Exemplos de políticas baseadas em identidade do Amazon Fraud Detector - Amazon Fraud Detector
Melhores práticas de políticaPolítica gerenciadaPermitir que usuários visualizem suas próprias permissõesPermita acesso total aos recursos do Amazon Fraud DetectorPermita acesso somente para leitura aos recursos do Amazon Fraud DetectorPermitir acesso a um recurso específicoPermita o acesso a recursos específicos ao usar o modo duplo APILimitar o acesso com base em tags

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas baseadas em identidade do Amazon Fraud Detector

Por padrão, usuários e IAM funções não têm permissão para criar ou modificar recursos do Amazon Fraud Detector. Eles também não podem realizar tarefas usando o AWS Management Console, AWS CLI, ou AWS API. Um administrador deve criar IAM políticas que concedam aos usuários e funções permissão para realizar API operações específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos que exigem essas permissões.

Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos JSON de política, consulte Criação de políticas na JSON guia do IAMusuário.

Melhores práticas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Fraud Detector em sua conta. Essas ações podem incorrer em custos para o seu Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

  • Comece com AWS políticas gerenciadas e migrar para permissões com privilégios mínimos — Para começar a conceder permissões para seus usuários e cargas de trabalho, use o AWS políticas gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis em seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo AWS políticas gerenciadas pelo cliente que são específicas para seus casos de uso. Para ter mais informações, consulte AWS políticas gerenciadas ou AWS políticas gerenciadas para funções de trabalho no Guia IAM do usuário.

  • Aplique permissões com privilégios mínimos — Ao definir permissões com IAM políticas, conceda somente as permissões necessárias para realizar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre IAM como usar para aplicar permissões, consulte Políticas e permissões IAM no Guia IAM do usuário.

  • Use condições nas IAM políticas para restringir ainda mais o acesso — Você pode adicionar uma condição às suas políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de um determinado AWS service (Serviço da AWS), por exemplo, AWS CloudFormation. Para obter mais informações, consulte elementos IAM JSON da política: Condição no Guia IAM do usuário.

  • Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAMO Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação da política do IAM Access Analyzer no Guia do IAM Usuário.

  • Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root em seu Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte Configurando o API acesso MFA protegido no Guia do IAMusuário.

Para obter mais informações sobre as melhores práticas emIAM, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

AWS-política gerenciada (predefinida) para o Amazon Fraud Detector

AWS aborda muitos casos de uso comuns fornecendo IAM políticas autônomas que são criadas e administradas pelo AWS. Esses AWS as políticas gerenciadas concedem as permissões necessárias para casos de uso comuns, para que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas AWS gerenciadas no AWS Identity and Access Management Guia do usuário de gerenciamento.

Os seguintes exemplos de AWS a política gerenciada, que você pode anexar aos usuários em sua conta, é específica do Amazon Fraud Detector:

AmazonFraudDetectorFullAccess: Concede acesso total aos recursos, ações e operações apoiadas do Amazon Fraud Detector, incluindo:

  • Liste e descreva todos os endpoints do modelo na Amazon SageMaker

  • Listar todas as IAM funções na conta

  • Listar todos os buckets do Amazon S3

  • Permitir que IAM Pass Role passe uma função para o Amazon Fraud Detector

Essa política não fornece acesso irrestrito ao S3. Se você precisar carregar conjuntos de dados de treinamento de modelos para o S3, a política AmazonS3FullAccess gerenciada (ou a política de acesso personalizada do Amazon S3 com escopo reduzido) também é necessária.

Você pode revisar as permissões da política fazendo login no IAM console e pesquisando pelo nome da política. Você também pode criar suas próprias IAM políticas personalizadas para permitir permissões para ações e recursos do Amazon Fraud Detector, conforme necessário. É possível anexar essas políticas personalizadas aos usuários ou grupos que necessitam delas.

Permitir que usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permita IAM aos usuários visualizar as políticas embutidas e gerenciadas que estão anexadas à identidade do usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou AWS API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Permita acesso total aos recursos do Amazon Fraud Detector

O exemplo a seguir fornece um usuário em seu Conta da AWS acesso total a todos os recursos e ações do Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        }
    ]
}

Permita acesso somente para leitura aos recursos do Amazon Fraud Detector

Neste exemplo, você concede a um usuário em seu Conta da AWS acesso somente para leitura aos seus recursos do Amazon Fraud Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:GetEventTypes",
                "frauddetector:BatchGetVariable",
                "frauddetector:DescribeDetector",
                "frauddetector:GetModelVersion",
                "frauddetector:GetEventPrediction",
                "frauddetector:GetExternalModels",
                "frauddetector:GetLabels",
                "frauddetector:GetVariables",
                "frauddetector:GetDetectors",
                "frauddetector:GetRules",
                "frauddetector:ListTagsForResource",
                "frauddetector:GetKMSEncryptionKey",
                "frauddetector:DescribeModelVersions",
                "frauddetector:GetDetectorVersion",
                "frauddetector:GetPrediction",
                "frauddetector:GetOutcomes",
                "frauddetector:GetEntityTypes",
                "frauddetector:GetModels"
            ],
            "Resource": "*"
        }
    ]
}

