• Restauración de buzones de correo deshabilitados (p. 88)• Uso de notificaciones (p. 89)
Version 1.087
Amazon WorkMail Guía del administradorDeshabilitación de los buzones de correo de los usuarios
Deshabilitación de los buzones de correo de losusuariosPuede deshabilitar los buzones de correo de los usuarios cuando dejen de ser necesarios. AmazonWorkMail guarda los buzones de correo durante 30 días antes de eliminarlos definitivamente
Para deshabilitar el buzón de correo de un usuario
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, seleccione Users, seleccione el nombre del usuario que desea deshabilitary elija Disable User.
5. En el cuadro de diálogo Disable user(s), seleccione Disable.
Note
Para eliminar de forma permanente un usuario y sus datos, utilice la acción de API DeleteUserde Amazon WorkMail. Para obtener más información, consulte la sección DeleteUser de laReferencia de la API de Amazon WorkMail.
Restauración de buzones de correo deshabilitadosAmazon WorkMail retiene los buzones de correo deshabilitados durante 30 días antes de eliminarlosdefinitivamente. Para restaurar un buzón de correo, use los mismos pasos empleados en la habilitación deun usuario existente.
Important
Los buzones de correo no se pueden restaurar si se ha eliminado la organización que loscontiene. Para restaurar el buzón de correo deshabilitada de un usuario, el usuario debe seguir enel directorio. Si el usuario no está en el directorio o si lo ha vuelto a crear, el buzón de correo nose podrá restaurar porque cada buzón de correo se vincula a un ID de usuario único.
Para restaurar un buzón de correo deshabilitado
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, seleccione Users para ver una lista de usuarios activados, desactivados ydel sistema.
5. En la lista de usuarios desactivados, seleccione los usuarios que desea activar y seleccione Enableuser.
6. En el cuadro de diálogo Enable user(s), verifique la dirección principal de correo electrónico delusuario y seleccione Enable.
Version 1.088
Amazon WorkMail Guía del administradorUso de notificaciones
Uso de notificacionesCon la API de notificaciones de inserción de Amazon WorkMail, puede recibir notificaciones de inserciónde los cambios que se produzcan en su buzón de correo electrónico, como la llegada de correoelectrónico nuevo y las actualizaciones del calendario. Puede registrar las URL (o agentes de respuestade notificaciones de inserción) para recibir notificaciones. Con esta característica, los desarrolladorespueden crear aplicaciones con gran capacidad de respuesta para los usuarios de Amazon WorkMail, comoaplicaciones que notifiquen rápidamente los cambios en el buzón de correo de un usuario.
Para obtener más información, consulte Suscripciones de notificación, eventos del buzón y EWS enExchange.
Puede suscribirse a carpetas específicas, como la bandeja de correo o el calendario, o a todas lascarpetas para los eventos de cambio del buzón de correo (incluidas las carpetas NewMail, Created yModified).
Se pueden usar bibliotecas cliente como la API Java de EWS o la API C# de EWS administrada paraobtener acceso a esta característica. Puede encontrar una aplicación de ejemplo de un agente derespuesta push, desarrollado con AWS Lambda y API Gateway (mediante la plataforma AWS Serverless)aquí. La aplicación utiliza la API Java de EWS.
A continuación, se incluye una solicitud de suscripción push de ejemplo:
<?xml version="1.0" encoding="UTF-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types"> <soap:Body> <m:Subscribe xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages"> <m:PushSubscriptionRequest> <t:FolderIds> <t:DistinguishedFolderId Id="inbox" /> </t:FolderIds> <t:EventTypes> <t:EventType>NewMailEvent</t:EventType> <t:EventType>CopiedEvent</t:EventType> <t:EventType>CreatedEvent</t:EventType> <t:EventType>DeletedEvent</t:EventType> <t:EventType>ModifiedEvent</t:EventType> <t:EventType>MovedEvent</t:EventType> </t:EventTypes> <t:StatusFrequency>1</t:StatusFrequency> <t:URL>https://YOUR_PUSH_RESPONDER_URL</t:URL> </m:PushSubscriptionRequest> </m:Subscribe> </soap:Body></soap:Envelope>
A continuación, se incluye el resultado de una solicitud de suscripción enviada correctamente:
<?xml version="1.0" encoding="UTF-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Header xmlns="http://schemas.xmlsoap.org/soap/envelope/"> <ServerVersionInfo xmlns="http://schemas.microsoft.com/exchange/services/2006/types" MajorVersion="14" MinorVersion="2" MajorBuildNumber="390" Version="Exchange2010_SP2" MinorBuildNumber="3" /> </Header>
Version 1.089
Amazon WorkMail Guía del administradorUso de notificaciones
<soap:Body> <m:SubscribeResponse xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types"> <m:ResponseMessages> <m:SubscribeResponseMessage ResponseClass="Success"> <m:ResponseCode>NoError</m:ResponseCode> <m:SubscriptionId>hKJETtoAdi9PPW0tZDQ4MThmMDoVYB</m:SubscriptionId> <m:Watermark>AAAAAAA=</m:Watermark> </m:SubscribeResponseMessage> </m:ResponseMessages> </m:SubscribeResponse> </soap:Body></soap:Envelope>
