Beispiele für identitätsbasierte Richtlinien von Amazon Fraud Detector - Amazon Fraud Detector
Bewährte Methoden für RichtlinienVerwaltete RichtlinieGewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für BenutzerErlauben Sie vollen Zugriff auf die Ressourcen von Amazon Fraud DetectorNur-Lese-Zugriff auf Amazon Fraud Detector Detector-Ressourcen zulassenErlauben Sie den Zugriff auf eine bestimmte RessourceErlauben Sie den Zugriff auf bestimmte Ressourcen, wenn Sie den Dualmodus verwenden APIBeschränken Sie den Zugriff auf der Grundlage von Tags

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Richtlinien von Amazon Fraud Detector

Standardmäßig sind Benutzer und IAM Rollen nicht berechtigt, Amazon Fraud Detector Detector-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit dem ausführen AWS Management Console, AWS CLI, oder AWS API. Ein Administrator muss IAM Richtlinien erstellen, die Benutzern und Rollen die Erlaubnis gewähren, bestimmte API Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien anschließend den -Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie im IAMBenutzerhandbuch unter Richtlinien auf der JSON Registerkarte erstellen.

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Fraud Detector Detector-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Diese Aktionen können Kosten für Sie verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:

  • Fangen Sie an mit AWS verwaltete Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten — Um zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie AWS verwaltete Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren. Sie sind in Ihrem verfügbar AWS-Konto. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie Folgendes definieren AWS vom Kunden verwaltete Richtlinien, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien oder AWS verwaltete Richtlinien für Jobfunktionen im IAMBenutzerhandbuch.

  • Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM

  • Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über eine bestimmte AWS-Service, wie beispielsweise AWS CloudFormation. Weitere Informationen finden Sie unter IAMJSONRichtlinienelemente: Zustand im IAMBenutzerhandbuch.

  • Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie unter IAMAccess Analyzer-Richtlinienvalidierung im IAMBenutzerhandbuch.

  • Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, das IAM Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, schalten Sie MFA für zusätzliche Sicherheit ein. Wenn Sie festlegen möchten, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Konfiguration des MFA -geschützten API Zugriffs im IAMBenutzerhandbuch.

Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM

AWS-verwaltete (vordefinierte) Richtlinie für Amazon Fraud Detector

AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM Richtlinien, die von erstellt und verwaltet werden AWS. Diese AWS verwaltete Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht nachforschen müssen, welche Berechtigungen benötigt werden. Weitere Informationen finden Sie unter AWSVerwaltete Richtlinien im AWS Identity and Access Management Management-Benutzerhandbuch.

Folgendes AWS Die verwaltete Richtlinie, die Sie Benutzern in Ihrem Konto zuordnen können, ist spezifisch für Amazon Fraud Detector:

AmazonFraudDetectorFullAccess: Gewährt vollen Zugriff auf die Ressourcen, Aktionen und unterstützten Vorgänge von Amazon Fraud Detector, darunter:

  • Alle Modellendpunkte in Amazon auflisten und beschreiben SageMaker

  • Listet alle IAM Rollen im Konto auf

  • Alle Amazon S3 S3-Buckets auflisten

  • Erlauben Sie IAM Pass Role, eine Rolle an Amazon Fraud Detector zu übergeben

Diese Richtlinie bietet keinen uneingeschränkten S3-Zugriff. Wenn Sie Modelltrainingsdatensätze auf S3 hochladen müssen, ist auch die AmazonS3FullAccess verwaltete Richtlinie (oder die abgegrenzte benutzerdefinierte Amazon S3 S3-Zugriffsrichtlinie) erforderlich.