Permitir acesso a um recurso específico

Neste exemplo de uma política em nível de recurso, você concede um usuário em seu Conta da AWS acesso a todas as ações e recursos, exceto a um recurso específico do Detector.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "frauddetector:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "frauddetector:*Detector"
            ],
            "Resource": "arn:${Partition}:frauddetector:${Region}:${Account}:detector/${detector-name}"
        }
    ]
}

Permita o acesso a recursos específicos ao usar o modo duplo API

O Amazon Fraud Detector fornece modo duplo de obtenção APIs que funciona como operação de lista e descrição. Um modo duplo, API quando chamado sem nenhum parâmetro, retorna uma lista do recurso especificado associado ao seu Conta da AWS. Um modo duplo, API quando chamado com o parâmetro, retorna os detalhes do recurso especificado. O recurso pode ser modelos, variáveis, tipos de eventos ou tipos de entidades.

O modo duplo APIs oferece suporte a permissões em nível de recurso nas políticas. IAM No entanto, as permissões em nível de recurso são aplicadas somente quando um ou mais parâmetros são fornecidos como parte da solicitação. Por exemplo, se o usuário chamar GetVariablesAPIe fornecer um nome de variável e se houver uma política de IAM negação anexada ao recurso variável ou ao nome da variável, o usuário receberá AccessDeniedException um erro. Se o usuário ligar GetVariables API e não especificar um nome de variável, todas as variáveis serão retornadas, o que pode causar vazamento de informações.

Para permitir que os usuários visualizem detalhes somente de recursos específicos, use um elemento IAM NotResource de política em uma política de IAM negação. Depois de adicionar esse elemento de política a uma política de IAM negação, os usuários só podem visualizar os detalhes dos recursos especificados no NotResource bloco. Para obter mais informações, consulte os elementos da IAM JSON política: NotResource no Guia IAM do usuário.

O exemplo de política a seguir permite que os usuários acessem todos os recursos do Amazon Fraud Detector. No entanto, o elemento de NotResource política é usado para limitar as GetVariablesAPIchamadas somente aos nomes das variáveis com os prefixos user*job_*, e. var*

{
 "Version": "2012-10-17",
 "Statement": [
  {
    "Effect": "Allow",
    "Action": "frauddetector:*",
    "Resource": "*"
  },
 {
    "Effect": "Deny",
    "Action": "frauddetector:GetVariables",
    "NotResource": [
       "arn:aws:frauddetector:*:*:variable/user*",
       "arn:aws:frauddetector:*:*:variable/job_*",
       "arn:aws:frauddetector:*:*:variable/var*"
    ]
  }
 ]
}

Resposta

Para este exemplo de política, a resposta apresenta o seguinte comportamento:

  • Uma GetVariables chamada que não inclui nomes de variáveis resulta em um AccessDeniedException erro porque a solicitação é mapeada para a instrução Deny.

  • Uma GetVariables chamada que inclui um nome de variável que não é permitido resulta em um AccessDeniedException erro porque o nome da variável não é mapeado para o nome da variável no NotResource bloco. Por exemplo, uma GetVariables chamada com um nome de variável email_address resulta em um AccessDeniedException erro.

  • Uma GetVariables chamada que inclui um nome de variável que corresponda a um nome de variável no NotResource bloco é retornada conforme o esperado. Por exemplo, uma GetVariables chamada que inclui o nome da variável job_cpa retorna os detalhes da job_cpa variável.

Limitar o acesso com base em tags

Este exemplo de política demonstra como limitar o acesso ao Amazon Fraud Detector com base em tags de recursos. Este exemplo pressupõe que:

  • Em seu Conta da AWS você definiu dois grupos diferentes, chamados Equipe1 e Equipe2

  • Você criou quatro detectores

  • Você deseja permitir que os membros da Equipe1 façam API chamadas em 2 detectores

  • Você deseja permitir que os membros do Team2 façam API chamadas nos outros 2 detectores

Para controlar o acesso às API chamadas (exemplo)

  1. Adicione uma tag com a chave Project e o valor A aos detectores usados pelo Team1.

  2. Adicione uma tag com a chave Project e o valor B aos detectores usados pelo Team2.

  3. Crie uma IAM política com uma ResourceTag condição que negue o acesso a detectores que tenham etiquetas com chave Project e valor B e anexe essa política à Equipe1.

  4. Crie uma IAM política com uma ResourceTag condição que negue o acesso a detectores que tenham etiquetas com chave Project e valor A e anexe essa política ao Team2.

Veja a seguir um exemplo de uma política que nega ações específicas em qualquer recurso do Amazon Fraud Detector que tenha uma tag com uma chave de Project e um valor deB:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "frauddetector:*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",

      "Action": [

        "frauddetector:CreateModel",
        "frauddetector:CancelBatchPredictionJob",
        "frauddetector:CreateBatchPredictionJob",
        "frauddetector:DeleteBatchPredictionJob",
        "frauddetector:DeleteDetector"
      ],

      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "B"
        }
      }
    }
  ]
}