AWS verwaltete Richtlinien für Amazon Detective - Amazon Detective

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon Detective

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS verwaltete Richtlinie: AmazonDetectiveFullAccess

Sie können die AmazonDetectiveFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie gewährt Administratorberechtigungen, die einem Prinzipal vollen Zugriff auf alle Amazon-Detective-Aktionen erlauben. Sie können diese Richtlinie einem Prinzipalen zuweisen, bevor dieser Detective für sein Konto aktiviert. Sie muss auch an die Rolle angehängt werden, mit der die Python-Skripts in Detective ausgeführt werden, um ein Verhaltensdiagramm zu erstellen und zu verwalten.

Prinzipale mit diesen Berechtigungen können Mitgliedskonten verwalten, ihrem Verhaltensdiagramm Tags hinzufügen und Detective für Ermittlungen verwenden. Sie können GuardDuty Ergebnisse auch archivieren. Die Richtlinie bietet Berechtigungen, die die Detective-Konsole benötigt, um Kontonamen für Konten anzuzeigen, die sich in befinden AWS Organizations.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • detective – Ermöglicht Prinzipalen vollen Zugriff auf alle Detectiv-Aktionen.

  • organizations – Ermöglicht Prinzipalen das Abrufen von AWS Organizations -Informationen über die Konten in einer Organisation. Wenn ein Konto zu einer Organisation gehört, ermöglichen diese Berechtigungen der Detective-Konsole, zusätzlich zu den Kontonummern auch Kontonamen anzuzeigen.

  • guardduty— Ermöglicht es den Schulleitern, GuardDuty Ergebnisse aus Detective abzurufen und zu archivieren.

  • securityhub – Ermöglicht es Prinzipalen, Security Hub-Erkenntnisse aus Detective heraus abzurufen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }

AWS verwaltete Richtlinie: AmazonDetectiveMemberAccess

Sie können die AmazonDetectiveMemberAccess-Richtlinie auch Ihren IAM-Entitäten anfügen.

Diese Richtlinie gewährt Mitgliedern Zugriff auf Amazon Detective und begrenzten Zugriff auf die Konsole.

Mit dieser Richtlinie können Sie:

  • Sich Einladungen zur Detective Diagramm-Mitgliedschaft ansehen und diese Einladungen akzeptieren oder ablehnen.

  • Auf der Seite Nutzung sehen, wie Ihre Aktivität in Detective zu den Kosten für die Nutzung dieses Dienstes beiträgt.

  • Ihre Mitgliedschaft in einem Diagramm kündigen.

Diese Richtlinie gewährt Berechtigungen, die einen schreibgeschützten Zugriff auf die Detective-Konsole erlauben.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • detective – Ermöglicht Mitgliedern den Zugriff auf Detective.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }

Von AWS verwaltete Richtlinie: AmazonDetectiveInvestigatorAccess

Sie können die AmazonDetectiveInvestigatorAccess-Richtlinie auch Ihren IAM-Entitäten anfügen.

Diese Richtlinie gewährt Ermittlern Zugriff auf den Detective Service und bereichsspezifischen Zugriff auf die Abhängigkeiten der Benutzeroberfläche der Detective-Konsole. Diese Richtlinie gewährt IAM-Benutzern und IAM-Rollen Berechtigungen zur Aktivierung von Untersuchungen in Detective. Mithilfe eines Untersuchungsberichts, der Analysen und Erkenntnisse in Sicherheitsindikatoren bietet, können Sie Indikatoren für eine Kompromittierung ermitteln, z. B. Erkenntnisse. Der Bericht ist nach Schweregrad geordnet, der mithilfe von Verhaltensanalyse und Machine Learning von Detective ermittelt wird. Sie können den Bericht verwenden, um die Behebung von Ressourcen zu priorisieren.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • detective – Ermöglicht Prinzipalen die Untersuchung des Zugriffs auf Detective-Aktionen, die Aktivierung von Untersuchungen in Detective und die Übersicht von Erkenntnisgruppen.

  • guardduty— Ermöglicht es den Schulleitern, GuardDuty Ergebnisse aus Detective abzurufen und zu archivieren.

  • securityhub – Ermöglicht es Prinzipalen, Security Hub-Erkenntnisse aus Detective heraus abzurufen.

  • organizations— Ermöglicht Prinzipalen das Abrufen von Informationen über die Konten in einer Organisation von. AWS Organizations Wenn ein Konto zu einer Organisation gehört, ermöglichen diese Berechtigungen der Detective-Konsole, zusätzlich zu den Kontonummern auch Kontonamen anzuzeigen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }

AWS verwaltete Richtlinie: AmazonDetectiveOrganizationsAccess

Sie können die AmazonDetectiveOrganizationsAccess-Richtlinie auch Ihren IAM-Entitäten anfügen.

