Esempi di policy basate sull'identità di Amazon Fraud Detector - Amazon Fraud Detector
Best practice delle policyPolicy gestitaConsentire agli utenti di visualizzare le loro autorizzazioniConsenti l'accesso completo alle risorse di Amazon Fraud DetectorConsenti l'accesso in sola lettura alle risorse di Amazon Fraud DetectorConsenti l'accesso a una risorsa specificaConsenti l'accesso a risorse specifiche quando utilizzi l'API in modalità doppiaLimitazione dell'accesso in base ai tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità di Amazon Fraud Detector

Per impostazione predefinita, gli utenti e i ruoli IAM non sono autorizzati a creare o modificare risorse Amazon Fraud Detector. Inoltre, non possono eseguire attività utilizzando l' AWS API AWS Management Console AWS CLI, o. Un amministratore deve creare le policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy nella scheda JSON nella Guida per l'utente IAM.

Best practice delle policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Fraud Detector nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.

  • Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.

  • Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse è possibile aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.

  • Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l'utente IAM.

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Protezione dell'accesso API con MFA nella Guida per l'utente IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.

Policy gestita da AWS (predefinita) per Amazon Fraud Detector

AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Queste policy AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni in modo da evitare di dover esaminare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta AWS Managed Policies nella AWS Identity and Access Management Management User Guide.

La seguente politica AWS gestita, che puoi allegare agli utenti del tuo account, è specifica di Amazon Fraud Detector:

AmazonFraudDetectorFullAccess: Garantisce l'accesso completo alle risorse, alle azioni e alle operazioni supportate di Amazon Fraud Detector, tra cui:

  • Elenca e descrivi tutti gli endpoint del modello in Amazon SageMaker AI

  • Elenca tutti i ruoli IAM nell'account

  • Elenca tutti i bucket Amazon S3

  • Consenti a IAM Pass Role di trasferire un ruolo ad Amazon Fraud Detector

Questa policy non fornisce un accesso S3 illimitato. Se devi caricare set di dati di addestramento dei modelli su S3, è richiesta anche la policy AmazonS3FullAccess gestita (o la policy di accesso personalizzata di Amazon S3 delimitata).

Puoi rivedere le autorizzazioni della policy accedendo alla console IAM e cercando in base al nome della policy. Puoi anche creare policy IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse di Amazon Fraud Detector quando ne hai bisogno. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che ne hanno bisogno.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Consenti l'accesso completo alle risorse di Amazon Fraud Detector

L'esempio seguente fornisce a un utente l'accesso Account AWS completo a tutte le risorse e le azioni di Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        }
    ]
}

Consenti l'accesso in sola lettura alle risorse di Amazon Fraud Detector

In questo esempio, concedi a un utente in Account AWS sola lettura l'accesso alle tue risorse Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:GetEventTypes",
                "frauddetector:BatchGetVariable",
                "frauddetector:DescribeDetector",
                "frauddetector:GetModelVersion",
                "frauddetector:GetEventPrediction",
                "frauddetector:GetExternalModels",
                "frauddetector:GetLabels",
                "frauddetector:GetVariables",
                "frauddetector:GetDetectors",
                "frauddetector:GetRules",
                "frauddetector:ListTagsForResource",
                "frauddetector:GetKMSEncryptionKey",
                "frauddetector:DescribeModelVersions",
                "frauddetector:GetDetectorVersion",
                "frauddetector:GetPrediction",
                "frauddetector:GetOutcomes",
                "frauddetector:GetEntityTypes",
                "frauddetector:GetModels"
            ],
            "Resource": "*"
        }
    ]
}

Consenti l'accesso a una risorsa specifica

In questo esempio di politica a livello di risorsa, concedi a un utente l' Account AWS accesso a tutte le azioni e le risorse ad eccezione di una particolare risorsa Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "frauddetector:*Detector"
            ],
            "Resource": "arn:${Partition}:frauddetector:${Region}:${Account}:detector/${detector-name}"
        }
    ]
}

Consenti l'accesso a risorse specifiche quando utilizzi l'API in modalità doppia

Amazon Fraud Detector offre una doppia modalità di funzionamento sia come elenco APIs che come descrizione. Un'API in doppia modalità, se chiamata senza parametri, restituisce un elenco della risorsa specificata associata al tuo Account AWS. Un'API in modalità doppia quando viene chiamata con un parametro restituisce i dettagli della risorsa specificata. La risorsa può essere costituita da modelli, variabili, tipi di eventi o tipi di entità.