A continuación, las notificaciones se envían a la URL especificada en la solicitud de suscripción. Acontinuación, se muestra una notificación de ejemplo:
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Header> <t:RequestServerVersion xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages" Version="Exchange2010_SP2"> </t:RequestServerVersion> </soap:Header> <soap:Body> <m:SendNotification xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages"> <m:ResponseMessages> <m:SendNotificationResponseMessage ResponseClass="Success"> <m:ResponseCode>NoError</m:ResponseCode> <m:Notification> <t:SubscriptionId>hKJETtoAdi9PPW0tZDQ4MThmMDoVYB</t:SubscriptionId> <t:PreviousWatermark>ygwAAAAAAAA=</t:PreviousWatermark> <t:MoreEvents>false</t:MoreEvents> <t:ModifiedEvent> <t:Watermark>ywwAAAAAAAA=</t:Watermark> <t:TimeStamp>2018-02-02T15:15:14Z</t:TimeStamp> <t:FolderId Id="AAB2L089bS1kNDgxOGYwOGE5OTQ0="></t:FolderId> <t:ParentFolderId Id="AAB2L089bS1kNDgxOGYwOGE="></t:ParentFolderId> </t:ModifiedEvent> </m:Notification> </m:SendNotificationResponseMessage> </m:ResponseMessages> </m:SendNotification> </soap:Body></soap:Envelope>
Para confirmar que el agente de respuesta de la notificación de inserción ha recibido la notificación, deberesponder con lo siguiente:
<?xml version="1.0"?> <s:Envelope xmlns:s= "http://schemas.xmlsoap.org/soap/envelope/"> <s:Body> <SendNotificationResult xmlns="http://schemas.microsoft.com/exchange/services/2006/messages">
Version 1.090
Amazon WorkMail Guía del administradorUso de notificaciones
<SubscriptionStatus>OK</SubscriptionStatus> </SendNotificationResult> </s:Body> </s:Envelope>
Para cancelar la suscripción de recepción de notificaciones de inserción, los clientes deben enviar unarespuesta de cancelación de la suscripción en el campo SubscriptionStatus, similar a la siguiente:
<?xml version="1.0"?> <s:Envelope xmlns:s= "http://schemas.xmlsoap.org/soap/envelope/"> <s:Body> <SendNotificationResult xmlns="http://schemas.microsoft.com/exchange/services/2006/messages"> <SubscriptionStatus>Unsubscribe</SubscriptionStatus> </SendNotificationResult> </s:Body> </s:Envelope>
Para verificar el estado del agente de respuesta de notificaciones de inserción, Amazon WorkMail envía un"latido" (que también se denomina StatusEvent). La frecuencia con la que se envían las notificacionesla determina el parámetro StatusFrequency proporcionado en la solicitud de suscripción inicial. Porejemplo, si StatusFrequency equivale a 1, se envía un StatusEvent cada minuto. Este valor puedeoscilar entre 1 y 1 440 minutos. Este StatusEvent tiene el siguiente aspecto:
<?xml version="1.0 (http://www.w3.org/TR/REC-xml/)" encoding="utf-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header> <t:RequestServerVersion xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages" Version="Exchange2010_SP2"/></soap:Header><soap:Body> <m:SendNotification xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages"> <m:ResponseMessages> <m:SendNotificationResponseMessage ResponseClass="Success"> <m:ResponseCode>NoError</m:ResponseCode> <m:Notification> <t:SubscriptionId>hKJETtoAdi9PPW0tZDQ4MThmMDoVYB</t:SubscriptionId> <t:PreviousWatermark>AAAAAAAAAAA=</t:PreviousWatermark> <t:MoreEvents>false</t:MoreEvents> <t:StatusEvent> <t:Watermark>AAAAAAAAAAA=</t:Watermark> </t:StatusEvent> </m:Notification> </m:SendNotificationResponseMessage> </m:ResponseMessages></m:SendNotification></soap:Body></soap:Envelope>
Si el agente de respuesta de notificaciones de inserción de un cliente no puede responder (con el mismoestado OK anterior), la notificación se reintenta durante un máximo de StatusFrequency minutos. Porejemplo, si StatusFrequency equivale a 5 y la primera notificación no se envía, se reintenta durante unmáximo de 5 minutos con un retardo exponencial entre cada reintento. Si la notificación no se entrega unavez finalizado el tiempo de reintentos, la suscripción se invalida y no se envían nuevas notificaciones. Debe
Version 1.091
Amazon WorkMail Guía del administradorAdministración de dispositivos móviles
crear una nueva suscripción para continuar recibiendo notificaciones de eventos del buzón de correo.Actualmente, puede suscribirse a un máximo de tres suscripciones por buzón de correo.
Administración de dispositivos móvilesUtilice Amazon WorkMail para borrar de forma remota los dispositivos móviles de los usuarios, eliminardispositivos de su organización y ver los detalles de los dispositivos de la organización. Para obtenerinformación sobre cómo modificar la política de dispositivos móviles de su organización, consulteModificación de la política de dispositivos móviles de la organización (p. 57).
Temas• Borrado de dispositivos móviles de forma remota (p. 92)• Eliminación de dispositivos móviles de los usuarios de la lista de dispositivos (p. 92)• Visualización de los detalles de los dispositivos móviles (p. 93)
Borrado de dispositivos móviles de forma remotaSolo puede borrar dispositivos de usuario de forma remota cuando están conectados a Amazon WorkMail.Si un dispositivo se desconecta de la red, este procedimiento no funciona.