Diese Richtlinie gewährt die Erlaubnis, Amazon Detective innerhalb einer Organisation zu aktivieren und zu verwalten. Sie können Detective unternehmensweit aktivieren und das delegierte Administratorkonto für Detective festlegen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • detective – Ermöglicht Prinzipalen Zugriff auf alle Detective-Aktionen.

  • iam – Gibt an, dass eine serviceverknüpfte Rolle erstellt wird, wenn Detective EnableOrganizationAdminAccount aufruft.

  • organizations— Ermöglicht Prinzipalen das Abrufen von Informationen über die Konten in einer Organisation von AWS Organizations. Wenn ein Konto zu einer Organisation gehört, ermöglichen diese Berechtigungen der Detective-Konsole, zusätzlich zu den Kontonummern auch Kontonamen anzuzeigen. Ermöglicht die Integration eines AWS Dienstes, ermöglicht die Registrierung und Abmeldung des angegebenen Mitgliedskontos als delegierter Administrator und ermöglicht es Prinzipalen, delegierte Administratorkonten in anderen Sicherheitsdiensten wie Amazon Detective, Amazon GuardDuty, Amazon Macie und abzurufen. AWS Security Hub

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }

Von AWS verwaltete Richtlinie: AmazonDetectiveServiceLinkedRole

Sie können die AmazonDetectiveServiceLinkedRole-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die die Durchführung von Aktionen von Detective in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Detective.

Diese Richtlinie gewährt administrative Berechtigungen, die es der dienstverknüpften Rolle ermöglichen, Kontoinformationen für eine Organisation abzurufen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • organizations – Ruft Kontoinformationen für eine Organisation ab.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }

Detective Updates für AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Detective an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Seite -Dokumentverlauf.

Änderung Beschreibung Datum

AmazonDetectiveInvestigatorAccess – Aktualisierungen bestehender Richtlinien

Der AmazonDetectiveInvestigatorAccess-Richtlinie wurden die Aktionen Detective-Untersuchungen und Erkenntnisgruppen hinzugefügt.

Diese Aktionen ermöglichen das Starten, Abrufen und Aktualisieren von Detective-Untersuchungen und das Abrufen einer Übersicht der Erkenntnisgruppen innerhalb von Detective.

26. November 2023

AmazonDetectiveFullAccess und AmazonDetectiveInvestigatorAccess – Updates von vorhandenen Richtlinien

Detective hat AmazonDetectiveFullAccess und AmazonDetectiveInvestigatorAccess-Richtlinien Security Hub GetFindings-Aktionen hinzugefügt.

Diese Aktionen ermöglichen das Abrufen von Security Hub-Erkenntnissen aus Detective heraus.

16. Mai 2023

AmazonDetectiveOrganizationsAccess – Neue Richtlinie.

Detective hat eine AmazonDetectiveOrganizationsAccess-Richtlinie hinzugefügt.

Diese Richtlinie gewährt die Erlaubnis, Detective innerhalb einer Organisation zu aktivieren und zu verwalten.

02. März 2023

AmazonDetectiveMemberAccess – Neue Richtlinie.

Detective hat die AmazonDetectiveMemberAccess-Richtlinie hinzugefügt.

Diese Richtlinie gewährt Mitgliedern Zugriff auf Detective und bereichsbezogenen Zugriff auf die Abhängigkeiten der Konsolenbenutzeroberfläche.

17. Januar 2023

AmazonDetectiveFullAccess – Aktualisierung auf eine bestehende Richtlinie

Detective hat der AmazonDetectiveFullAccess Richtlinie GuardDuty GetFindings Aktionen hinzugefügt.

Diese Aktionen ermöglichen das Abrufen von GuardDuty Erkenntnissen aus Detective heraus.

17. Januar 2023

AmazonDetectiveInvestigatorAccess – Neue Richtlinie.

Detective hat die AmazonDetectiveInvestigatorAccess-Richtlinie hinzugefügt.

Diese Richtlinie ermöglicht es dem Prinzipal, Untersuchungen in Detective durchzuführen.

17. Januar 2023

AmazonDetectiveServiceLinkedRole – Neue Richtlinie.

Detective hat eine neue Richtlinie für seine serviceverknüpfte Rolle hinzugefügt.

Die Richtlinie erlaubt es der mit dem dienstverknüpften Rolle, Informationen über die Konten in einer Organisation abzurufen.

16. Dezember 2021

Detective begann, Änderungen zu verfolgen

Detective begann, Änderungen an seinen AWS verwalteten Richtlinien zu verfolgen.

10. Mai 2021