Best practice per le policy Utilizzo della Console Consentire agli utenti di visualizzare le loro autorizzazioni Account amministratore: gestione degli account membri in un grafico di comportamento Account amministratore: utilizzo di un grafico di comportamento per le indagini Account membro: gestione degli inviti e delle iscrizioni al grafico di comportamento Account amministratore: limitazione dell'accesso in base ai valori di tag

Esempi di policy basate sull'identità per Amazon Detective

Per impostazione predefinita, IAM gli utenti e i ruoli non sono autorizzati a creare o modificare le risorse del Detective. Inoltre, non possono eseguire attività utilizzando AWS Management Console AWS CLI, o AWS API.

Un IAM amministratore deve creare IAM politiche che concedano a utenti e ruoli l'autorizzazione a eseguire API operazioni specifiche sulle risorse specifiche di cui ha bisogno. L'amministratore associa quindi tali politiche agli IAM utenti o ai gruppi che richiedono tali autorizzazioni.

Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempioJSON, consulta Creazione di politiche JSON nella scheda nella Guida per l'utente. IAM

Argomenti

Best practice per le policy
Utilizzo della console Detective
Consentire agli utenti di visualizzare le loro autorizzazioni
Account amministratore: gestione degli account membri in un grafico di comportamento
Account amministratore: utilizzo di un grafico di comportamento per le indagini
Account membro: gestione degli inviti e delle iscrizioni al grafico di comportamento
Account amministratore: limitazione dell'accesso in base ai valori di tag

Best practice per le policy

Le policy basate sulle identità determinano se qualcuno può creare, accedere o eliminare risorse Detective nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere le autorizzazioni agli utenti e ai carichi di lavoro, utilizza le policy gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.
Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM
Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.
Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAMAccess Analyzer fornisce più di 100 controlli delle politiche e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle politiche con IAM Access Analyzer nella Guida per l'utente. IAM
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Secure API access with MFA nella Guida IAM per l'utente.

Per ulteriori informazioni sulle best practice inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida IAM per l'utente.

Utilizzo della console Detective

Per utilizzare la console Amazon Detective, l'utente o il ruolo deve avere accesso alle azioni pertinenti, che corrispondono alle azioni corrispondenti inAPI.

Per abilitare Detective e diventare un account amministratore per un grafico di comportamento, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione CreateGraph.

Per utilizzare la console Detective per eseguire operazioni dell'account amministratore, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione ListGraphs. Ciò concede l'autorizzazione a recuperare i grafici di comportamento di cui il relativo account è amministratore. È inoltre necessario concedergli l'autorizzazione a eseguire operazioni specifiche dell'account amministratore.

Le operazioni più basilari dell'account amministratore consistono nel visualizzare un elenco degli account membri in un grafico di comportamento e nell'utilizzare il grafico di comportamento per le indagini.

Per visualizzare l'elenco degli account membri in un grafico di comportamento, è necessario concedere al principale l'autorizzazione per l'operazione ListMembers.
Per condurre un'indagine in un grafico di comportamento, è necessario concedere al principale l'autorizzazione per l'operazione SearchGraph.

Per utilizzare la console Detective per eseguire operazioni dell'account membro, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione ListInvitations. Ciò concede l'autorizzazione a visualizzare gli inviti del grafico di comportamento. È quindi possibile concedergli l'autorizzazione per operazioni specifiche dell'account membro.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra come è possibile creare una policy che consenta IAM agli utenti di visualizzare le policy in linea e gestite associate alla loro identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando o a livello di codice. AWS CLI AWS API


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Account amministratore: gestione degli account membri in un grafico di comportamento

Questa policy di esempio è diretta agli utenti con account amministratore che sono responsabili solo della gestione degli account membri utilizzati nel grafico di comportamento. La policy, inoltre, consente all'utente di visualizzare le informazioni di utilizzo e di disattivare Detective. La policy non concede l'autorizzazione per utilizzare il grafico di comportamento per le indagini.


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
    "Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"],
    "Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
  },
  {
    "Effect":"Allow",
    "Action":["detective:CreateGraph","detective:ListGraphs"],
    "Resource":"*"
  }
 ]
}

Account amministratore: utilizzo di un grafico di comportamento per le indagini

Questa policy di esempio è diretta agli utenti con account amministratore che utilizzano il grafico di comportamento solo per le indagini. Non possono visualizzare o modificare l'elenco degli account dei membri nel grafico di comportamento.


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
    "Action":["detective:SearchGraph"],
    "Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
   },
   {
    "Effect":"Allow",
    "Action":["detective:ListGraphs"],
    "Resource":"*"
  }
 ]
}

Account membro: gestione degli inviti e delle iscrizioni al grafico di comportamento

Questa policy di esempio è diretta agli utenti che appartengono a un account membro. Nell'esempio, l'account membro appartiene a due grafici di comportamento. La policy concede l'autorizzazione a rispondere agli inviti e rimuovere l'account membro dal grafico di comportamento.


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
   "Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"],
   "Resource":[
       "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
       "arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
    ]
  },
  {
    "Effect":"Allow",
    "Action":["detective:ListInvitations"],
    "Resource":"*"
  }
 ]
}

Account amministratore: limitazione dell'accesso in base ai valori di tag

La seguente policy consente all'utente di utilizzare un grafico di comportamento per verificare se il tag SecurityDomain del grafico di comportamento corrisponde al tag SecurityDomain dell'utente.


{
    "Version":"2012-10-17",
    "Statement":[ {
        "Effect":"Allow",
        "Action":["detective:SearchGraph"],
        "Resource":"arn:aws:detective:*:*:graph:*",
        "Condition": {
            "StringEquals"{
                "aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain"
            }
        }
    },
    {
        "Effect":"Allow",
        "Action":["detective:ListGraphs"],
        "Resource":"*"
    } ]
}

La seguente policy impedisce agli utenti di utilizzare un grafico di comportamento per verificare se il valore del tag SecurityDomain per il grafico di comportamento è Finance.


{
    "Version":"2012-10-17",
    "Statement":[ {
        "Effect":"Deny",
        "Action":["detective:SearchGraph"],
        "Resource":"arn:aws:detective:*:*:graph:*",
        "Condition": {
            "StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"}
        }
    } ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Come funziona Amazon Detective con IAM

AWS politiche gestite