Warning
Para la mayoría de los dispositivos móviles, un borrado remoto restablece el dispositivo en valorespredeterminados de fábrica. Todos los datos, incluidos los archivos personales, se pueden quitaral realizar este procedimiento.
Para borrar de forma remota el dispositivo móvil de un usuario
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, seleccione Users, seleccione el usuario con el dispositivo que desea ver yelija Mobile.
5. En la lista de dispositivos, seleccione el dispositivo que desea eliminar y elija Wipe device.6. Compruebe el estado de la información general para ver si se solicita el borrado.7. En cuanto el dispositivo se elimine, puede quitar el dispositivo de la lista.
Important
Para volver a añadir un dispositivo, asegúrese de que el dispositivo se quita de la lista; de locontrario, el dispositivo se eliminará de nuevo.
Eliminación de dispositivos móviles de los usuarios dela lista de dispositivosSi un usuario ya no usa un determinado dispositivo móvil o el dispositivo se elimina de forma remota,puede quitarlo de la lista. Cuando el usuario vuelve a configurar el dispositivo, se muestra en la lista.
Version 1.092
Amazon WorkMail Guía del administradorVisualización de los detalles de los dispositivos móviles
Para quitar los dispositivos móviles de un usuario de la lista de dispositivos
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, seleccione Users, seleccione el usuario con el dispositivo que desea ver yelija Mobile.
5. En la lista de dispositivos, seleccione el dispositivo que desea quitar y elija Remove device.
Visualización de los detalles de los dispositivosmóvilesPuede ver los detalles del dispositivo móvil de un usuario.
Note
Algunos dispositivos no envían todos sus detalles al servidor, de modo que es posible que no veatodos los detalles del dispositivo disponibles.
Para ver los detalles del dispositivo
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, seleccione la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la pantalla Organizations (Organizaciones), en la lista de organizaciones, seleccione el alias de suorganización.
4. En el panel de navegación, seleccione Users, seleccione el usuario con el dispositivo que desea ver yelija Mobile.
5. En la lista de dispositivos, seleccione el dispositivo cuyos detalles desea ver. Los códigos de estadodel dispositivo aparecen en la siguiente tabla.
Estado Descripción
Provisioning Required (Aprovisionamientosolicitado)
Un usuario o un administrador ha solicitado queel dispositivo se aprovisione para su uso conAmazon WorkMail. Los dispositivos también seencuentran en este estado si la política actualde ese dispositivo se modifica en la consola deAmazon WorkMail.
Provisioning Succeeded (Aprovisionamientocorrecto)
El dispositivo se ha aprovisionado o eliminadocorrectamente. En el caso de aprovisionamiento,el dispositivo ha aplicado la política especificada.
Wipe Required (Borrado solicitado) Un administrador ha solicitado un borrado en laconsola de Amazon WorkMail.
Wipe Succeeded (Borrado correcto) El dispositivo se ha eliminado correctamente.
Version 1.093
Amazon WorkMail Guía del administradorHabilitación del correo electrónico firmado o cifrado
Habilitación del correo electrónico firmado o cifradoPuede usar S/MIME para habilitar usuarios para enviar correo electrónico firmado o cifrado tanto dentrocomo fuera de la organización.
Note
Los certificados de usuario de la lista de global de direcciones (GAL) se admite solo en unaconfiguración de Active Directory conectada.
Para habilitar usuarios para enviar correos electrónicos firmados o cifrados
1. Configure un conector de Active Directory (AD). La configuración de un AD Connector con sudirectorio local permite a los usuarios continuar usando sus credenciales corporativas existentes.
2. Configure la inscripción automática del certificado para emitir y almacenar certificados de usuariode forma automática en Active Directory. Amazon WorkMail recibe certificados de usuario de ActiveDirectory y los publica en la lista global de direcciones (GAL). Para obtener más información, consulteConfigure Certificate Autoenrollment.
3. Distribuya los certificados generados a los usuarios exportándolos desde Exchange Server yenviándolos por correo.
4. Cada usuario instala el certificado en su programa de correo electrónico (como Windows Outlook) ydispositivos móviles.
Version 1.094
Amazon WorkMail Guía del administradorCreación de un grupo
Uso de los gruposEs posible utilizar grupos como listas de distribución en Amazon WorkMail para recibir correos electrónicospara direcciones genéricas de correo electrónico como [email protected] o [email protected] crear varios alias de correo electrónico para un grupo.
También puede utilizar los grupos como grupos de seguridad para compartir un buzón de correo o uncalendario con un determinado equipo. Pueden ser necesarias hasta dos horas para que los grupos reciénañadidos aparezcan en la libreta de direcciones sin conexión de Microsoft Outlook.
Los grupos no tienen buzones de correo propios. Para obtener información sobre cómo configurarpermisos de grupo, consulte Administrar permisos de grupos (p. 101).
Temas• Creación de un grupo (p. 95)• Activación de un grupo existente (p. 96)• Añadir usuarios a un grupo (p. 96)• Eliminar usuarios de un grupo (p. 97)• Desactivación de un grupo (p. 97)
Creación de un grupoCree grupos en la consola de Amazon WorkMail. También puede crear alias para sus grupos.
