AWS politiche gestite per Amazon Detective - Amazon Detective

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Amazon Detective

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.

AWS politica gestita: AmazonDetectiveFullAccess

È possibile allegare la policy AmazonDetectiveFullAccessalle identità IAM.

Questa policy concede autorizzazioni amministrative che consentono a un principale l'accesso completo a tutte le operazioni di Amazon Detective. Puoi collegare questa policy a un principale prima che abiliti Detective per il suo account. Deve inoltre essere collegato al ruolo utilizzato per eseguire gli script Python di Detective per creare e gestire un grafico del comportamento.

I principali con queste autorizzazioni possono gestire gli account membri, aggiungere tag al loro grafico del comportamento e utilizzare Detective per le indagini. Possono anche archiviare GuardDuty i risultati. Il criterio fornisce le autorizzazioni necessarie alla console Detective per visualizzare i nomi degli account che si trovano in AWS Organizations.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • detective: consente ai principali l'accesso completo alle operazioni di Detective.

  • organizations: consente ai principali di recuperare informazioni sugli account di un'organizzazione da AWS Organizations . Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account.

  • guardduty— Consente ai presidi di ottenere e archiviare i GuardDuty risultati dall'interno di Detective.

  • securityhub: consente ai principali di ottenere i risultati di Centrale di sicurezza dall'interno di Detective.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }

AWS politica gestita: AmazonDetectiveMemberAccess

Puoi collegare la policy AmazonDetectiveMemberAccess anche alle tue entità IAM.

Questa policy fornisce ai membri l'accesso ad Amazon Detective e l'accesso in ambito alla console.

Con questa policy, puoi:

  • Visualizzare gli inviti all'iscrizione al grafico di Detective e accetta o rifiuta tali inviti.

  • Scoprire come la tua attività in Detective contribuisce ai costi di utilizzo di questo servizio nella pagina Utilizzo.

  • Annullare la tua appartenenza a un grafico.

Questa policy concede le autorizzazioni di sola lettura che consentono l'accesso in ambito alla console di Detective.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • detective: consente ai membri di accedere a Detective.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }

AWS Policy gestita: AmazonDetectiveInvestigatorAccess

Puoi collegare la policy AmazonDetectiveInvestigatorAccess anche alle tue entità IAM.

Questa policy fornisce ai responsabili delle indagini l'accesso al servizio Detective e l'accesso in ambito alle dipendenze dell'interfaccia utente della console Detective. Questa policy concede le autorizzazioni per abilitare le indagini di Detective per gli utenti IAM e i ruoli IAM. Puoi indagare per identificare gli indicatori di compromissione, come i risultati, utilizzando un report di indagine, che fornisce analisi e approfondimenti sugli indicatori di sicurezza. Il report è classificato in base alla gravità, determinata utilizzando l'analisi comportamentale e il machine learning di Detective. Puoi utilizzare il report per dare priorità alla riparazione delle risorse.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • detective: consente ai responsabili delle indagini di accedere alle operazioni di Detective, di abilitare le indagini di Detective e di abilitare il riepilogo dei gruppi di risultati.

  • guardduty— Consente ai presidi di ottenere e archiviare i GuardDuty risultati dall'interno di Detective.

  • securityhub: consente ai principali di ottenere i risultati di Centrale di sicurezza dall'interno di Detective.

  • organizations— Consente ai dirigenti di recuperare informazioni sugli account di un'organizzazione da. AWS Organizations Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }

AWS politica gestita: AmazonDetectiveOrganizationsAccess

Puoi collegare la policy AmazonDetectiveOrganizationsAccess anche alle tue entità IAM.

Questa policy concede l'autorizzazione per abilitare e gestire Amazon Detective all'interno di un'organizzazione. È possibile abilitare Detective in tutta l'organizzazione e determinare l'account amministratore delegato per Detective.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • detective: consente ai principali di accedere alle operazioni di Detective.

  • iam: specifica che un ruolo collegato ai servizi viene creato quando Detective chiama EnableOrganizationAdminAccount.

  • organizations— Consente ai responsabili di recuperare informazioni sugli account di un'organizzazione da. AWS Organizations Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account. Consente l'integrazione di un AWS servizio, consente la registrazione e l'annullamento della registrazione dell'account membro specificato come amministratore delegato e consente ai responsabili di recuperare gli account amministratore delegato in altri servizi di sicurezza come Amazon Detective, Amazon, Amazon GuardDuty Macie e. AWS Security Hub

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }

AWS Policy gestita: AmazonDetectiveServiceLinkedRole

Non è possibile allegare la policy AmazonDetectiveServiceLinkedRole alle entità IAM. Questa policy è collegata a un ruolo collegato ai servizi che consente a Detective di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli collegati ai servizi per Detective.

Questa policy concede le autorizzazioni amministrative che consentono al ruolo collegato ai servizi di recuperare le informazioni sull'account per un'organizzazione.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • organizations: recupera le informazioni sull'account di un'organizzazione.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }

Detective: aggiornamenti alle policy AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Detective da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS nella pagina della cronologia dei documenti .

Modifica Descrizione Data

AmazonDetectiveInvestigatorAccess: aggiornamento a policy esistenti

Sono state aggiunte operazioni di riepilogo dei gruppi di risultati e indagini di Detective alla policy AmazonDetectiveInvestigatorAccess.

Queste operazioni consentono di avviare, recuperare e aggiornare le indagini di Detective e ottenere un riepilogo dei gruppi di risultati all'interno di Detective.

26 novembre 2023

AmazonDetectiveFullAccess e AmazonDetectiveInvestigatorAccess: aggiornamenti alle policy esistenti

Detective ha aggiunto operazioni GetFindings di Centrale di sicurezza alle policy AmazonDetectiveFullAccess e AmazonDetectiveInvestigatorAccess.

Queste operazioni consentono di ottenere i risultati di Centrale di sicurezza dall'interno di Detective.

16 maggio 2023

AmazonDetectiveOrganizationsAccess: nuova policy

Detective ha aggiunto la policy AmazonDetectiveOrganizationsAccess.

Questa policy concede l'autorizzazione per abilitare e gestire Detective all'interno di un'organizzazione

2 marzo 2023

AmazonDetectiveMemberAccess: nuova policy

Detective ha aggiunto la policy AmazonDetectiveMemberAccess.

Questa policy fornisce ai membri l'accesso a Detective e l'accesso in ambito alle dipendenze dell'interfaccia utente della console.

17 gennaio 2023

AmazonDetectiveFullAccess: aggiornamenti a una policy esistente

Detective ha aggiunto GuardDuty GetFindings delle azioni alla AmazonDetectiveFullAccess polizza.

Queste azioni consentono di ottenere GuardDuty risultati dall'interno del Detective.

17 gennaio 2023

AmazonDetectiveInvestigatorAccess: nuova policy

Detective ha aggiunto la policy AmazonDetectiveInvestigatorAccess.

Questa policy consente al principale di condurre indagini in Detective.

17 gennaio 2023

AmazonDetectiveServiceLinkedRole: nuova policy

Detective ha aggiunto una nuova policy per il suo ruolo collegato ai servizi.

La policy consente al ruolo collegato ai servizi di recuperare informazioni sugli account in un'organizzazione.

16 dicembre 2021

Detective ha iniziato a tenere traccia delle modifiche

Detective ha iniziato a tenere traccia delle modifiche alle sue politiche AWS gestite.

10 maggio 2021