AWS kebijakan terkelola untuk Amazon Detective - Amazon Detective
AmazonDetectiveFullAccessAmazonDetectiveMemberAccessAmazonDetectiveInvestigatorAccessAmazonDetectiveOrganizationsAccessAmazonDetectiveServiceLinkedRolePembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon Detective

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan yang dikelola AWS dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: AmazonDetectiveFullAccess

Anda dapat melampirkan kebijakan AmazonDetectiveFullAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Detektif Amazon. Anda dapat melampirkan kebijakan ini ke kepala sekolah sebelum mereka mengaktifkan Detektif untuk akun mereka. Itu juga harus dilampirkan pada peran yang digunakan untuk menjalankan skrip Detective Python untuk membuat dan mengelola grafik perilaku.

Prinsipal dengan izin ini dapat mengelola akun anggota, menambahkan tag ke grafik perilaku mereka, dan menggunakan Detektif untuk penyelidikan. Mereka juga dapat mengarsipkan GuardDuty temuan. Kebijakan ini memberikan izin yang dibutuhkan konsol Detektif untuk menampilkan nama akun untuk akun yang ada di dalamnya. AWS Organizations

Detail izin

Kebijakan ini mencakup izin berikut:

  • detective— Memungkinkan kepala sekolah akses penuh ke semua tindakan Detektif.

  • organizations— Memungkinkan kepala sekolah untuk mengambil dari AWS Organizations informasi tentang akun dalam suatu organisasi. Jika akun milik organisasi, izin ini memungkinkan konsol Detektif menampilkan nama akun selain nomor akun.

  • guardduty— Memungkinkan kepala sekolah untuk mendapatkan dan mengarsipkan GuardDuty temuan dari dalam Detektif.

  • securityhub— Memungkinkan kepala sekolah untuk mendapatkan temuan Security Hub dari dalam Detektif.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "detective:*",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:ArchiveFindings"
            ],
            "Resource": "arn:aws:guardduty:*:*:detector/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:GetFindings",
                "guardduty:ListDetectors"
                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "securityHub:GetFindings"
            ],
            "Resource": "*"
         } 
    ]
}

AWS kebijakan terkelola: AmazonDetectiveMemberAccess

Anda dapat melampirkan AmazonDetectiveMemberAccess kebijakan ke entitas IAM Anda.

Kebijakan ini memberikan akses anggota ke Detektif Amazon dan akses cakupan ke konsol.

Dengan kebijakan ini, Anda dapat:

  • Lihat undangan ke keanggotaan grafik Detektif dan terima atau tolak undangan tersebut.

  • Lihat bagaimana aktivitas Anda di Detective berkontribusi terhadap biaya penggunaan layanan ini di halaman Penggunaan.

  • Mengundurkan diri dari keanggotaan Anda dalam grafik.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan akses cakupan ke Detektif konsol.

Detail izin

Kebijakan ini mencakup izin berikut:

  • detective— Memungkinkan akses anggota ke Detektif.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:BatchGetMembershipDatasources",
        "detective:DisassociateMembership",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations",
        "detective:RejectInvitation"
      ],
      "Resource": "*"
    }
  ]
}

Kebijakan terkelola AWS : AmazonDetectiveInvestigatorAccess

Anda dapat melampirkan AmazonDetectiveInvestigatorAccess kebijakan ke entitas IAM Anda.

Kebijakan ini menyediakan akses penyidik ke layanan Detektif dan akses cakupan ke dependensi UI konsol Detektif. Kebijakan ini memberikan izin untuk mengaktifkan investigasi Detektif di Detektif untuk pengguna IAM dan peran IAM. Anda dapat menyelidiki untuk mengidentifikasi indikator kompromi seperti temuan menggunakan laporan investigasi, yang memberikan analisis dan wawasan tentang indikator keamanan. Laporan ini diberi peringkat berdasarkan tingkat keparahan, yang ditentukan menggunakan analisis perilaku Detektif dan pembelajaran mesin. Anda dapat menggunakan laporan untuk memprioritaskan remediasi sumber daya.

Detail izin

Kebijakan ini mencakup izin berikut:

  • detective— Memungkinkan penyidik kepala sekolah mengakses tindakan Detektif, untuk mengaktifkan investigasi Detektif, dan untuk memungkinkan menemukan ringkasan kelompok.

  • guardduty— Memungkinkan kepala sekolah untuk mendapatkan dan mengarsipkan GuardDuty temuan dari dalam Detektif.

  • securityhub— Memungkinkan kepala sekolah untuk mendapatkan temuan Security Hub dari dalam Detektif.

  • organizations— Memungkinkan kepala sekolah untuk mengambil informasi tentang akun dalam suatu organisasi dari. AWS Organizations Jika akun milik organisasi, maka izin ini memungkinkan konsol Detektif untuk menampilkan nama akun selain nomor akun.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DetectivePermissions",
      "Effect": "Allow",
      "Action": [ 
        "detective:BatchGetGraphMemberDatasources",
        "detective:BatchGetMembershipDatasources",
        "detective:DescribeOrganizationConfiguration",
        "detective:GetFreeTrialEligibility",
        "detective:GetGraphIngestState",
        "detective:GetMembers",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListDatasourcePackages",
        "detective:ListGraphs",
        "detective:ListHighDegreeEntities",
        "detective:ListInvitations",
        "detective:ListMembers",
        "detective:ListOrganizationAdminAccount",
        "detective:ListTagsForResource",
        "detective:SearchGraph",
        "detective:StartInvestigation",
        "detective:GetInvestigation",
        "detective:ListInvestigations",
        "detective:UpdateInvestigationState",
        "detective:ListIndicators",
        "detective:InvokeAssistant"
      ],
      "Resource": "*"
    },
    {
      "Sid": "OrganizationsPermissions",
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GuardDutyPermissions",
      "Effect": "Allow",
      "Action": [
        "guardduty:ArchiveFindings",
        "guardduty:GetFindings",
        "guardduty:ListDetectors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecurityHubPermissions",
      "Effect": "Allow",
      "Action": [
        "securityHub:GetFindings"
      ],
      "Resource": "*"
    }
  ]
}