La modalità doppia APIs supporta le autorizzazioni a livello di risorsa nelle policy IAM. Tuttavia, le autorizzazioni a livello di risorsa vengono applicate solo quando uno o più parametri vengono forniti come parte della richiesta. Ad esempio, se l'utente chiama l'GetVariablesAPI e fornisce un nome variabile e se è presente una policy IAM Deny associata alla risorsa variabile o al nome della variabile, l'utente AccessDeniedException riceverà un errore. Se l'utente chiama l'GetVariablesAPI e non specifica un nome di variabile, vengono restituite tutte le variabili, il che può causare perdite di informazioni.

Per consentire agli utenti di visualizzare solo i dettagli di risorse specifiche, utilizza un elemento di NotResource policy IAM in una policy IAM Deny. Dopo aver aggiunto questo elemento di policy a una policy IAM Deny, gli utenti possono solo visualizzare i dettagli delle risorse specificate nel NotResource blocco. Per ulteriori informazioni, consulta IAM JSON Policy elements: NotResource nella IAM User Guide.

La seguente policy di esempio consente agli utenti di accedere a tutte le risorse di Amazon Fraud Detector. Tuttavia, l'elemento NotResource policy viene utilizzato per limitare le chiamate GetVariablesAPI solo ai nomi delle variabili con i prefissi euser*. job_* var*

{
 "Version": "2012-10-17",
 "Statement": [
  {
    "Effect": "Allow",
    "Action": "frauddetector:*",
    "Resource": "*"
  },
 {
    "Effect": "Deny",
    "Action": "frauddetector:GetVariables",
    "NotResource": [
       "arn:aws:frauddetector:*:*:variable/user*",
       "arn:aws:frauddetector:*:*:variable/job_*",
       "arn:aws:frauddetector:*:*:variable/var*"
    ]
  }
 ]
}

Risposta

Per questo criterio di esempio, la risposta presenta il seguente comportamento:

  • Una GetVariables chiamata che non include nomi di variabili genera un AccessDeniedException errore perché la richiesta è mappata all'istruzione Deny.

  • Una GetVariables chiamata che include un nome di variabile non consentito genera un AccessDeniedException errore perché il nome della variabile non è mappato al nome della variabile nel NotResource blocco. Ad esempio, una GetVariables chiamata con un nome di variabile email_address genera un AccessDeniedException errore.

  • Una GetVariables chiamata che include un nome di variabile che corrisponde a un nome di variabile nel NotResource blocco viene restituita come previsto. Ad esempio, una GetVariables chiamata che include il nome della variabile job_cpa restituisce i dettagli della job_cpa variabile.

Limitazione dell'accesso in base ai tag

Questo esempio di policy dimostra come limitare l'accesso ad Amazon Fraud Detector in base ai tag delle risorse. Questo esempio presuppone che:

  • Nel tuo Account AWS hai definito due gruppi diversi, denominati Team1 e Team2

  • Hai creato quattro rilevatori

  • Vuoi consentire ai membri di Team1 di effettuare chiamate API su 2 rilevatori

  • Vuoi consentire ai membri di Team2 di effettuare chiamate API sugli altri 2 rilevatori

Per controllare l'accesso alle chiamate API (esempio)

  1. Aggiungi un tag con la chiave Project e il valore A ai rilevatori utilizzati da Team1.

  2. Aggiungi un tag con la chiave Project e il valore B ai rilevatori utilizzati da Team2.

  3. Crea una policy IAM con una ResourceTag condizione che neghi l'accesso ai rilevatori che hanno tag con chiave Project e valore B e allega tale policy a Team1.

  4. Crea una policy IAM con una ResourceTag condizione che neghi l'accesso ai rilevatori che hanno tag con chiave Project e valore e allega tale policy a A Team2.

Di seguito è riportato un esempio di policy che nega azioni specifiche su qualsiasi risorsa Amazon Fraud Detector con un tag con una chiave e un Project valore di: B

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "frauddetector:*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",

      "Action": [

        "frauddetector:CreateModel",
        "frauddetector:CancelBatchPredictionJob",
        "frauddetector:CreateBatchPredictionJob",
        "frauddetector:DeleteBatchPredictionJob",
        "frauddetector:DeleteDetector"
      ],

      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "B"
        }
      }
    }
  ]
}