Para crear un grupo
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si necesita otra región de AWS, cámbiela desde la barra de navegación. Para obtener más
información, consulte Regiones y puntos de enlace en la Referencia general de Amazon WebServices.
3. En la pantalla Organizations (Organizaciones), en la columna Alias, seleccione el nombre de laorganización a la que desea añadir un grupo.
4. En el panel de navegación, seleccione Groups (Grupos) para ver una lista de los grupos activados,desactivados y del sistema.
5. Para crear un nuevo grupo, seleccione Create group.6. En la pantalla Add group details, escriba el nombre del grupo y la dirección de correo electrónico y, a
continuación, seleccione Add group members.7. En la pantalla Add members to group, para Search, escriba el nombre y apellido del usuario, el
nombre de usuario o nombre del grupo y pulse Intro.8. En la lista de usuarios y grupos del directorio, seleccione el usuario o grupos que se van a añadir
como miembros.9. Seleccione el botón de flecha derecha para añadirlos a la lista de usuarios/grupos seleccionados y, a
continuación, seleccione Finish (Finalizar).
Para crear un alias de grupo
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.
Version 1.095
Amazon WorkMail Guía del administradorActivación de un grupo existente
2. Si necesita otra región de AWS, cámbiela desde la barra de navegación. Para obtener másinformación, consulte Regiones y puntos de enlace en la Referencia general de Amazon WebServices.
3. En la pantalla Organizations (Organizaciones), en la columna Alias, seleccione el nombre de laorganización a la que pertenece el grupo.
4. En el panel de navegación, seleccione Groups (Grupos) para ver una lista de los grupos activados,desactivados y del sistema.
5. En Group name (Nombre de grupo), seleccione el nombre del grupo para el que desea crear el alias.6. En la pestaña General, seleccione Edit (Editar).7. En Email aliases (Alias de correo electrónico), elija Add email address (Añadir alias de correo
electrónico).8. Escriba el alias que desea crear para el grupo.9. Seleccione Save (Guardar).
Activación de un grupo existenteUna vez que Amazon WorkMail esté integrado con su Active Directory corporativo o si ya tiene gruposdisponibles en su Active Directory simple, puede utilizar esos grupos como grupos de seguridad o listas dedistribución en Amazon WorkMail.
Para activar un grupo de un directorio existente
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si necesita otra región de AWS, cámbiela desde la barra de navegación. Para obtener más
información, consulte Regiones y puntos de enlace en la Referencia general de Amazon WebServices.
3. En la pantalla Organizations (Organizaciones), en la columna Alias, seleccione el nombre de laorganización a la que desea añadir un grupo.
4. En el panel de navegación, seleccione Groups (Grupos) para ver una lista de los grupos activados,desactivados y del sistema.
5. En la lista de grupos desactivados, seleccione los grupos que desea activar y seleccione EnableGroup.
6. En el cuadro de diálogo Enable group(s), verifique la dirección principal de correo electrónico yseleccione Enable.
Añadir usuarios a un grupoDespués de crear y habilitar un grupo de Amazon WorkMail, utilice la consola de Amazon WorkMail paraañadir usuarios a dicho grupo.
Note
Si Amazon WorkMail está integrado con un servicio de Active Directory o Microsoft ActiveDirectory conectado, puede administrar los miembros del grupo mediante Active Directory. Estopuede tardar más tiempo en propagarse a Amazon WorkMail.
Puede añadir hasta 100 usuarios a la vez mediante el siguiente procedimiento.
Para añadir usuarios a un grupo
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.
Version 1.096
Amazon WorkMail Guía del administradorEliminar usuarios de un grupo
2. Si necesita otra región de AWS, cámbiela desde la barra de navegación. Para obtener másinformación, consulte Regiones y puntos de enlace en la Referencia general de Amazon WebServices.
3. En la pantalla Organizations (Organizaciones), en la columna Alias, seleccione el nombre de laorganización a la que pertenece el grupo.
4. Seleccione Groups (Grupos).5. Seleccione el nombre del grupo.6. En la página Group details (Detalles del grupo) elija Members (Miembros).7. Elija Edit (Editar).8. En Users and groups (Usuarios y grupos), busque los usuarios que desea añadir al grupo y
selecciónelos.9. Elija >>. Los usuarios aparecen en Group members (Miembros del grupo).10. Seleccione Save (Guardar).
Los cambios pueden tardar unos minutos en propagarse.
Eliminar usuarios de un grupoUtilice la consola de Amazon WorkMail para eliminar usuarios de un grupo.
Note
Si Amazon WorkMail está integrado con un Active Directory o Microsoft Active Directoryconectado, puede administrar los miembros del grupo mediante Active Directory. Esto puedetardar más tiempo en propagarse a Amazon WorkMail.
Para eliminar usuarios de un grupo
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si necesita otra región de AWS, cámbiela desde la barra de navegación. Para obtener más
información, consulte Regiones y puntos de enlace en la Referencia general de Amazon WebServices.
3. En la pantalla Organizations (Organizaciones), en la columna Alias, seleccione el nombre de laorganización a la que pertenece el grupo.
4. Seleccione Groups (Grupos).5. Seleccione el nombre del grupo.6. En la página Group details (Detalles del grupo) elija Members (Miembros).7. Elija Edit (Editar).8. En Group members (Miembros del grupo), busque los usuarios que desea añadir al grupo y
selecciónelos.9. Elija <<. Los usuarios ya no aparecen en Group members (Miembros del grupo).10. Seleccione Save (Guardar).