Sie können die Berechtigungen der Richtlinie überprüfen, indem Sie sich bei der IAM Konsole anmelden und nach dem Richtliniennamen suchen. Sie können auch Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Berechtigungen für Aktionen und Ressourcen von Amazon Fraud Detector nach Bedarf zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM Benutzern ermöglicht, die internen und verwalteten Richtlinien einzusehen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von AWS CLI or AWS API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Erlauben Sie vollen Zugriff auf die Ressourcen von Amazon Fraud Detector

Das folgende Beispiel zeigt einen Benutzer in Ihrem AWS-Konto voller Zugriff auf alle Ressourcen und Aktionen von Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        }
    ]
}

Nur-Lese-Zugriff auf Amazon Fraud Detector Detector-Ressourcen zulassen

In diesem Beispiel gewähren Sie einem Benutzer in AWS-Konto Nur-Lese-Zugriff auf Ihre Amazon Fraud Detector Detector-Ressourcen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:GetEventTypes",
                "frauddetector:BatchGetVariable",
                "frauddetector:DescribeDetector",
                "frauddetector:GetModelVersion",
                "frauddetector:GetEventPrediction",
                "frauddetector:GetExternalModels",
                "frauddetector:GetLabels",
                "frauddetector:GetVariables",
                "frauddetector:GetDetectors",
                "frauddetector:GetRules",
                "frauddetector:ListTagsForResource",
                "frauddetector:GetKMSEncryptionKey",
                "frauddetector:DescribeModelVersions",
                "frauddetector:GetDetectorVersion",
                "frauddetector:GetPrediction",
                "frauddetector:GetOutcomes",
                "frauddetector:GetEntityTypes",
                "frauddetector:GetModels"
            ],
            "Resource": "*"
        }
    ]
}

Erlauben Sie den Zugriff auf eine bestimmte Ressource

In diesem Beispiel einer Richtlinie auf Ressourcenebene gewähren Sie einem Benutzer in Ihrem AWS-Konto Zugriff auf alle Aktionen und Ressourcen mit Ausnahme einer bestimmten Detector-Ressource.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "frauddetector:*Detector"
            ],
            "Resource": "arn:${Partition}:frauddetector:${Region}:${Account}:detector/${detector-name}"
        }
    ]
}

Erlauben Sie den Zugriff auf bestimmte Ressourcen, wenn Sie den Dualmodus verwenden API

Amazon Fraud Detector bietet einen DualmodusAPIs, der sowohl als List- als auch als Describe-Vorgang funktioniert. Ein Dualmodus gibtAPI, wenn er ohne Parameter aufgerufen wird, eine Liste der angegebenen Ressource zurück, die mit Ihrer AWS-Konto. Ein Dualmodus gibtAPI, wenn er mit einem Parameter aufgerufen wird, die Details der angegebenen Ressource zurück. Bei der Ressource kann es sich um Modelle, Variablen, Ereignistypen oder Entitätstypen handeln.

Der duale Modus APIs unterstützt Berechtigungen auf Ressourcenebene in IAM Richtlinien. Die Berechtigungen auf Ressourcenebene werden jedoch nur angewendet, wenn ein oder mehrere Parameter als Teil der Anfrage angegeben werden. Wenn der Benutzer beispielsweise aufruft GetVariablesAPIund einen Variablennamen angibt und wenn der Variablenressource oder dem Variablennamen eine IAM Ablehnungsrichtlinie zugewiesen ist, erhält der Benutzer eine AccessDeniedException Fehlermeldung. Wenn der Benutzer aufruft GetVariables API und keinen Variablennamen angibt, werden alle Variablen zurückgegeben, was zu Informationslecks führen kann.

Verwenden Sie ein IAM NotResource Richtlinienelement in einer IAM Ablehnungsrichtlinie, damit Benutzer nur Details zu bestimmten Ressourcen anzeigen können. Nachdem Sie dieses Richtlinienelement zu einer IAM Deny-Richtlinie hinzugefügt haben, können Benutzer nur die Details der Ressourcen anzeigen, die im NotResource Block angegeben sind. Weitere Informationen finden Sie unter IAMJSONRichtlinienelemente: NotResource im IAMBenutzerhandbuch.

