Exemples de politiques basées sur l'identité d'Amazon Fraud Detector - Amazon Fraud Detector
Bonnes pratiques en matière de politiquesStratégie géréeAutorisation accordée aux utilisateurs pour afficher leurs propres autorisationsAutoriser un accès complet aux ressources d'Amazon Fraud DetectorAutoriser l'accès en lecture seule aux ressources d'Amazon Fraud DetectorAutoriser l'accès à une ressource spécifiqueAutoriser l'accès à des ressources spécifiques lors de l'utilisation de l'API bimodeLimiter l'accès en fonction des balises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques basées sur l'identité d'Amazon Fraud Detector

Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier les ressources Amazon Fraud Detector. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.

Pour savoir comment créer une politique IAM basée sur l’identité à l’aide de ces exemples de documents de politique JSON, consultez Création de politiques dans l’onglet JSON dans le Guide de l’utilisateur IAM.

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Amazon Fraud Detector de votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

  • Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez politiques gérées par AWS ou politiques gérées par AWS pour les activités professionnelles dans le Guide de l’utilisateur IAM.

  • Accorder les autorisations de moindre privilège : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d’informations sur l’utilisation de IAM pour appliquer des autorisations, consultez politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM.

  • Utiliser des conditions dans les politiques IAM pour restreindre davantage l’accès : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

  • Utilisez IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles : IAM Access Analyzer valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez Validation de politique IAM Access Analyzer dans le Guide de l’utilisateur IAM.

  • Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger le MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez Configuration de l’accès aux API protégé par MFA dans le Guide de l’utilisateur IAM.

Pour plus d’informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Politique (prédéfinie) gérée par AWS pour Amazon Fraud Detector

AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Ces politiques AWS gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous puissiez éviter d'avoir à rechercher les autorisations nécessaires. Pour plus d'informations, consultez les politiques gérées par AWS dans le guide AWS Identity and Access Management de l'utilisateur de gestion.

La politique AWS gérée suivante, que vous pouvez associer aux utilisateurs de votre compte, est spécifique à Amazon Fraud Detector :

AmazonFraudDetectorFullAccess: accorde un accès complet aux ressources, aux actions et aux opérations prises en charge par Amazon Fraud Detector, notamment :

  • Répertorier et décrire tous les points de terminaison du modèle sur Amazon SageMaker

  • Répertorier tous les rôles IAM du compte

  • Répertorier tous les compartiments Amazon S3

  • Autoriser le rôle IAM Pass à transmettre un rôle à Amazon Fraud Detector

Cette politique ne fournit pas un accès illimité à S3. Si vous devez télécharger des ensembles de données d'entraînement de modèles vers S3, la politique AmazonS3FullAccess gérée (ou la politique d'accès Amazon S3 personnalisée et délimitée) est également requise.

Vous pouvez consulter les autorisations de la politique en vous connectant à la console IAM et en effectuant une recherche par nom de politique. Vous pouvez également créer vos propres politiques IAM personnalisées pour autoriser les actions et les ressources d'Amazon Fraud Detector selon vos besoins. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui les nécessitent.

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser un accès complet aux ressources d'Amazon Fraud Detector

L'exemple suivant donne à un utilisateur un accès Compte AWS complet à toutes les ressources et actions d'Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser l'accès en lecture seule aux ressources d'Amazon Fraud Detector

Dans cet exemple, vous accordez à un utilisateur un accès en Compte AWS lecture seule à vos ressources Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:GetEventTypes",
                "frauddetector:BatchGetVariable",
                "frauddetector:DescribeDetector",
                "frauddetector:GetModelVersion",
                "frauddetector:GetEventPrediction",
                "frauddetector:GetExternalModels",
                "frauddetector:GetLabels",
                "frauddetector:GetVariables",
                "frauddetector:GetDetectors",
                "frauddetector:GetRules",
                "frauddetector:ListTagsForResource",
                "frauddetector:GetKMSEncryptionKey",
                "frauddetector:DescribeModelVersions",
                "frauddetector:GetDetectorVersion",
                "frauddetector:GetPrediction",
                "frauddetector:GetOutcomes",
                "frauddetector:GetEntityTypes",
                "frauddetector:GetModels"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser l'accès à une ressource spécifique

Dans cet exemple de politique au niveau des ressources, vous accordez à un utilisateur l' Compte AWS accès à toutes les actions et ressources, à l'exception d'une ressource Detector en particulier.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "frauddetector:*Detector"
            ],
            "Resource": "arn:${Partition}:frauddetector:${Region}:${Account}:detector/${detector-name}"
        }
    ]
}

Autoriser l'accès à des ressources spécifiques lors de l'utilisation de l'API bimode

Amazon Fraud Detector fournit des API Get bimode qui fonctionnent à la fois comme des opérations List et Describe. Une API bimode, lorsqu'elle est appelée sans aucun paramètre, renvoie une liste des ressources spécifiées associées à votre Compte AWS. Lorsqu'elle est appelée avec un paramètre, une API bimode renvoie les détails de la ressource spécifiée. Les ressources peuvent être des modèles, des variables, des types d'événements ou des types d'entités.

