翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Detective のアイデンティティベースポリシーの例
デフォルトでは、IAM ユーザーとロールには Detective リソースを作成または変更するアクセス許可はありません。また、 AWS Management Console、 AWS CLI、または AWS API を使用してタスクを実行することはできません。
IAM 管理者は、必要な指定されたリソースに対して特定の IAM オペレーションを実行するアクセス許可をユーザーとロールに付与する API ポリシーを作成する必要があります。次に、管理者は、これらのアクセス許可を必要とする IAM ユーザーまたはグループにこれらのポリシーをアタッチします。
これらのサンプル IAM ポリシードキュメントを使用して Word アイデンティティベースのポリシーを作成する方法については、Word IAMユーザーガイドのJSONJSON タブでのポリシーの作成」を参照してください。
トピック
ポリシーのベストプラクティス
ID ベースのポリシーは、ユーザーのアカウントで誰かが Detective リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
-
AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与する AWS 管理ポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、「Word ユーザーガイド」の「 AWS 管理ポリシー」または「 ジョブ機能の 管理ポリシー」を参照してください。 AWS IAM
-
最小特権のアクセス許可を適用する – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、IAM ユーザーガイド」の「Word のポリシーとアクセス許可」を参照してください。 IAM
-
IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用される場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、JSONIAM ユーザーガイド」の「Word ポリシー要素: 条件」を参照してください。 IAM
-
IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) と IAM のベストプラクティスに準拠するようにします。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、Word IAMユーザーガイドのIAM Access Analyzer によるポリシーの検証」を参照してください。
-
多要素認証 (MFA) を要求する – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。MFA オペレーションが呼び出されたときに API を要求するには、ポリシーに MFA 条件を追加します。詳細については、「 API ユーザーガイド」のMFA Word access with Word」を参照してください。 IAM
IAM のベストプラクティスの詳細については、IAM ユーザーガイド」の「Word のセキュリティのベストプラクティス」を参照してください。 IAM
Detective コンソールの使用
Amazon Detective コンソールを使用するには、ユーザーまたはロールが、API 内の対応するアクションに一致する関連アクションにアクセスできる必要があります。
Detective を有効にして動作グラフの管理者アカウントになるには、ユーザーまたはロールに CreateGraph アクションについての許可を付与する必要があります。
Detective コンソールを使用して管理者アカウントのアクションを実行するには、ユーザーまたはロールに ListGraphs アクションについての許可を付与する必要があります。これにより、アカウントが管理者アカウントである動作グラフを取得するための許可が付与されます。また、特定の管理者アカウントのアクションを実行するための許可を付与する必要があります。
管理者アカウントの最も基本的なアクションは、動作グラフでメンバーアカウントのリストを表示したり、調査のために動作グラフを使用したりすることです。
-
動作グラフでメンバーアカウントのリストを表示するには、プリンシパルに
ListMembersアクションについての許可が付与されている必要があります。 -
動作グラフで調査を実施するには、プリンシパルに
SearchGraphアクションについての許可が付与されている必要があります。
Detective コンソールを使用してメンバーアカウントのアクションを実行するには、ユーザーまたはロールに ListInvitations アクションについての許可を付与する必要があります。これにより、動作グラフの招待を表示するための許可が付与されます。その後、特定のメンバーアカウントのアクションについての許可を付与できます。
ユーザー自身のアクセス許可を表示することをユーザーに許可する
この例では、IAM ユーザーがユーザー ID にアタッチされているインラインポリシーと管理ポリシーを表示できるようにするポリシーを作成する方法を示します。このポリシーには、コンソールで、またはプログラムで AWS CLI or AWS API を使用してこのアクションを実行するアクセス許可が含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
管理者アカウント: 動作グラフでのメンバーアカウントの管理
このサンプルポリシーは、動作グラフで使用されるメンバーアカウントの管理のみを担当する管理者アカウントのユーザー向けのものです。また、このポリシーは、ユーザーが使用量に関する情報を表示したり、Detective を無効化したりすることを許可します。このポリシーは、動作グラフを調査に使用するための許可を付与しません。
{"Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"], "Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899" }, { "Effect":"Allow", "Action":["detective:CreateGraph","detective:ListGraphs"], "Resource":"*" } ] }
管理者アカウント: 調査のための動作グラフの使用
このサンプルポリシーは、調査のみに動作グラフを使用する管理者アカウントのユーザー向けのものです。動作グラフでメンバーアカウントのリストを表示したり、編集したりすることはできません。
{"Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":["detective:SearchGraph"], "Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899" }, { "Effect":"Allow", "Action":["detective:ListGraphs"], "Resource":"*" } ] }
メンバーアカウント: 動作グラフの招待とメンバーシップの管理
このサンプルポリシーは、メンバーアカウントに属するユーザー向けのものです。この例では、メンバーアカウントは 2 つの動作グラフに属しています。ポリシーは、招待に応答したり、動作グラフからメンバーアカウントを削除したりするための許可を付与します。
{"Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"], "Resource":[ "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899", "arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416" ] }, { "Effect":"Allow", "Action":["detective:ListInvitations"], "Resource":"*" } ] }
管理者アカウント: タグ値に基づくアクセスの制限
次のポリシーは、動作グラフの SecurityDomain タグがユーザーの SecurityDomain タグと一致する場合に、ユーザーが調査のために動作グラフを使用することを許可します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":["detective:SearchGraph"], "Resource":"arn:aws:detective:*:*:graph:*", "Condition": { "StringEquals"{ "aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain" } } }, { "Effect":"Allow", "Action":["detective:ListGraphs"], "Resource":"*" } ] }
次のポリシーは、動作グラフの SecurityDomain タグの値が Finance である場合に、ユーザーが調査のために動作グラフを使用できないようにします。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":["detective:SearchGraph"], "Resource":"arn:aws:detective:*:*:graph:*", "Condition": { "StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"} } } ] }