Los cambios pueden tardar unos minutos en propagarse.
Desactivación de un grupoCuando ya no necesite un grupo, puede desactivarlo.
Version 1.097
Amazon WorkMail Guía del administradorDesactivación de un grupo
Para desactivar un grupo
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si necesita otra región de AWS, cámbiela desde la barra de navegación. Para obtener más
información, consulte Regiones y puntos de enlace en la Referencia general de Amazon WebServices.
3. En la pantalla Organizations, en la columna Alias, seleccione el nombre de la organización de la queva a eliminar un grupo.
4. En el panel de navegación, elija Groups.5. En la lista de grupos, seleccione el grupo que desea desactivar y seleccione Disable group.6. En el cuadro de diálogo Disable group(s), seleccione Disable.
Note
Para eliminar de forma permanente un grupo, utilice la acción de API DeleteGroup de AmazonWorkMail. Para obtener más información, consulte la sección DeleteGroup de la Referencia de laAPI de Amazon WorkMail.
Version 1.098
Amazon WorkMail Guía del administradorPermisos de buzón de correo y carpeta
Cómo usar los permisos del buzón decorreo
Puede utilizar los permisos del buzón de correo de Amazon WorkMail para permitir que los usuarioso grupos puedan utilizar los buzones de correo de otros usuarios. Estos permisos se aplican a todo elbuzón, lo que permite a los usuarios obtener acceso a un mismo buzón sin necesidad de compartir lascredenciales. Los usuarios con permisos del buzón pueden leer y modificar los datos de este y enviarcorreo electrónico desde el buzón compartido.
En la siguiente lista, se enumeran los permisos que puede conceder:
• Send On Behalf (Enviar en nombre de): permite a un usuario o grupo enviar un correo electrónico ennombre de otro usuario. El propietario del buzón aparece en el encabezado From: (De:) y la persona queenvía el mensaje, en el encabezado Sender: (Remitente:).
• Send As (Enviar como): permite a un usuario o grupo enviar un correo electrónico como si fuera elpropietario del buzón, sin que aparezca el remitente real del mensaje. El propietario del buzón apareceen los encabezados From: (De:) y Sender: (Remitente:).
• Full Access (Acceso completo): proporciona acceso completo de lectura y escritura al buzón, lo queincluye privilegios para modificar los permisos de nivel de carpeta.
Note
Si se conceden permisos del buzón de correo a un grupo, estos permisos se extienden a todos losmiembros de dicho grupo, incluidos los miembros de los grupos anidados.
Cuando se conceden permisos de buzón de correo, el servicio de detección automática de AmazonWorkMail actualiza automáticamente el acceso a los buzones de correo de los usuarios o grupos que sehan añadido.
En el caso del cliente de Microsoft Outlook de Windows, los usuarios que tengan acceso completo podránobtener acceso automáticamente a los buzones de correo compartidos. Espere un máximo de 60 minutospara que los cambios se propaguen o reinicie Microsoft Outlook.
En el caso de la aplicación web de Amazon WorkMail y de otros clientes de correo electrónico, los usuarioscon permisos de acceso completo podrán abrir manualmente los buzones compartidos. Los buzones decorreo abiertos se mantendrán así, incluso entre sesiones, a menos que el usuario los cierre.
Temas• Permisos de buzón de correo y carpeta (p. 99)• Habilitar los permisos del buzón de correo (p. 100)• Modificación de los permisos del buzón de correo (p. 100)• Quitar permisos del buzón de correo (p. 100)• Administrar permisos de grupos (p. 101)
Permisos de buzón de correo y carpetaLos permisos del buzón de correo se aplican a todas las carpetas de un buzón. Estos permisos solamentelos puede habilitar el titular de la cuenta de AWS o el usuario de IAM autorizado para llamar a la API deadministración de Amazon WorkMail. Para aplicar los permisos al conjunto de los buzones de correo o los
Version 1.099
Amazon WorkMail Guía del administradorHabilitar los permisos del buzón de correo
grupos, inicie sesión en la Consola de administración de AWS o utilice la API de Amazon WorkMail. Puedeadministrar hasta 100 buzones de correo y permisos de grupo desde la consola. Para administrar máspermisos, utilice la API de Amazon WorkMail.
Los permisos de carpeta se aplican a una única carpeta. Estos permisos pueden establecerlos los usuariosfinales a través de un cliente de correo electrónico o de la aplicación web de Amazon WorkMail.
Habilitar los permisos del buzón de correoPuede permitir que otros usuarios tengan acceso a un buzón de correo a través de la aplicación web deAmazon WorkMail.
Para habilitar los permisos del buzón de correo
1. En la página User details (Detalles del usuario) de la aplicación de Amazon WorkMail, en Permissions(Permisos), haga clic en Add or remove (Agregar o quitar).
2. En Users and groups (Usuarios y grupos), seleccione el usuario o grupo con el que desea compartirla bandeja de correo y haga clic en >> para agregarlo a la lista de Permissions (Permisos). SeleccioneSave.
3. En la pestaña Permissions (Permisos), seleccione el nivel de permisos que desea conceder y hagaclic en Save (Guardar).
Las actualizaciones de los permisos pueden tardar hasta cinco minutos en propagarse.