AWS kebijakan terkelola: AmazonDetectiveOrganizationsAccess

Anda dapat melampirkan AmazonDetectiveOrganizationsAccess kebijakan ke entitas IAM Anda.

Kebijakan ini memberikan izin untuk mengaktifkan dan mengelola Detektif Amazon dalam suatu organisasi. Anda dapat mengaktifkan Detektif di seluruh organisasi dan menentukan akun administrator yang didelegasikan untuk Detektif.

Detail izin

Kebijakan ini mencakup izin berikut:

  • detective— Memungkinkan kepala sekolah mengakses tindakan Detektif.

  • iam— Menentukan bahwa peran layanan terkait dibuat ketika EnableOrganizationAdminAccount Detective memanggil.

  • organizations— Memungkinkan kepala sekolah untuk mengambil informasi tentang akun dalam suatu organisasi dari. AWS Organizations Jika akun milik organisasi, maka izin ini memungkinkan konsol Detektif untuk menampilkan nama akun selain nomor akun. Mengaktifkan integrasi AWS layanan, memungkinkan register dan deregister akun anggota yang ditentukan sebagai administrator Delegasi, dan memungkinkan prinsipal untuk mengambil akun administrator Delegasi di layanan keamanan lain seperti Amazon Detective, Amazon, Amazon Macie, dan. GuardDuty AWS Security Hub

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:DisableOrganizationAdminAccount",
        "detective:EnableOrganizationAdminAccount",
        "detective:ListOrganizationAdminAccount"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "detective.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:ListDelegatedAdministrators"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com",
            "guardduty.amazonaws.com",
            "macie.amazonaws.com",
            "securityhub.amazonaws.com"
          ]
        }
      }
    }
  ]
}

Kebijakan terkelola AWS : AmazonDetectiveServiceLinkedRole

Anda tidak dapat melampirkan kebijakan AmazonDetectiveServiceLinkedRole ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Detektif melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Detektif.

Kebijakan ini memberikan izin administratif yang memungkinkan peran terkait layanan untuk mengambil informasi akun untuk organisasi.

Detail izin

Kebijakan ini mencakup izin berikut:

  • organizations— Mengambil informasi akun untuk suatu organisasi.

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "organizations:DescribeAccount",
              "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

Detective update untuk AWS kebijakan terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Detektif sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat dokumen.

Perubahan Deskripsi Tanggal

AmazonDetectiveInvestigatorAccess— Pembaruan kebijakan yang ada

Menambahkan investigasi Detektif dan menemukan tindakan ringkasan kelompok ke kebijakan. AmazonDetectiveInvestigatorAccess

Tindakan ini memungkinkan memulai, mengambil, dan memperbarui investigasi Detektif; dan mendapatkan ringkasan menemukan kelompok dari dalam Detektif.

 26 November 2023

AmazonDetectiveFullAccessdan AmazonDetectiveInvestigatorAccess— Pembaruan kebijakan yang ada

Detective menambahkan GetFindings tindakan Security Hub ke AmazonDetectiveFullAccess dan AmazonDetectiveInvestigatorAccess kebijakan.

Tindakan ini memungkinkan mendapatkan temuan Security Hub dari dalam Detektif.

 16 Mei 2023

AmazonDetectiveOrganizationsAccess – Kebijakan baru

Detektif menambahkan AmazonDetectiveOrganizationsAccess kebijakan.

Kebijakan ini memberikan izin untuk mengaktifkan dan mengelola Detektif dalam suatu organisasi

 Maret 02, 2023

AmazonDetectiveMemberAccess – Kebijakan baru

Detektif menambahkan kebijakan. AmazonDetectiveMemberAccess

Kebijakan ini memberikan akses anggota ke Detektif dan akses cakupan ke dependensi UI konsol.

Januari 17, 2023

AmazonDetectiveFullAccess— Pembaruan untuk kebijakan yang ada

Detektif menambahkan GuardDuty GetFindings tindakan ke kebijakan. AmazonDetectiveFullAccess

Tindakan ini memungkinkan mendapatkan GuardDuty temuan dari dalam Detektif.

 Januari 17, 2023

AmazonDetectiveInvestigatorAccess – Kebijakan baru

Detektif menambahkan kebijakan. AmazonDetectiveInvestigatorAccess

Kebijakan ini memungkinkan kepala sekolah untuk melakukan investigasi di Detektif.

 Januari 17, 2023

AmazonDetectiveServiceLinkedRole – Kebijakan baru

Detective menambahkan kebijakan baru untuk peran terkait layanannya.

Kebijakan ini memungkinkan peran terkait layanan untuk mengambil informasi tentang akun dalam organisasi.

 Desember 16, 2021

Detektif mulai melacak perubahan

Detective mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 10 Mei 2021