Contoh kebijakan berbasis identitas Amazon Fraud Detector - Amazon Fraud Detector
Praktik terbaik kebijakanKebijakan terkelolaMengizinkan pengguna melihat izin mereka sendiriIzinkan akses penuh ke sumber daya Amazon Fraud DetectorIzinkan akses hanya-baca ke sumber daya Amazon Fraud DetectorIzinkan akses ke sumber daya tertentuIzinkan akses ke sumber daya tertentu saat menggunakan mode ganda APIMembatasi akses berdasarkan tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis identitas Amazon Fraud Detector

Secara default, pengguna dan IAM peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Amazon Fraud Detector. Mereka juga tidak dapat melakukan tugas menggunakan AWS Management Console, AWS CLI, atau AWS API. Administrator harus membuat IAM kebijakan yang memberikan izin kepada pengguna dan peran untuk melakukan API operasi tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.

Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen kebijakan ini, lihat Membuat JSON Kebijakan di JSON Tab di Panduan Pengguna. IAM

Praktik terbaik kebijakan

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon Fraud Detector di akun Anda. Tindakan ini dapat menimbulkan biaya untuk Anda Akun AWS. Saat Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi berikut:

  • Memulai dengan AWS kebijakan terkelola dan beralih ke izin hak istimewa terkecil — Untuk memulai pemberian izin kepada pengguna dan beban kerja Anda, gunakan AWS kebijakan terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan mendefinisikan AWS kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, silakan lihat AWS kebijakan terkelola atau AWS kebijakan terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

  • Menerapkan izin hak istimewa paling sedikit — Saat Anda menetapkan izin dengan IAM kebijakan, berikan hanya izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat Kebijakan dan izin IAM di IAM Panduan Pengguna.

  • Gunakan ketentuan dalam IAM kebijakan untuk membatasi akses lebih lanjut — Anda dapat menambahkan kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakanSSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui tindakan tertentu Layanan AWS, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.

  • Gunakan IAM Access Analyzer untuk memvalidasi IAM kebijakan Anda guna memastikan izin yang aman dan fungsional — IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa IAM kebijakan () JSON dan praktik terbaik. IAM IAMAccess Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Validasi kebijakan IAM Access Analyzer di IAMPanduan Pengguna.

  • Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan IAM pengguna atau pengguna root di Akun AWS, nyalakan MFA untuk keamanan tambahan. Untuk meminta MFA kapan API operasi dipanggil, tambahkan MFA kondisi ke kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi API akses MFA yang dilindungi di IAMPanduan Pengguna.

Untuk informasi selengkapnya tentang praktik terbaik diIAM, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

AWSKebijakan yang dikelola (telah ditentukan sebelumnya) untuk Amazon Fraud Detector

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola oleh AWS. Ini AWS kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin mana yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan AWS Terkelola di AWS Identity and Access Management Panduan Pengguna Manajemen.

Berikut ini AWS kebijakan terkelola, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon Fraud Detector:

AmazonFraudDetectorFullAccess: Memberikan akses penuh ke sumber daya Amazon Fraud Detector, tindakan, dan operasi yang didukung termasuk:

  • Buat daftar dan jelaskan semua titik akhir model di Amazon SageMaker

  • Buat daftar semua IAM peran di akun

  • Daftar semua ember Amazon S3

  • Izinkan IAM Pass Role untuk meneruskan peran ke Amazon Fraud Detector

Kebijakan ini tidak menyediakan akses S3 yang tidak dibatasi. Jika Anda perlu mengunggah kumpulan data pelatihan model ke S3, kebijakan AmazonS3FullAccess terkelola (atau kebijakan akses Amazon S3 kustom cakupan) juga diperlukan.

Anda dapat meninjau izin kebijakan dengan masuk ke IAM konsol dan mencari berdasarkan nama kebijakan. Anda juga dapat membuat IAM kebijakan kustom Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber daya Amazon Fraud Detector saat Anda membutuhkannya. Anda dapat melampirkan kebijakan khusus ini ke pengguna atau grup yang memerlukannya.

Mengizinkan pengguna melihat izin mereka sendiri

Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan IAM pengguna melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau secara terprogram menggunakan AWS CLI atau AWS API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Izinkan akses penuh ke sumber daya Amazon Fraud Detector

Contoh berikut memberikan pengguna di Akun AWS akses penuh ke semua sumber daya dan tindakan Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        }
    ]
}

Izinkan akses hanya-baca ke sumber daya Amazon Fraud Detector

Dalam contoh ini, Anda memberikan pengguna di Akun AWS akses hanya-baca ke sumber daya Amazon Fraud Detector Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:GetEventTypes",
                "frauddetector:BatchGetVariable",
                "frauddetector:DescribeDetector",
                "frauddetector:GetModelVersion",
                "frauddetector:GetEventPrediction",
                "frauddetector:GetExternalModels",
                "frauddetector:GetLabels",
                "frauddetector:GetVariables",
                "frauddetector:GetDetectors",
                "frauddetector:GetRules",
                "frauddetector:ListTagsForResource",
                "frauddetector:GetKMSEncryptionKey",
                "frauddetector:DescribeModelVersions",
                "frauddetector:GetDetectorVersion",
                "frauddetector:GetPrediction",
                "frauddetector:GetOutcomes",
                "frauddetector:GetEntityTypes",
                "frauddetector:GetModels"
            ],
            "Resource": "*"
        }
    ]
}

