AWS Amazon Detective를 위한 관리형 정책 - Amazon Detective

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Amazon Detective를 위한 관리형 정책

AWS 관리형 정책은 에서 생성하고 관리하는 독립 실행형 정책입니다. AWS AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수도 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS AWS 관리형 정책에 정의된 권한을 업데이트하는 경우 AWS 해당 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 미칩니다. AWS 새 API 작업이 시작되거나 기존 서비스에 새 AWS 서비스 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다.

자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AmazonDetectiveFullAccess

AmazonDetectiveFullAccess 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 모든 Amazon Detective 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다. 이 정책은 보안 주체가 해당 계정에 대해 Detective를 활성화하기 전에 보안 주체에게 연결할 수 있습니다. 또한 동작 그래프를 생성하고 관리하기 위해 Detective Python 스크립트를 실행하는 데 사용되는 역할에 연결되어야 합니다.

이러한 권한이 있는 보안 주체는 멤버 계정을 관리하고, 동작 그래프에 태그를 추가하고, Detective를 사용하여 조사할 수 있습니다. 또한 GuardDuty 결과를 보관할 수도 있습니다. 이 정책은 Detective 콘솔에 있는 계정의 계정 이름을 표시하는 데 필요한 권한을 제공합니다. AWS Organizations

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • detective – 보안 주체가 Detective 작업에 대한 모든 액세스 권한을 가질 수 있습니다.

  • organizations – 보안 주체가 조직의 계정에 대한 AWS Organizations 정보를 검색할 수 있습니다. 계정이 조직에 속한 경우 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.

  • guardduty— 담당자가 Detective 내에서 GuardDuty 결과를 가져와 보관할 수 있습니다.

  • securityhub - 보안 주체가 Detective 내에서 Security Hub 조사 결과를 가져올 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }

AWS 관리형 정책: AmazonDetectiveMemberAccess

AmazonDetectiveMemberAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 Amazon Detective에 대한 멤버 액세스 권한과 콘솔에 대한 범위 지정 액세스를 제공합니다.

이 정책을 통해 다음을 수행할 수 있습니다.

  • Detective 그래프 멤버십 초대를 확인하고 해당 초대를 수락하거나 거부할 수 있습니다.

  • 사용 페이지에서 Detective에서의 활동이 이 서비스 사용 비용에 어떻게 기여하는지 확인합니다.

  • 그래프로 멤버십에서 탈퇴합니다.

이 정책은 Detective
콘솔에 대한 범위 지정 액세스를 허용하는 읽기 전용 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • detective - 멤버가 Detective에 액세스할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }

AWS 관리형 정책: AmazonDetectiveInvestigatorAccess

AmazonDetectiveInvestigatorAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 Detective 서비스에 대한 조사자 액세스 권한과 콘솔 UI 종속성에 대한 범위 지정 액세스 권한을 제공합니다. 이 정책은 IAM 사용자 및 IAM 역할에 대해 Detective에서 Detective 조사를 활성화할 수 있는 권한을 부여합니다. 보안 지표에 대한 분석 및 통찰력을 제공하는 조사 보고서를 사용하여 조사 결과와 같은 손상 지표를 식별할 수 있습니다. 보고서는 Detective의 동작 분석 및 기계 학습을 사용하여 결정되는 심각도에 따라 순위가 매겨집니다. 보고서를 사용하여 리소스 문제 해결의 우선 순위를 정할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • detective - 보안 주체 조사자가 Detective 작업에 액세스하여 Detective 조사를 활성화하고 조사 결과 그룹 요약을 활성화할 수 있도록 합니다.

  • guardduty— 담당자가 Detective 내에서 GuardDuty 결과를 가져와 보관할 수 있습니다.

  • securityhub - 보안 주체가 Detective 내에서 Security Hub 조사 결과를 가져올 수 있습니다.

