Ejemplos de políticas basadas en la identidad de Amazon Fraud Detector - Amazon Fraud Detector
Prácticas recomendadas sobre las políticasPolítica administradaCómo permitir a los usuarios consultar sus propios permisosPermita el acceso total a los recursos de Amazon Fraud DetectorPermitir el acceso de solo lectura a los recursos de Amazon Fraud DetectorPermita el acceso a un recurso específicoPermita el acceso a recursos específicos cuando utilice el modo dual APILimitar el acceso en función de las etiquetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en la identidad de Amazon Fraud Detector

De forma predeterminada, los usuarios y los IAM roles no tienen permiso para crear o modificar los recursos de Amazon Fraud Detector. Tampoco pueden realizar tareas con el AWS Management Console, AWS CLI, o AWS API. El administrador debe crear IAM políticas que concedan permiso a los usuarios y a las funciones para realizar API operaciones específicas en los recursos específicos que necesitan. El administrador debe asociar esas políticas a los usuarios o grupos que necesiten esos permisos.

Para obtener información sobre cómo crear una política IAM basada en la identidad utilizando estos documentos de JSON política de ejemplo, consulte Creación de políticas en la JSON pestaña de la Guía del IAMusuario.

Prácticas recomendadas sobre las políticas

Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar los recursos de Amazon Fraud Detector en su cuenta. Estas acciones pueden suponer costes para su Cuenta de AWS. Al crear o editar políticas basadas en la identidad, siga estas directrices y recomendaciones:

  • Comience con AWS políticas gestionadas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice la AWS políticas gestionadas que conceden permisos para muchos casos de uso habituales. Están disponibles en su Cuenta de AWS. Le recomendamos que reduzca aún más los permisos definiendo AWS políticas gestionadas por el cliente que sean específicas para sus casos de uso. Para obtener más información, consulte AWS políticas gestionadas o AWS políticas gestionadas para las funciones laborales en la Guía IAM del usuario.

  • Aplique permisos con privilegios mínimos: cuando establezca permisos con IAM políticas, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Para obtener más información sobre cómo IAM aplicar permisos, consulte Políticas y permisos IAM en la IAM Guía del usuario.

  • Utilice las condiciones en IAM las políticas para restringir aún más el acceso: puede añadir una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse medianteSSL. También puede utilizar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de un procedimiento específico Servicio de AWS, como, por ejemplo, AWS CloudFormation. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.

  • Utilice IAM Access Analyzer para validar sus IAM políticas y garantizar permisos seguros y funcionales: IAM Access Analyzer valida las políticas nuevas y existentes para que se ajusten al lenguaje de las políticas (JSON) y IAM a las IAM mejores prácticas. IAMAccess Analyzer proporciona más de 100 comprobaciones de políticas y recomendaciones prácticas para ayudarle a crear políticas seguras y funcionales. Para obtener más información, consulte la validación de políticas de IAM Access Analyzer en la Guía del IAM usuario.

  • Requerir autenticación multifactorial (MFA): si tiene un escenario que requiere IAM usuarios o un usuario raíz en su Cuenta de AWS, actívala MFA para mayor seguridad. Para solicitarlo MFA cuando se cancelen API las operaciones, añada MFA condiciones a sus políticas. Para obtener más información, consulte Configuración del API acceso MFA protegido en la Guía del IAM usuario.

Para obtener más información sobre las prácticas recomendadasIAM, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

AWS-política gestionada (predefinida) para Amazon Fraud Detector

AWS aborda muchos casos de uso comunes al proporcionar IAM políticas independientes que son creadas y administradas por AWS. Estos AWS Las políticas gestionadas otorgan los permisos necesarios para los casos de uso más comunes, de modo que no tenga que investigar qué permisos son necesarios. Para obtener más información, consulte Políticas AWS administradas en la AWS Identity and Access Management Guía del usuario de administración.

Los siguientes ejemplos de AWS La política gestionada, que puedes adjuntar a los usuarios de tu cuenta, es específica de Amazon Fraud Detector:

AmazonFraudDetectorFullAccess: Otorga acceso completo a los recursos, las acciones y las operaciones compatibles de Amazon Fraud Detector, que incluyen:

  • Enumere y describa todos los puntos finales del modelo en Amazon SageMaker

  • Enumere todos los IAM roles de la cuenta

  • Listar todos los buckets de Amazon S3

  • Permita que IAM Pass Role pase un puesto a Amazon Fraud Detector

Esta política no proporciona acceso ilimitado a S3. Si necesita cargar conjuntos de datos de entrenamiento de modelos en S3, también es necesaria la política AmazonS3FullAccess gestionada (o la política de acceso a Amazon S3 personalizada y con alcance limitado).

Para revisar los permisos de la política, inicia sesión en la IAM consola y busca por el nombre de la política. También puedes crear tus propias IAM políticas personalizadas para permitir permisos para las acciones y los recursos de Amazon Fraud Detector cuando los necesites. Puede asociar estas políticas personalizadas a los usuarios o grupos de que las requieran.

