翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon Detective の管理ポリシー
AWS 管理ポリシーは、によって作成および管理されるスタンドアロンのポリシーです。 AWS AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス権限を割り当てることができるように、多くの一般的な使用事例にアクセス許可を与えるように設計されています。
AWS 管理ポリシーでは、 AWS すべての顧客が使用できるようになっているため、特定のユースケースでは最小権限のアクセス権限が付与されない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されている権限は変更できません。 AWS 管理ポリシーで定義されている権限を更新すると AWS 、その更新はポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS AWS 管理ポリシーが更新される可能性が最も高いのは、新しい API 操作が既存のサービスで開始されたときや、新しい API AWS のサービス 操作が使用可能になったときです。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS 管理ポリシー:AmazonDetectiveFullAccess
AmazonDetectiveFullAccess ポリシーは IAM ID にアタッチできます。
このポリシーは、プリンシパルにすべての Amazon Detective アクションへのフルアクセスを許可する管理者許可を付与します。ユーザーは、アカウントで Detective を有効にする前に、このポリシーをプリンシパルにアタッチできます。Detective Python スクリプトを実行して動作グラフを作成および管理するために使用されるロールにアタッチする必要もあります。
これらの許可が付与されているプリンシパルは、メンバーアカウントを管理し、動作グラフにタグを追加し、調査に Detective を使用できます。また、 GuardDuty 調査結果をアーカイブすることもできます。このポリシーは、Detective コンソールが登録されているアカウントのアカウント名を表示するために必要な権限を提供します。 AWS Organizations
許可の詳細
このポリシーには、以下の許可が含まれています。
-
detective– プリンシパルに Detective のすべてのアクションへのフルアクセスを許可します。 -
organizations– プリンシパルが組織内のアカウントに関する AWS Organizations の情報から取得することを許可します。アカウントが組織に属している場合、これらのアクセス許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。 -
guardduty— 校長が Detective GuardDuty 内から調査結果を取得してアーカイブできるようにします。 -
securityhub— プリンシパルが Detective 内から Security Hub からの検出結果を取得することを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWS 管理ポリシー:AmazonDetectiveMemberAccess
IAM エンティティに、AmazonDetectiveMemberAccess ポリシーをアタッチできます。
このポリシーは、Amazon Detective へのメンバーアクセスと、コンソールへのスコープ付きアクセスを提供します。
このポリシーにより、以下のことが可能になります。
-
Detective グラフメンバーシップへの招待を表示し、招待を承諾または拒否できます。
-
Detective でのアクティビティがこのサービスの使用コストにどのように影響するかについて、[使用状況] ページで確認できます。
-
メンバーシップからの脱退をグラフで確認できます。
このポリシーは、Detective コンソールへのスコープ付きアクセスを可能にする読み取り専用アクセス許可を付与します。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
detective— メンバーが Detective にアクセスできるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }
AWS マネージドポリシー: AmazonDetectiveInvestigatorAccess
IAM エンティティに AmazonDetectiveInvestigatorAccess ポリシーをアタッチできます。
このポリシーは、調査員に Detective サービスへのアクセスと、Detective コンソール UI の依存関係へのスコープ付きアクセスを提供します。このポリシーによって、Detective で Detective 調査を有効にする権限が IAM ユーザーと IAM ロールに付与されます。セキュリティ指標に関する分析と洞察を提供する調査レポートを使用して、検出結果などの侵害の指標を特定できます。このレポートは、Detective の行動分析と機械学習を使用して確定された重要度別にランク付けされています。このレポートを使用すると、リソースの修復の優先順位を付けることができます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
detective— プリンシパルが Detective アクションにアクセスすることを許可し、Detective の調査を有効にするとともに、検出結果グループの概要を有効化できます。 -
guardduty— 校長が Detective GuardDuty 内から調査結果を取得してアーカイブできるようにします。 -
securityhub— プリンシパルが Detective 内から Security Hub からの検出結果を取得することを許可します。 -
