Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon Detective
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez la section Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
AWS politique gérée : AmazonDetectiveFullAccess
Vous pouvez associer la politique AmazonDetectiveFullAccess
à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent à un principal d’accéder pleinement à toutes les actions Amazon Detective. Vous pouvez attacher cette politique à un principal avant qu’il n’active Detective pour son compte. Il doit également être associé au rôle utilisé pour exécuter les scripts Python Detective afin de créer et de gérer un graphe de comportement.
Les principaux disposant de ces autorisations peuvent gérer les comptes des membres, ajouter des balises à leur graphe de comportement et utiliser Detective pour leurs enquêtes. Ils peuvent également archiver GuardDuty les résultats. La politique fournit les autorisations dont la console Detective a besoin pour afficher les noms des comptes enregistrés AWS Organizations.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
detective
: donne aux principals un accès total à toutes les actions de Detective. -
organizations
: permet aux principals d’accéder à des informations AWS Organizations sur les comptes d’une organisation. Si un compte appartient à une organisation, ces autorisations permettent à la console Detective d’afficher les noms des comptes en plus des numéros de compte. -
guardduty
— Permet aux directeurs d'obtenir et d'archiver GuardDuty les résultats depuis Detective. -
securityhub
: permet aux principal d’accéder aux résultats du Security Hub depuis Detective.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWS politique gérée : AmazonDetectiveMemberAccess
Vous pouvez également associer la politique AmazonDetectiveMemberAccess
à vos entités IAM.
Cette politique fournit aux membres un accès à Amazon Detective et un accès limité à la console.
Grâce à cette politique, vous pouvez :
-
Consulter les invitations à devenir membre Detective par graphe, et accepter ou refuser ces invitations.
-
Découvrir comment votre activité dans Detective contribue au coût d’utilisation de ce service sur la page Utilisation.
-
Résilier votre adhésion dans un graphe.
Cette politique accorde des autorisations qui permettent d’accéder en lecture seule à la console Detective.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
detective
: permet aux membres d’accéder à Detective.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }
Politique gérée par AWS : AmazonDetectiveInvestigatorAccess
Vous pouvez associer la politique AmazonDetectiveInvestigatorAccess
à vos entités IAM.
Cette politique fournit aux enquêteurs un accès au service Detective et un accès limité aux dépendances de l’interface utilisateur de la console Detective. Cette politique accorde des autorisations permettant d’activer les enquêtes Detective dans Detective pour les rôles et utilisateurs IAM. Vous pouvez mener une enquête pour identifier les indicateurs de compromission, tels que les résultats, à l’aide d’un rapport d’enquête, qui fournit des analyses et des informations sur les indicateurs de sécurité. Le rapport est classé par gravité, qui est déterminée à l’aide de l’analyse comportementale et du machine learning de Detective. Vous pouvez utiliser le rapport pour prioriser la correction des ressources.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
detective
: permet aux enquêteurs principals d’accéder aux actions de Detective, d’effectuer des enquêtes Detective, et d’élaborer un résumé des groupes de résultats. -
guardduty
— Permet aux directeurs d'obtenir et d'archiver GuardDuty les résultats depuis Detective. -
securityhub
: permet aux principal d’accéder aux résultats du Security Hub depuis Detective. -
organizations
— Permet aux directeurs de récupérer des informations sur les comptes d'une organisation auprès de AWS Organizations. Si un compte appartient à une organisation, ces autorisations permettent à la console Detective d’afficher les noms des comptes en plus des numéros de compte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWS politique gérée : AmazonDetectiveOrganizationsAccess
Vous pouvez associer la politique AmazonDetectiveOrganizationsAccess
à vos entités IAM.
Cette politique autorise l’activation et la gestion d’Amazon Detective au sein d’une organisation. Vous pouvez activer Detective dans l’ensemble de l’organisation et déterminer le compte administrateur délégué pour Detective.
Détails des autorisations
Cette politique inclut les autorisations suivantes :
-
detective
: permet aux principals d’accéder aux actions de Detective. -
iam
: spécifie qu’un rôle lié à un service est créé lorsque Detective appelleEnableOrganizationAdminAccount
. -
organizations
— Permet aux directeurs de récupérer des informations sur les comptes d'une organisation auprès de AWS Organizations. Si un compte appartient à une organisation, ces autorisations permettent à la console Detective d’afficher les noms des comptes en plus des numéros de compte. Permet l'intégration d'un AWS service, permet d'enregistrer et de désenregistrer le compte de membre spécifié en tant qu'administrateur délégué, et permet aux principaux de récupérer les comptes d'administrateur délégué dans d'autres services de sécurité tels qu'Amazon Detective, Amazon, Amazon GuardDuty Macie et. AWS Security Hub
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }
Politique gérée par AWS : AmazonDetectiveServiceLinkedRole
Vous ne pouvez pas associer AmazonDetectiveServiceLinkedRole
à vos entités IAM. Cette politique est associée à un rôle lié au service qui permet à Detective d’effectuer des actions en votre nom. Pour plus d’informations, consultez Utilisation des rôles liés aux services pour Detective.
Cette politique accorde des autorisations administratives qui permettent au rôle lié au service de récupérer des informations de compte pour une organisation.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
organizations
: récupère les informations de compte d’une organisation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }
Mises à jour détectives des politiques AWS gérées
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour Detective depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la Page historique du document .
Modification | Description | Date |
---|---|---|
AmazonDetectiveInvestigatorAccess : mise à jour des politiques existantes |
Des récapitulatifs de groupes de résultats et d’enquêtes Detective ont été ajoutés à la politique Ces actions permettent de démarrer, de récupérer et de mettre à jour les enquêtes de Detective, ainsi que d’obtenir un résumé des groupes de résultats trouvés dans Detective. |
26 novembre 2023 |
AmazonDetectiveFullAccess et AmazonDetectiveInvestigatorAccess : mises à jour des politiques existantes |
Actions Ces actions permettent d’obtenir les résultats de Security Hub depuis Detective. |
16 mai 2023 |
AmazonDetectiveOrganizationsAccess : nouvelle politique |
Politique Cette politique autorise l’activation et la gestion de Detective au sein d’une organisation |
02 mars 2023 |
AmazonDetectiveMemberAccess : nouvelle politique |
Politique Cette politique fournit aux membres un accès à Detective et un accès limité aux dépendances de l’interface utilisateur de la console. |
17 janvier 2023 |
AmazonDetectiveFullAccess : mises à jour d’une politique existante |
Detective a ajouté des GuardDuty Ces actions permettent d'obtenir GuardDuty des résultats depuis Detective. |
17 janvier 2023 |
AmazonDetectiveInvestigatorAccess : nouvelle politique |
Politique Cette politique permet au principal de mener des enquêtes dans Detective. |
17 janvier 2023 |
AmazonDetectiveServiceLinkedRole : nouvelle politique |
Detective a ajouté une nouvelle politique pour son rôle lié à un service. La politique permet au rôle lié à un service de récupérer des informations sur les comptes d’une organisation. |
16 décembre 2021 |
Detective a commencé à suivre les changements |
Detective a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
10 mai 2021 |