  • organizations— 보안 담당자가 조직 내 계정에 대한 정보를 검색할 수 있도록 합니다. AWS Organizations계정이 조직에 속하면 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }

AWS 관리형 정책: AmazonDetectiveOrganizationsAccess

AmazonDetectiveOrganizationsAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 조직 내에서 Amazon Detective를 활성화하고 관리할 권한을 부여합니다. 조직 전체에서 Detective를 활성화하고 Detective의 위임된 관리자 계정을 결정할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • detective – 보안 주체가 Detective 작업에 대한 액세스 권한을 가질 수 있습니다.

  • iam - Detective가 EnableOrganizationAdminAccount를 호출할 때 서비스 연결 역할이 생성되도록 지정합니다.

  • organizations— 주도자가 조직의 계정에 대한 정보를 검색할 수 있도록 합니다. AWS Organizations계정이 조직에 속하면 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다. AWS 서비스 통합을 활성화하고, 지정된 구성원 계정을 위임된 관리자로 등록 및 등록 취소할 수 있으며, 보안 주체는 Amazon Detective, Amazon, Amazon Macie 등과 같은 다른 보안 서비스에서 위임된 관리자 계정을 검색할 수 있습니다. GuardDuty AWS Security Hub

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }

AWS 관리형 정책: AmazonDetectiveServiceLinkedRole

AmazonDetectiveServiceLinkedRole 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Detective에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 정보는 Detective에 서비스 연결 역할 사용을 참조하세요.

이 정책은 서비스 연결 역할이 조직의 계정 정보를 검색할 수 있도록 하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • organizations - 조직의 계정 정보를 검색합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }

관리형 정책에 대한 Detective 업데이트 AWS

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Detective의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인하십시오. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AmazonDetectiveInvestigatorAccess - 기존 정책에 대한 업데이트

Detective 조사 및 조사 결과 그룹 요약 작업을 AmazonDetectiveInvestigatorAccess 정책에 추가했습니다.

이러한 작업을 통해 Detective 조사를 시작, 검색 및 업데이트하고 Detective 내에서 조사 결과 그룹 요약을 얻을 수 있습니다.

2023년 11월 26일

AmazonDetectiveFullAccessAmazonDetectiveInvestigatorAccess - 기존 정책 업데이트

Detective는 AmazonDetectiveFullAccessAmazonDetectiveInvestigatorAccess 정책에 Security Hub GetFindings 작업을 추가했습니다.

이러한 작업을 통해 Detective 내에서 Security Hub 조사 결과를 가져올 수 있습니다.

2023년 5월 16일

AmazonDetectiveOrganizationsAccess - 새 정책

Detective는 AmazonDetectiveOrganizationsAccess 정책을 추가했습니다.

이 정책은 조직 내에서 Detective를 활성화하고 관리할 권한을 부여합니다.

2023년 3월 2일

AmazonDetectiveMemberAccess - 새 정책

Detective는 AmazonDetectiveMemberAccess 정책을 추가했습니다.

이 정책은 멤버에게 Detective에 대한 액세스 권한과 콘솔 UI 종속성에 대한 범위 지정 액세스 권한을 제공합니다.

2023년 1월 17일

AmazonDetectiveFullAccess - 기존 정책에 대한 업데이트

Detective가 정책에 GuardDuty GetFindings 조치를 추가했습니다. AmazonDetectiveFullAccess

이러한 작업을 통해 Detective 내에서 GuardDuty 결과를 가져올 수 있습니다.

2023년 1월 17일

AmazonDetectiveInvestigatorAccess - 새 정책

Detective는 AmazonDetectiveInvestigatorAccess 정책을 추가했습니다.

이 정책을 통해 보안 주체가 Detective에서 조사를 수행할 수 있습니다.

2023년 1월 17일

AmazonDetectiveServiceLinkedRole - 새 정책

Detective는 해당 서비스 연결 역할에 대한 새 정책을 추가했습니다.

이 정책은 서비스 연결 역할이 조직의 계정에 대한 정보를 검색할 수 있도록 허용합니다.

2021년 12월 16일

Detective가 변경 사항 추적하기 시작

Detective는 AWS 관리형 정책의 변경 사항을 추적하기 시작했습니다.

2021년 5월 10일