Cómo permitir a los usuarios consultar sus propios permisos

En este ejemplo, se muestra cómo se puede crear una política que permita a IAM los usuarios ver las políticas integradas y gestionadas asociadas a su identidad de usuario. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante el AWS CLI o AWS API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Permita el acceso total a los recursos de Amazon Fraud Detector

En el siguiente ejemplo, se muestra un usuario de su Cuenta de AWS acceso completo a todos los recursos y acciones de Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        }
    ]
}

Permitir el acceso de solo lectura a los recursos de Amazon Fraud Detector

En este ejemplo, concedes a un usuario en tu Cuenta de AWS acceso de solo lectura a los recursos de Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:GetEventTypes",
                "frauddetector:BatchGetVariable",
                "frauddetector:DescribeDetector",
                "frauddetector:GetModelVersion",
                "frauddetector:GetEventPrediction",
                "frauddetector:GetExternalModels",
                "frauddetector:GetLabels",
                "frauddetector:GetVariables",
                "frauddetector:GetDetectors",
                "frauddetector:GetRules",
                "frauddetector:ListTagsForResource",
                "frauddetector:GetKMSEncryptionKey",
                "frauddetector:DescribeModelVersions",
                "frauddetector:GetDetectorVersion",
                "frauddetector:GetPrediction",
                "frauddetector:GetOutcomes",
                "frauddetector:GetEntityTypes",
                "frauddetector:GetModels"
            ],
            "Resource": "*"
        }
    ]
}

Permita el acceso a un recurso específico

En este ejemplo de política a nivel de recursos, concedes a un usuario en tu Cuenta de AWS acceso a todas las acciones y recursos, excepto a un recurso de Detector en particular.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "frauddetector:*Detector"
            ],
            "Resource": "arn:${Partition}:frauddetector:${Region}:${Account}:detector/${detector-name}"
        }
    ]
}

Permita el acceso a recursos específicos cuando utilice el modo dual API

Amazon Fraud Detector proporciona un modo dual APIs que funciona como operación de lista y descripción. Un modo dual, API cuando se llama sin ningún parámetro, devuelve una lista del recurso especificado asociado a su Cuenta de AWS. Un modo dual API cuando se llama con un parámetro devuelve los detalles del recurso especificado. El recurso puede ser de modelos, variables, tipos de eventos o tipos de entidades.

El modo dual APIs admite permisos a nivel de recursos en IAM las políticas. Sin embargo, los permisos a nivel de recurso solo se aplican cuando se proporcionan uno o más parámetros como parte de la solicitud. Por ejemplo, si el usuario llama GetVariablesAPIy proporciona un nombre de variable y si hay una política de IAM denegación asociada al recurso variable o al nombre de la variable, el usuario recibirá AccessDeniedException un error. Si el usuario llama GetVariables API y no especifica el nombre de una variable, se devuelven todas las variables, lo que puede provocar una pérdida de información.

Para permitir a los usuarios ver únicamente los detalles de recursos específicos, utilice un elemento IAM NotResource de política en una política de IAM denegación. Tras añadir este elemento de política a una política de IAM denegación, los usuarios solo pueden ver los detalles de los recursos que se especifican en el NotResource bloque. Para obtener más información, consulte los elementos IAM JSON de la política: NotResource en la Guía del IAM usuario.

El siguiente ejemplo de política permite a los usuarios acceder a todos los recursos de Amazon Fraud Detector. Sin embargo, el elemento de NotResource política se utiliza para limitar GetVariablesAPIlas llamadas únicamente a los nombres de las variables con los prefijos user*job_*, yvar*.

{
 "Version": "2012-10-17",
 "Statement": [
  {
    "Effect": "Allow",
    "Action": "frauddetector:*",
    "Resource": "*"
  },
 {
    "Effect": "Deny",
    "Action": "frauddetector:GetVariables",
    "NotResource": [
       "arn:aws:frauddetector:*:*:variable/user*",
       "arn:aws:frauddetector:*:*:variable/job_*",
       "arn:aws:frauddetector:*:*:variable/var*"
    ]
  }
 ]
}

Respuesta

En este ejemplo de política, la respuesta presenta el siguiente comportamiento:

  • Una GetVariables llamada que no incluye nombres de variables genera un AccessDeniedException error porque la solicitud se asigna a la sentencia Deny.

  • Una GetVariables llamada que incluye un nombre de variable no permitido genera un AccessDeniedException error porque el nombre de la variable no se corresponde con el nombre de la variable del NotResource bloque. Por ejemplo, una GetVariables llamada con un nombre de variable email_address produce un AccessDeniedException error.

  • Una GetVariables llamada que incluye un nombre de variable que coincide con un nombre de variable del NotResource bloque se devuelve como se esperaba. Por ejemplo, una GetVariables llamada que incluye el nombre de la variable job_cpa devuelve los detalles de la job_cpa variable.

Limitar el acceso en función de las etiquetas

En este ejemplo de política se muestra cómo limitar el acceso a Amazon Fraud Detector en función de las etiquetas de recursos. En este ejemplo se supone que:

  • En tu Cuenta de AWS ha definido dos grupos diferentes, denominados Team1 y Team2

  • Ha creado cuatro detectores

  • Quiere permitir a los miembros del Team1 realizar API llamadas en 2 detectores

  • Desea permitir a los miembros del Team2 realizar API llamadas en los otros 2 detectores

Para controlar el acceso a las API llamadas (ejemplo)

  1. Añada una etiqueta con la clave Project y el valor A a los detectores utilizados por Team1.

  2. Añada una etiqueta con la clave Project y el valor B a los detectores utilizados por Team2.

  3. Cree una IAM política con una ResourceTag condición que deniegue el acceso a los detectores que tengan etiquetas con una clave Project y un valorB, y adjunte esa política a Team1.

  4. Cree una IAM política con una ResourceTag condición que deniegue el acceso a los detectores que tengan etiquetas con una clave Project y un valorA, y adjunte esa política a Team2.

El siguiente es un ejemplo de una política que deniega acciones específicas en cualquier recurso de Amazon Fraud Detector que tenga una etiqueta con una clave Project y un valor deB:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "frauddetector:*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",

      "Action": [

        "frauddetector:CreateModel",
        "frauddetector:CancelBatchPredictionJob",
        "frauddetector:CreateBatchPredictionJob",
        "frauddetector:DeleteBatchPredictionJob",
        "frauddetector:DeleteDetector"
      ],

      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "B"
        }
      }
    }
  ]
}