Modificación de los permisos del buzón de correoPuede editar los permisos existentes del buzón de correo en Amazon WorkMail.
Para editar los permisos del buzón de correo
1. En la página User details (Detalles del usuario) de la aplicación de Amazon WorkMail, en Permissions(Permisos), haga clic en Edit (Editar).
2. Seleccione los permisos que desee modificar y haga clic en Save (Guardar).
Las actualizaciones de los permisos pueden tardar hasta cinco minutos en propagarse.
Quitar permisos del buzón de correoPuede eliminar los permisos existentes del buzón de correo en Amazon WorkMail.
Para quitar permisos del buzón de correo
1. En la página User details (Detalles del usuario) de la aplicación de Amazon WorkMail, en Permissions(Permisos), haga clic en Add or remove (Agregar o quitar).
2. En Users and groups (Usuarios y grupos), seleccione el usuario o grupo y quítelo de la listaPermissions (Permisos).
3. Seleccione Save.
Las actualizaciones de los permisos pueden tardar hasta cinco minutos en propagarse.
Version 1.0100
Amazon WorkMail Guía del administradorAdministrar permisos de grupos
Administrar permisos de gruposPuede añadir o quitar permisos de grupos en Amazon WorkMail.
Note
Los permisos de tipo Full Access (Acceso completo) no están disponibles para los grupos, ya queestos no tienen ningún buzón de correo al que obtener acceso.
Para administrar los permisos de grupo
1. En la página Groups (Grupos) de la aplicación de Amazon WorkMail, en WorkMail groups (Grupos deWorkMail), seleccione el grupo que desee administrar.
2. En Permissions (Permisos), seleccione Add or remove (Añadir o quitar).3. En Users and groups (Usuarios y grupos), seleccione el grupo que desea añadir o quitar. Añada el
grupo a la lista Permissions (Permisos) o quítelo y haga clic en Save (Guardar).
Note
Si añadió un grupo a la lista Permissions (Permisos), seleccione el nivel de permisos quedesea conceder en la pestaña Permissions (Permisos) y haga clic en Save (Guardar).
Las actualizaciones de los permisos pueden tardar hasta cinco minutos en propagarse.
Version 1.0101
Amazon WorkMail Guía del administradorCreación de un recurso
Uso de recursosAmazon WorkMail puede ayudar a sus usuarios a reservar recursos como salas de reuniones o equipos(proyectores, teléfonos, coches, etc.). Para reservar un recurso, el usuario añade el recurso a la invitaciónde la reunión.
Temas• Creación de un recurso (p. 102)• Modificación de un recurso (p. 102)• Eliminación de un recurso (p. 103)
Creación de un recursoPuede añadir un recurso nuevo a su organización y permitir que se reserve.
Para añadir un recurso
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, elija la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la página Organizations, seleccione su organización.4. En el panel de navegación, elija Resources y Add resource.5. En la página Add resource details, escriba valores para los campos Resource name, Description,
Resource type y Email address.6. Seleccione Create.
Modificación de un recursoPuede editar los detalles generales de un recurso (nombre, descripción, tipo y dirección de correoelectrónico), opciones de reserva y delegados.
Para editar detalles generales de un recurso
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, elija la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la página Organizations, seleccione su organización.4. En el panel de navegación, elija Resources y seleccione el recurso que desea editar.5. En la pestaña General, actualice los detalles para cambiar: Resource name, Description, Resource
Type o Email address.6. Seleccione Save.
Puede configurar un recurso para que acepte o rechace solicitudes de reserva de forma automática.
Version 1.0102
Amazon WorkMail Guía del administradorEliminación de un recurso
Para habilitar o deshabilitar el procesamiento automático de solicitudes de reserva
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, elija la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la página Organizations, seleccione su organización.4. En el panel de navegación, elija Resources y, a continuación, seleccione el recurso que desea editar.5. En la pestaña Booking Options, seleccione Edit.6. Para aceptar todas las solicitudes de recursos de manera automática, seleccione Automatically accept
all resource requests.7. Para rechazar solicitudes de recursos recurrentes de manera automática, seleccione Automatically
decline recurring resource requests.8. Para rechazar solicitudes de recursos en conflicto de manera automática, seleccione Automatically
decline conflicting resource requests.9. Seleccione Save.
Puede añadir un delegado para controlar solicitudes de reserva para un recurso. Los delegados derecursos reciben automáticamente copias de todas las solicitudes de reserva y tienen acceso completo alcalendario de recursos. Además, tienen que aceptar todas las solicitudes de reserva para un recurso.
Para añadir un delegado de recurso
Note
Antes de continuar, siga el proceso de arriba para borrar la opción Automatically accept allresource requests.
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, elija la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la página Organizations, seleccione su organización.4. En el panel de navegación, elija Resources y, a continuación, seleccione el nombre del recurso que
desea editar.5. En la pestaña Delegates, elija Edit.6. Seleccione los usuarios o grupos para añadirlos como delegados y, a continuación, utilice la flecha
derecha para añadirlos a la lista de delegados.7. Seleccione Save.
Eliminación de un recursoPuede eliminar un recurso cuando ya no lo necesite.
Para eliminar un recurso
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. Si es necesario, cambie la región. En la barra de navegación, elija la región adecuada a sus
necesidades. Para obtener más información, consulte Regiones y puntos de enlace en la Referenciageneral de Amazon Web Services.