organizations— プリンシパルが組織内のアカウントに関する情報をそこから取得できるようにします。 AWS Organizationsアカウントが組織に属している場合、これらの許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWS 管理ポリシー: AmazonDetectiveOrganizationsAccess
IAM エンティティに AmazonDetectiveOrganizationsAccess ポリシーをアタッチできます。
このポリシーは、組織内で Amazon Detective を有効化および管理するためのアクセス許可を付与します。Detective を組織全体で有効にし、Detective の委任された管理者アカウントを決定できます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
detective– プリンシパルに Detective のアクションへのアクセスを許可します。 -
iam— Detective がEnableOrganizationAdminAccountを呼び出したときに、サービスリンクロールが作成されるように指定します。 -
organizations— AWS Organizationsプリンシパルが組織内のアカウントに関する情報をから取得できるようにします。アカウントが組織に属している場合、これらの許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。 AWS サービスの統合を有効にし、指定されたメンバーアカウントを委任管理者として登録および登録解除できるようにします。また、プリンシパルが Amazon Detective、Amazon、Amazon、Amazon Macie などの他のセキュリティサービスの委任管理者アカウントを取得できるようにします。 GuardDuty AWS Security Hub
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }
AWS マネージドポリシー: AmazonDetectiveServiceLinkedRole
IAM エンティティに AmazonDetectiveServiceLinkedRole ポリシーをアタッチすることはできません。このポリシーは、ユーザーに代わって Detective がアクションを実行することを許可する、サービスリンクロールにアタッチされます。詳細については、「Detective のサービスリンクロールの使用」を参照してください。
このポリシーは、サービスリンクロールが組織のアカウント情報を取得できるようにする管理アクセス許可を付与します。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
organizations- 組織のアカウント情報を取得します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }
AWS 管理ポリシーのDetective アップデート
このサービスが変更の追跡を開始して以降の Detective AWS の管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、「 ドキュメン履歴ページ」ページで RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonDetectiveInvestigatorAccess - 既存のポリシーの更新 |
Detective の調査と検出結果グループの概要アクションを これらのアクションにより、Detective 調査の開始、取得、更新が可能になり、Detective 内から検出結果グループの概要を取得できます。 |
2023 年 11 月 26 日 |
|
AmazonDetectiveFullAccess と AmazonDetectiveInvestigatorAccess — 既存のポリシーに対する更新 |
Detective の これらのアクションにより、Detective 内から、Security Hub からの検出結果を取得できます。 |
2023 年 5 月 16 日 |
|
AmazonDetectiveOrganizationsAccess - 新しいポリシー |
Detective に このポリシーは、組織内で Detective を有効化および管理するためのアクセス許可を付与します。 |
2023 年 3 月 2 日 |
|
AmazonDetectiveMemberAccess - 新しいポリシー |
Detective に このポリシーは、メンバーが、Detective にアクセスできるようにするとともにコンソール UI の依存関係にスコープ付きでアクセスできるようにします。 |
2023 年 1 月 17 日 |
|
AmazonDetectiveFullAccess – 既存ポリシーの更新 |
Detective GuardDuty これらのアクションにより、Detective GuardDuty 内から結果を取得できます。 |
2023 年 1 月 17 日 |
|
AmazonDetectiveInvestigatorAccess - 新しいポリシー |
Detective に このポリシーにより、プリンシパルは Detective で調査を行うことができます。 |
2023 年 1 月 17 日 |
|
AmazonDetectiveServiceLinkedRole - 新しいポリシー |
Detective で、サービスリンクロールに新しいポリシーが追加されました。 このポリシーは、サービスリンクロールが組織内のアカウントに関する情報を取得することを許可します。 |
2021 年 12 月 16 日 |
|
Detective は変化を追跡し始めました |
Detective AWS は管理ポリシーの変更を追跡し始めました。 |
2021 年 5 月 10 日 |