Die folgende Beispielrichtlinie ermöglicht Benutzern den Zugriff auf alle Ressourcen von Amazon Fraud Detector. Das NotResource Policy-Element wird jedoch verwendet, um GetVariablesAPIAufrufe nur auf die Variablennamen mit den Präfixen user*job_*, und var* zu beschränken.

{
 "Version": "2012-10-17",
 "Statement": [
  {
    "Effect": "Allow",
    "Action": "frauddetector:*",
    "Resource": "*"
  },
 {
    "Effect": "Deny",
    "Action": "frauddetector:GetVariables",
    "NotResource": [
       "arn:aws:frauddetector:*:*:variable/user*",
       "arn:aws:frauddetector:*:*:variable/job_*",
       "arn:aws:frauddetector:*:*:variable/var*"
    ]
  }
 ]
}

Antwort

Bei dieser Beispielrichtlinie zeigt die Antwort das folgende Verhalten:

  • Ein GetVariables Aufruf, der keine Variablennamen enthält, führt zu einem AccessDeniedException Fehler, da die Anforderung der Deny-Anweisung zugeordnet ist.

  • Ein GetVariables Aufruf, der einen Variablennamen enthält, der nicht zulässig ist, führt zu einem AccessDeniedException Fehler, da der Variablenname nicht dem Variablennamen im NotResource Block zugeordnet ist. Beispielsweise email_address führt ein GetVariables Aufruf mit einem Variablennamen zu einem AccessDeniedException Fehler.

  • Ein GetVariables Aufruf, der einen Variablennamen enthält, der mit einem Variablennamen im NotResource Block übereinstimmt, wird erwartungsgemäß zurückgegeben. Beispielsweise gibt ein GetVariables Aufruf, der einen Variablennamen enthält, die Details der job_cpa Variablen job_cpa zurück.

Beschränken Sie den Zugriff auf der Grundlage von Tags

Diese Beispielrichtlinie zeigt, wie Sie den Zugriff auf Amazon Fraud Detector anhand von Ressourcen-Tags einschränken können. In diesem Beispiel wird davon ausgegangen, dass:

  • In deinem AWS-Konto Sie haben zwei verschiedene Gruppen mit den Namen Team1 und Team2 definiert

  • Sie haben vier Melder erstellt

  • Sie möchten Mitgliedern von Team1 ermöglichen, API Anrufe über 2 Melder zu tätigen

  • Sie möchten Mitgliedern von Team2 erlauben, API Anrufe an den anderen 2 Meldern zu tätigen

Um den Zugriff auf API Anrufe zu kontrollieren (Beispiel)

  1. Fügen Sie den von Team1 verwendeten Detektoren ein Tag mit A dem Schlüssel Project und dem Wert hinzu.

  2. Fügen Sie den von Team2 verwendeten Detektoren ein Tag mit B dem Schlüssel Project und dem Wert hinzu.

  3. Erstellen Sie eine IAM Richtlinie mit einer ResourceTag Bedingung, die den Zugriff auf Melder verweigert, die Tags mit Schlüssel Project und Wert habenB, und fügen Sie diese Richtlinie Team1 hinzu.

  4. Erstellen Sie eine IAM Richtlinie mit einer ResourceTag Bedingung, die den Zugriff auf Melder verweigert, die Tags mit Schlüssel Project und Wert habenA, und fügen Sie diese Richtlinie Team2 hinzu.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die bestimmte Aktionen für jede Ressource von Amazon Fraud Detector verweigert, deren Tag den Schlüssel Project und den Wert hat: B

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "frauddetector:*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",

      "Action": [

        "frauddetector:CreateModel",
        "frauddetector:CancelBatchPredictionJob",
        "frauddetector:CreateBatchPredictionJob",
        "frauddetector:DeleteBatchPredictionJob",
        "frauddetector:DeleteDetector"
      ],

      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "B"
        }
      }
    }
  ]
}