3. En la página Organizations, seleccione la organización.
Version 1.0103
Amazon WorkMail Guía del administradorEliminación de un recurso
4. En el panel de navegación, elija Resources.5. En la lista de recursos, seleccione el recurso que desea quitar y elija Remove.6. En el cuadro de diálogo Remove resource(s), elija Remove.
Version 1.0104
Amazon WorkMail Guía del administradorUso del registro en diario
Uso del registro en diario del correoelectrónico con Amazon WorkMail
Puede configurar el registro en diario para que registre sus comunicaciones a través de correo electrónicomediante archivado de terceros integrado y herramientas eDiscovery. Esto garantiza el cumplimiento delas regulaciones de cumplimiento de almacenamiento de correo electrónico para la protección de datos, elalmacenamiento de datos y la protección de información.
Uso del registro en diarioAmazon WorkMail registra en diario todos los correos electrónicos enviados a cualquier usuario de laorganización especificada, así como todos los correos electrónicos enviados por los usuarios de esaorganización. Se envía una copia de todos los correos a una dirección especificada por el administradordel sistema, en un formato llamado journal record. Este formato es compatible con programas decorreo electrónico de Microsoft. El registro del correo en diario es gratuito.
Se utilizan dos direcciones de correo electrónico para el registro del correo en diario: una dirección decorreo electrónico para el registro en diario y otra para el informe. La dirección de correo electrónico parael registro en diario es la dirección de un buzón de correo dedicado o dispositivo de terceros integradoen su cuenta, donde se envían los informes del registro en diario. La dirección de correo electrónico delinforme es la dirección del administrador del sistema, donde se envían las notificaciones de los informesdel registro en diario que han fallado.
Todos los registros del diario se envían desde una dirección de correo electrónico que se añadeautomáticamente a su dominio y que tiene el siguiente aspecto:
No hay ningún buzón de correo asociado a esta dirección y no podrá crear uno utilizando este nombre odirección.
Note
No elimine el siguiente registro del dominio de la consola de Amazon SES, ya que el registro endiario del correo electrónico dejará de funcionar:
yourorganization.awsapps.com
Todo el correo electrónico entrante o saliente genera un registro de diario, independientemente del númerode destinatarios o grupos de usuarios. El correo electrónico que no genera un registro del diario generauna notificación de error que se envía a la dirección de correo electrónico del informe.
Para habilitar el registro en diario del correo electrónico
1. Abra la consola de Amazon WorkMail en https://console.aws.amazon.com/dms/.2. En la pantalla Organization settings, elija Journaling Settings, Edit, On.3. En Journaling email address, escriba la dirección de correo electrónico proporcionada por su
proveedor de registro en diario del correo electrónico.
Version 1.0105
Amazon WorkMail Guía del administradorUso del registro en diario
Note
Le recomendamos que utilice un proveedor de registro dedicado.4. En Report email address, escriba la dirección del administrador de correo electrónico.5. Seleccione Save. Los cambios se aplican inmediatamente.
Version 1.0106
Amazon WorkMail Guía del administrador
Historial de revisiónEn la tabla siguiente, se describen los cambios importantes de cada versión de la Guía del administradorde Amazon WorkMail. Para obtener notificaciones sobre las actualizaciones de esta documentación, puedesuscribirse a una fuente RSS.
update-history-change update-history-description update-history-date
Trabajo con reglas de control deacceso (p. 107)
Las reglas de control de accesopermiten a los administradoresde Amazon WorkMail controlarcómo se accede a los buzonesde su organización. Para obtenermás información, consulteTrabajo con reglas de control deacceso en la Amazon WorkMailAdministrator Guide.
February 12, 2020
Etiquetado de unaorganización (p. 107)
Etiquete una organizaciónde Amazon WorkMail paradiferenciar las organizacionesen la consola de AWS Billingand Cost Management opara controlar el acceso a losrecursos de la organización.Para obtener más información,consulte Etiquetado de unaorganización en la AmazonWorkMail Administrator Guide.
January 23, 2020
Aplicar políticas de DMARCen el correo electrónicoentrante (p. 107)
Para obtener más información,consulte Aplicación de políticasde DMARC en el correoelectrónico entrante en laAmazon WorkMail AdministratorGuide.
October 17, 2019
Recuperación de contenidode los mensajes conLambda (p. 107)
Use la API de flujo de mensajesde Amazon WorkMail conAWS Lambda para recuperarcontenido de los mensajes.Para obtener más información,consulte el artículo sobre larecuperación de contenido delos mensajes con Lambda en laAmazon WorkMail AdministratorGuide.
September 12, 2019
Registro Amazon WorkMailde eventos de correoelectrónico (p. 107)
Habilitar el registro de eventos decorreo electrónico en la AmazonWorkMail consola para realizarun seguimiento de mensajesde correo electrónico de suorganización. Para obtener másinformación, consulte Mensajes
May 13, 2019
Version 1.0107
Amazon WorkMail Guía del administrador
de seguimiento en la AmazonWorkMail Administrator Guide.
Inserción de registros de DNS deRoute 53 (p. 107)
Al configurar un dominio quese administra en una zonaalojada pública de Route 53,Amazon WorkMail insertaautomáticamente los registrosde DNS. Para obtener másinformación, consulte Adiciónde un dominio en la AmazonWorkMail Administrator Guide.