Les API bimodes prennent en charge les autorisations au niveau des ressources dans les politiques IAM. Toutefois, les autorisations au niveau des ressources ne sont appliquées que lorsqu'un ou plusieurs paramètres sont fournis dans le cadre de la demande. Par exemple, si l'utilisateur appelle l'GetVariablesAPI et fournit un nom de variable et si une politique IAM Deny est attachée à la ressource variable ou au nom de variable, l'utilisateur recevra AccessDeniedException une erreur. Si l'utilisateur appelle GetVariables l'API sans spécifier de nom de variable, toutes les variables sont renvoyées, ce qui peut entraîner une fuite d'informations.

Pour permettre aux utilisateurs de consulter les détails de ressources spécifiques uniquement, utilisez un élément de NotResource stratégie IAM dans une stratégie IAM Deny. Une fois que vous avez ajouté cet élément de stratégie à une stratégie IAM Deny, les utilisateurs peuvent uniquement consulter les détails des ressources spécifiées dans le NotResource bloc. Pour plus d'informations, voir Éléments de politique IAM JSON : NotResource dans le guide de l'utilisateur IAM.

L'exemple de politique suivant permet aux utilisateurs d'accéder à toutes les ressources d'Amazon Fraud Detector. Cependant, l'élément de NotResource politique est utilisé pour limiter les appels d'GetVariablesAPI aux seuls noms de variables avec les préfixes user*job_*, etvar*.

{
 "Version": "2012-10-17",
 "Statement": [
  {
    "Effect": "Allow",
    "Action": "frauddetector:*",
    "Resource": "*"
  },
 {
    "Effect": "Deny",
    "Action": "frauddetector:GetVariables",
    "NotResource": [
       "arn:aws:frauddetector:*:*:variable/user*",
       "arn:aws:frauddetector:*:*:variable/job_*",
       "arn:aws:frauddetector:*:*:variable/var*"
    ]
  }
 ]
}

Réponse

Pour cet exemple de politique, la réponse présente le comportement suivant :

  • Un GetVariables appel qui n'inclut pas les noms de variables génère une AccessDeniedException erreur car la demande correspond à l'instruction Deny.

  • Un GetVariables appel qui inclut un nom de variable non autorisé génère une AccessDeniedException erreur car le nom de la variable ne correspond pas au nom de la variable dans le NotResource bloc. Par exemple, un GetVariables appel avec un nom de variable email_address entraîne une AccessDeniedException erreur.

  • Un GetVariables appel qui inclut un nom de variable correspondant à un nom de variable dans le NotResource bloc est renvoyé comme prévu. Par exemple, un GetVariables appel qui inclut le nom d'une variable job_cpa renvoie les détails de la job_cpa variable.

Limiter l'accès en fonction des balises

Cet exemple de politique montre comment limiter l'accès à Amazon Fraud Detector en fonction des balises de ressources. Cet exemple suppose que :

  • Dans votre, Compte AWS vous avez défini deux groupes différents, nommés Team1 et Team2

  • Vous avez créé quatre détecteurs

  • Vous souhaitez autoriser les membres de Team1 à effectuer des appels d'API sur 2 détecteurs

  • Vous souhaitez autoriser les membres de Team2 à effectuer des appels d'API sur les 2 autres détecteurs

Pour contrôler l'accès aux appels d'API (exemple)

  1. Ajoutez une étiquette avec la clé Project et la valeur A aux détecteurs utilisés par Team1.

  2. Ajoutez une étiquette avec la clé Project et la valeur B aux détecteurs utilisés par Team2.

  3. Créez une politique IAM avec une ResourceTag condition interdisant l'accès aux détecteurs dotés de balises contenant une clé Project et une valeurB, et associez cette politique à Team1.

  4. Créez une politique IAM avec une ResourceTag condition interdisant l'accès aux détecteurs dotés de balises contenant une clé Project et une valeurA, et associez cette politique à Team2.

Voici un exemple de politique interdisant des actions spécifiques sur toute ressource Amazon Fraud Detector dont le tag comporte une clé Project et une valeur de B :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "frauddetector:*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",

      "Action": [

        "frauddetector:CreateModel",
        "frauddetector:CancelBatchPredictionJob",
        "frauddetector:CreateBatchPredictionJob",
        "frauddetector:DeleteBatchPredictionJob",
        "frauddetector:DeleteDetector"
      ],

      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "B"
        }
      }
    }
  ]
}