Exemples de politiques basées sur l'identité d'Amazon Fraud Detector - Amazon Fraud Detector
Bonnes pratiques en matière de politiquesStratégie géréeAutorisation accordée aux utilisateurs pour afficher leurs propres autorisationsAutoriser un accès complet aux ressources d'Amazon Fraud DetectorAutoriser l'accès en lecture seule aux ressources d'Amazon Fraud DetectorAutoriser l'accès à une ressource spécifiqueAutoriser l'accès à des ressources spécifiques lors de l'utilisation du mode double APILimiter l'accès en fonction des balises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques basées sur l'identité d'Amazon Fraud Detector

Par défaut, les utilisateurs et les IAM rôles ne sont pas autorisés à créer ou à modifier les ressources Amazon Fraud Detector. Ils ne peuvent pas non plus effectuer de tâches à l'aide du AWS Management Console, AWS CLI, ou AWS API. Un administrateur doit créer des IAM politiques qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des API opérations spécifiques sur les ressources spécifiques dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.

Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Création de politiques dans l'JSONonglet du guide de l'IAMutilisateur.

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Amazon Fraud Detector de votre compte. Ces actions peuvent entraîner des coûts pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l'identité, suivez les directives et recommandations suivantes :

  • Commencez avec AWS politiques gérées et évolution vers des autorisations avec le moindre privilège — Pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez AWS politiques gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant AWS des politiques gérées par le client spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez .AWS politiques gérées ou AWS politiques gérées pour les fonctions professionnelles dans le guide de IAM l'utilisateur.

  • Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations IAM dans le guide de IAM l'utilisateur.

  • Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un Service AWS, comme AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.

  • Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles respectent le langage des politiques (JSON) et IAM les IAM meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.

  • Exiger une authentification multifactorielle (MFA) — Si vous avez un scénario qui nécessite IAM des utilisateurs ou un utilisateur root dans votre Compte AWS, activez MFA pour plus de sécurité. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.

Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.

AWS-politique gérée (prédéfinie) pour Amazon Fraud Detector

AWS répond à de nombreux cas d'utilisation courants en fournissant des IAM politiques autonomes créées et administrées par AWS. Ces AWS les politiques gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous n'ayez pas à rechercher les autorisations nécessaires. Pour plus d'informations, consultez la section Politiques AWS gérées dans le AWS Identity and Access Management Guide de l'utilisateur de gestion.

Procédez comme suit : AWS la politique gérée, que vous pouvez associer aux utilisateurs de votre compte, est spécifique à Amazon Fraud Detector :

AmazonFraudDetectorFullAccess: accorde un accès complet aux ressources, aux actions et aux opérations prises en charge par Amazon Fraud Detector, notamment :

  • Répertorier et décrire tous les points de terminaison du modèle sur Amazon SageMaker

  • IAMRépertorier tous les rôles du compte

  • Répertorier tous les compartiments Amazon S3

  • Autoriser IAM Pass Role à transmettre un rôle à Amazon Fraud Detector

Cette politique ne fournit pas un accès illimité à S3. Si vous devez télécharger des ensembles de données d'entraînement de modèles vers S3, la politique AmazonS3FullAccess gérée (ou la politique d'accès Amazon S3 personnalisée et délimitée) est également requise.

Vous pouvez consulter les autorisations de la politique en vous connectant à la IAM console et en effectuant une recherche par nom de politique. Vous pouvez également créer vos propres IAM politiques personnalisées pour autoriser les actions et les ressources d'Amazon Fraud Detector selon vos besoins. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui les nécessitent.

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI or AWS API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser un accès complet aux ressources d'Amazon Fraud Detector

L'exemple suivant montre un utilisateur dans votre Compte AWS accès complet à toutes les ressources et actions d'Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser l'accès en lecture seule aux ressources d'Amazon Fraud Detector

Dans cet exemple, vous accordez à un utilisateur dans votre Compte AWS accès en lecture seule à vos ressources Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:GetEventTypes",
                "frauddetector:BatchGetVariable",
                "frauddetector:DescribeDetector",
                "frauddetector:GetModelVersion",
                "frauddetector:GetEventPrediction",
                "frauddetector:GetExternalModels",
                "frauddetector:GetLabels",
                "frauddetector:GetVariables",
                "frauddetector:GetDetectors",
                "frauddetector:GetRules",
                "frauddetector:ListTagsForResource",
                "frauddetector:GetKMSEncryptionKey",
                "frauddetector:DescribeModelVersions",
                "frauddetector:GetDetectorVersion",
                "frauddetector:GetPrediction",
                "frauddetector:GetOutcomes",
                "frauddetector:GetEntityTypes",
                "frauddetector:GetModels"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser l'accès à une ressource spécifique

Dans cet exemple de politique au niveau des ressources, vous accordez à un utilisateur dans votre Compte AWS accès à toutes les actions et ressources, à l'exception d'une ressource particulière du détecteur.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "frauddetector:*Detector"
            ],
            "Resource": "arn:${Partition}:frauddetector:${Region}:${Account}:detector/${detector-name}"
        }
    ]
}

Autoriser l'accès à des ressources spécifiques lors de l'utilisation du mode double API

Amazon Fraud Detector propose un mode bimode APIs qui fonctionne à la fois sous forme de liste et de description. Un mode double, API lorsqu'il est appelé sans aucun paramètre, renvoie une liste de la ressource spécifiée associée à votre Compte AWS. Un mode double, API lorsqu'il est appelé avec un paramètre, renvoie les détails de la ressource spécifiée. Les ressources peuvent être des modèles, des variables, des types d'événements ou des types d'entités.