February 13, 2019
Configuración de Lambdapara las acciones de lasreglas de correo electrónicoentrante (p. 107)
Amazon WorkMail permite laconfiguración de funcionesde Lambda para su uso conreglas de flujo de correoelectrónico entrante. Paraobtener más información,consulte Administración deflujos de correo electrónico en laAmazon WorkMail AdministratorGuide.
January 24, 2019
Configuración de Lambda paraAmazon WorkMail (p. 107)
Amazon WorkMail permite laconfiguración de funcionesLambda para su uso conreglas de flujo de correoelectrónico saliente. Para obtenermás información, consulteConfiguración de Lambda paraAmazon WorkMail en la AmazonWorkMail Administrator Guide.
November 19, 2018
Direccionamiento deSMTP (p. 107)
Amazon WorkMail permite laconfiguración de gateways SMTPpara su uso con reglas de flujode correo electrónico saliente.Para obtener más información,consulte Configuración degateways SMTP en la AmazonWorkMail Administrator Guide.
November 1, 2018
Herramientas dedepuración para dominiospersonalizados (p. 107)
Amazon WorkMail ha añadidoherramientas de depuraciónpara dominios personalizados.Para obtener más información,consulte Adición de un dominioen la Amazon WorkMailAdministrator Guide.
October 15, 2018
Compatibilidad con Outlook2019 (p. 107)
Amazon WorkMail es compatiblecon Outlook 2019 para Windowsy macOS. Para obtener másinformación, consulte Requisitosdel sistema de Amazon WorkMailen la Amazon WorkMailAdministrator Guide.
October 1, 2018
Version 1.0108
Amazon WorkMail Guía del administrador
Varias actualizaciones (p. 107) Varias actualizaciones en eldiseño y la organización de lostemas.
July 12, 2018
Permisos del buzón decorreo (p. 107)
Puede utilizar los permisos delbuzón de correo de AmazonWorkMail para permitir que losusuarios o grupos puedan utilizarlos buzones de correo de otrosusuarios. Para obtener másinformación, consulte Cómousar los permisos del buzón decorreo en la Amazon WorkMailAdministrator Guide.
April 9, 2018
Compatibilidad con AWSCloudTrail (p. 107)
Amazon WorkMail está integradocon AWS CloudTrail. Paraobtener más información,consulte Registro de llamadas ala API de Amazon WorkMail conAWS CloudTrail en la AmazonWorkMail Administrator Guide.
December 12, 2017
Soporte para flujos de correoelectrónico (p. 107)
Puede configurar reglas deflujo de correo electrónico paraadministrar correo electrónicoentrante en función del dominio ola dirección de correo electrónicodel remitente. Para obtenermás información, consulteAdministración de flujos decorreo electrónico en la AmazonWorkMail Administrator Guide.
July 5, 2017
Actualizaciones de laconfiguración rápida (p. 107)
La configuración rápida creaahora un directorio de AmazonWorkMail automáticamente.Para obtener más información,consulte Configuración deAmazon WorkMail con laconfiguración rápida en laAmazon WorkMail AdministratorGuide.
May 10, 2017
Soporte para una gama másamplia de clientes de correoelectrónico (p. 107)
Ahora puede utilizar AmazonWorkMail con Microsoft Outlook2016 para Mac y clientes decorreo IMAP. Para obtener másinformación, consulte Requisitosdel sistema para AmazonWorkMail en la Amazon WorkMailAdministrator Guide.
January 9, 2017
Version 1.0109
Amazon WorkMail Guía del administrador
Soporte para registros en diariode SMTP (p. 107)
Puede configurar el registroen diario para registrar sucomunicación por correoelectrónico. Para obtenermás información, consulteUso del registro en diario delcorreo electrónico con AmazonWorkMail en la Amazon WorkMailAdministrator Guide.
November 25, 2016
Soporte para elredireccionamiento de correoelectrónico a direccionesde correo electrónicoexternas (p. 107)
Puede configurar reglas deredireccionamiento de correoelectrónico para actualizar lapolítica de identidad de AmazonSES para su dominio. Paraobtener más información,consulte Editar políticas deidentidad de dominios en laAmazon WorkMail AdministratorGuide.
October 26, 2016
Soporte parainteroperabilidad (p. 107)
Puede habilitar lainteroperabilidad entre AmazonWorkMail y Microsoft Exchange.Para obtener más información,consulte Interoperabilidad entreAmazon WorkMail y MicrosoftExchange en la AmazonWorkMail Administrator Guide.
October 25, 2016
Disponibilidad general (p. 107) La versión de disponibilidadgeneral de Amazon WorkMail.
January 4, 2016
Soporte para la reserva derecursos (p. 107)
Soporte para la reserva derecursos, como salas dereuniones y equipos. Paraobtener más información,consulte Uso de recursos en laAmazon WorkMail AdministratorGuide.
October 19, 2015
Soporte para la herramientade migración de correoelectrónico (p. 107)
Soporte para la herramienta demigración de correo electrónico.Para obtener más información,consulte Migración a AmazonWorkMail en la Amazon WorkMailAdministrator Guide.
August 16, 2015
Versión preliminar de AmazonWorkMail (p. 107)
La versión preliminar de AmazonWorkMail.
January 28, 2015
Version 1.0110