Izinkan akses ke sumber daya tertentu

Dalam contoh kebijakan tingkat sumber daya ini, Anda memberikan pengguna Akun AWS akses ke semua tindakan dan sumber daya kecuali untuk satu sumber daya Detektor tertentu.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "frauddetector:*Detector"
            ],
            "Resource": "arn:${Partition}:frauddetector:${Region}:${Account}:detector/${detector-name}"
        }
    ]
}

Izinkan akses ke sumber daya tertentu saat menggunakan mode ganda API

Amazon Fraud Detector menyediakan mode ganda APIs yang berfungsi sebagai operasi Daftar dan Jelaskan. Mode ganda API saat dipanggil tanpa parameter apa pun mengembalikan daftar sumber daya tertentu yang terkait dengan Akun AWS. Mode ganda API ketika dipanggil dengan parameter mengembalikan rincian sumber daya yang ditentukan. Sumber daya dapat berupa model, variabel, jenis peristiwa, atau tipe entitas.

Mode ganda APIs mendukung izin tingkat sumber daya dalam kebijakan. IAM Namun, izin tingkat sumber daya hanya diterapkan ketika satu atau beberapa parameter disediakan sebagai bagian dari permintaan. Misalnya, jika pengguna memanggil GetVariablesAPIdan memberikan nama variabel dan jika ada kebijakan IAM Deny yang dilampirkan ke sumber daya variabel atau nama variabel, pengguna akan menerima AccessDeniedException kesalahan. Jika pengguna memanggil GetVariables API dan tidak menentukan nama variabel, semua variabel dikembalikan, yang dapat menyebabkan kebocoran informasi.

Untuk memungkinkan pengguna melihat detail sumber daya tertentu saja, gunakan elemen IAM NotResource kebijakan dalam kebijakan IAM Tolak. Setelah Anda menambahkan elemen kebijakan ini ke kebijakan IAM Tolak, pengguna hanya dapat melihat detail sumber daya yang ditentukan dalam NotResource blok. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: NotResource di Panduan IAM Pengguna.

Kebijakan contoh berikut memungkinkan pengguna untuk mengakses semua sumber daya Amazon Fraud Detector. Namun, elemen NotResource kebijakan digunakan untuk membatasi GetVariablesAPIpanggilan ke hanya nama variabel dengan awalanuser*,job_*, dan. var*

{
 "Version": "2012-10-17",
 "Statement": [
  {
    "Effect": "Allow",
    "Action": "frauddetector:*",
    "Resource": "*"
  },
 {
    "Effect": "Deny",
    "Action": "frauddetector:GetVariables",
    "NotResource": [
       "arn:aws:frauddetector:*:*:variable/user*",
       "arn:aws:frauddetector:*:*:variable/job_*",
       "arn:aws:frauddetector:*:*:variable/var*"
    ]
  }
 ]
}

Respons

Untuk kebijakan contoh ini, respons menunjukkan perilaku berikut:

  • GetVariables Panggilan yang tidak menyertakan nama variabel menghasilkan AccessDeniedException kesalahan karena permintaan dipetakan ke pernyataan Deny.

  • GetVariables Panggilan yang menyertakan nama variabel yang tidak diizinkan, menghasilkan AccessDeniedException kesalahan karena nama variabel tidak dipetakan ke nama variabel di NotResource blok. Misalnya, GetVariables panggilan dengan nama variabel email_address menghasilkan AccessDeniedException kesalahan.

  • GetVariables Panggilan yang menyertakan nama variabel yang cocok dengan nama variabel di NotResource blok dikembalikan seperti yang diharapkan. Misalnya, GetVariables panggilan yang menyertakan nama variabel job_cpa mengembalikan rincian job_cpa variabel.

Membatasi akses berdasarkan tag

Kebijakan contoh ini menunjukkan cara membatasi akses ke Amazon Fraud Detector berdasarkan tag sumber daya. Contoh ini mengasumsikan bahwa:

  • Dalam Anda Akun AWS Anda telah mendefinisikan dua grup yang berbeda, bernama Team1 dan Team2

  • Anda telah membuat empat detektor

  • Anda ingin mengizinkan anggota Team1 melakukan API panggilan pada 2 detektor

  • Anda ingin mengizinkan anggota Team2 melakukan API panggilan pada 2 detektor lainnya

Untuk mengontrol akses ke API panggilan (contoh)

  1. Tambahkan tag dengan kunci Project dan nilai A ke detektor yang digunakan oleh Team1.

  2. Tambahkan tag dengan kunci Project dan nilai B ke detektor yang digunakan oleh Team2.

  3. Buat IAM kebijakan dengan ResourceTag kondisi yang menolak akses ke detektor yang memiliki tag dengan kunci Project dan nilaiB, dan lampirkan kebijakan tersebut ke Team1.

  4. Buat IAM kebijakan dengan ResourceTag kondisi yang menolak akses ke detektor yang memiliki tag dengan kunci Project dan nilaiA, dan lampirkan kebijakan tersebut ke Team2.

Berikut ini adalah contoh kebijakan yang menolak tindakan spesifik pada sumber daya Amazon Fraud Detector yang memiliki tag dengan kunci Project dan nilaiB:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "frauddetector:*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",

      "Action": [

        "frauddetector:CreateModel",
        "frauddetector:CancelBatchPredictionJob",
        "frauddetector:CreateBatchPredictionJob",
        "frauddetector:DeleteBatchPredictionJob",
        "frauddetector:DeleteDetector"
      ],

      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "B"
        }
      }
    }
  ]
}