Le mode double APIs prend en charge les autorisations au niveau des ressources dans IAM les politiques. Toutefois, les autorisations au niveau des ressources ne sont appliquées que lorsqu'un ou plusieurs paramètres sont fournis dans le cadre de la demande. Par exemple, si l'utilisateur appelle GetVariablesAPIet fournit un nom de variable et si une politique de IAM refus est attachée à la ressource variable ou au nom de variable, l'utilisateur recevra AccessDeniedException une erreur. Si l'utilisateur appelle GetVariables API sans spécifier de nom de variable, toutes les variables sont renvoyées, ce qui peut entraîner une fuite d'informations.

Pour permettre aux utilisateurs de consulter les détails de ressources spécifiques uniquement, utilisez un élément IAM NotResource de politique dans une politique de IAM refus. Une fois que vous avez ajouté cet élément de stratégie à une politique de IAM refus, les utilisateurs peuvent uniquement consulter les détails des ressources spécifiées dans le NotResource bloc. Pour plus d'informations, voir Éléments IAM JSON de politique : NotResource dans le Guide de IAM l'utilisateur.

L'exemple de politique suivant permet aux utilisateurs d'accéder à toutes les ressources d'Amazon Fraud Detector. Cependant, l'élément de NotResource politique est utilisé pour limiter GetVariablesAPIles appels aux seuls noms de variables avec les préfixes user*job_*, etvar*.

{
 "Version": "2012-10-17",
 "Statement": [
  {
    "Effect": "Allow",
    "Action": "frauddetector:*",
    "Resource": "*"
  },
 {
    "Effect": "Deny",
    "Action": "frauddetector:GetVariables",
    "NotResource": [
       "arn:aws:frauddetector:*:*:variable/user*",
       "arn:aws:frauddetector:*:*:variable/job_*",
       "arn:aws:frauddetector:*:*:variable/var*"
    ]
  }
 ]
}

Réponse

Pour cet exemple de politique, la réponse présente le comportement suivant :

  • Un GetVariables appel qui n'inclut pas les noms de variables génère une AccessDeniedException erreur car la demande correspond à l'instruction Deny.

  • Un GetVariables appel qui inclut un nom de variable non autorisé génère une AccessDeniedException erreur car le nom de la variable ne correspond pas au nom de la variable dans le NotResource bloc. Par exemple, un GetVariables appel avec un nom de variable email_address entraîne une AccessDeniedException erreur.

  • Un GetVariables appel qui inclut un nom de variable correspondant à un nom de variable dans le NotResource bloc est renvoyé comme prévu. Par exemple, un GetVariables appel qui inclut le nom d'une variable job_cpa renvoie les détails de la job_cpa variable.

Limiter l'accès en fonction des balises

Cet exemple de politique montre comment limiter l'accès à Amazon Fraud Detector en fonction des balises de ressources. Cet exemple suppose que :

  • Dans votre Compte AWS vous avez défini deux groupes différents, nommés Team1 et Team2

  • Vous avez créé quatre détecteurs

  • Vous souhaitez autoriser les membres de Team1 à API passer des appels sur 2 détecteurs

  • Vous souhaitez autoriser les membres de Team2 à API passer des appels sur les 2 autres détecteurs

Pour contrôler l'accès aux API appels (exemple)

  1. Ajoutez une étiquette avec la clé Project et la valeur A aux détecteurs utilisés par Team1.

  2. Ajoutez une étiquette avec la clé Project et la valeur B aux détecteurs utilisés par Team2.

  3. Créez une IAM politique avec une ResourceTag condition interdisant l'accès aux détecteurs dotés de balises contenant une clé Project et une valeurB, et associez cette politique à Team1.

  4. Créez une IAM politique avec une ResourceTag condition interdisant l'accès aux détecteurs dotés de balises contenant une clé Project et une valeurA, et associez cette politique à Team2.

Voici un exemple de politique interdisant des actions spécifiques sur toute ressource Amazon Fraud Detector dont le tag comporte une clé Project et une valeur de B :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "frauddetector:*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",

      "Action": [

        "frauddetector:CreateModel",
        "frauddetector:CancelBatchPredictionJob",
        "frauddetector:CreateBatchPredictionJob",
        "frauddetector:DeleteBatchPredictionJob",
        "frauddetector:DeleteDetector"
      ],

      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "B"
        }
      }
    }
  ]
}