本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Amazon Detective 的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
AWS 托管策略:AmazonDetectiveFullAccess
您可以将 AmazonDetectiveFullAccess 策略附加到 IAM 身份。
此策略授予管理权限,允许主体完全访问所有 Amazon Detective 操作。可以在主体为其账户启用 Detective 之前,将该策略附加到主体。它还必须附加到用于运行 Detective Python 脚本以创建和管理行为图的角色。
拥有这些权限的主体可以管理成员账户,为其行为图添加标签,并使用 Detective 进行调查。他们还可以对 GuardDuty 发现结果进行存档。该策略提供了 Detective 控制台显示其中账户的账户名所需的权限 AWS Organizations。
权限详细信息
该策略包含以下权限:
-
detective— 允许主体完全访问所有 Detective 操作。 -
organizations— 允许主体从 AWS Organizations 获取有关组织内账户的信息。如果账户属于某个组织,则这些权限允许 Detective 控制台显示账户名称和账号。 -
guardduty— 允许校长从 Detective 内部获取和存档 GuardDuty调查结果。 -
securityhub— 允许主体从 Detective 内部获取 Security Hub 的调查发现。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWS 托管策略:AmazonDetectiveMemberAccess
可以将 AmazonDetectiveMemberAccess 策略附加到您的 IAM 实体。
该策略为成员提供对 Amazon Detective 的访问权限并限定对控制台的访问权限。
可以通过此策略:
-
查看 Detective 图成员资格邀请并接受或拒绝这些邀请。
-
在使用情况页面上查看在 Detective 中的活动如何影响使用该服务的费用。
-
在图中退出成员资格。
该策略授予只读权限,允许在一定范围内访问 Detective 控制台。
权限详细信息
该策略包含以下权限:
-
detective— 允许成员访问 Detective。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }
AWS 托管式策略:AmazonDetectiveInvestigatorAccess
可以将 AmazonDetectiveInvestigatorAccess 策略附加到您的 IAM 实体。
该策略为调查人员提供对 Detective 服务的访问权限并限定对 Detective 控制台 UI 依赖项的访问权限。此策略授予在 Detective 中为 IAM 用户和 IAM 角色启用 Detective 调查的权限。您可以通过调查确定漏洞指标,例如使用调查报告的调查发现,该报告提供有关安全指标的分析和见解。该报告按严重程度进行排序,严重程度是使用 Detective 的行为分析和机器学习确定的。您可以使用该报告来确定资源修复的优先级。
权限详细信息
该策略包含以下权限:
-
detective:允许主体调查人员访问 Detective 操作,启用 Detective 调查并启用调查发现组摘要。 -
guardduty— 允许校长从 Detective 内部获取和存档 GuardDuty调查结果。 -
securityhub— 允许主体从 Detective 内部获取 Security Hub 的调查发现。 -
organizations— 允许委托人从 AWS Organizations中检索有关组织中帐户的信息。如果账户属于某个组织,则这些权限允许 Detective 控制台显示账户名称和账号。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWS 托管策略: AmazonDetectiveOrganizationsAccess
可以将 AmazonDetectiveOrganizationsAccess 策略附加到您的 IAM 实体。
该策略授予在组织内启用和管理 Amazon Detective 的权限。可以在整个组织内启用 Detective 并确定 Detective 的授权管理员账户。
权限详细信息
该策略包含以下权限:
-
detective— 允许主体访问 Detective 操作。 -
iam— 指定在 Detective 调用EnableOrganizationAdminAccount时创建服务相关角色。 -
organizations— 允许委托人从 AWS Organizations中检索有关组织中帐户的信息。如果账户属于某个组织,则这些权限允许 Detective 控制台显示账户名称和账号。支持 AWS 服务集成,允许将指定成员账户注册为委托管理员和注销其他 “安全服务”,并允许委托人检索其他安全服务(例如 Amazon Detective、Amazon GuardDuty、Amazon Macie 和)中的委托管理员账户。 AWS Security Hub
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }
AWS 托管策略:AmazonDetectiveServiceLinkedRole
无法将 AmazonDetectiveServiceLinkedRole 策略附加到 IAM 实体。此附加到服务相关角色的策略允许 Detective 代表您执行操作。有关更多信息,请参阅 使用 Detective 的服务相关角色。
该策略授予管理权限,允许服务相关角色检索组织的账户信息。
权限详细信息
该策略包含以下权限:
-
organizations— 检索组织的账户信息。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }
Detective 对 AWS 托管策略的更新
查看自该服务开始跟踪这些更改以来 Detective AWS 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 文档历史记录页面上的 RSS 信息源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AmazonDetectiveInvestigatorAccess:对现有策略的更新 |
在 这些操作允许启动、检索和更新 Detective 调查;以及从 Detective 内部获取调查发现组的摘要。 |
2023 年 11 月 26 日 |
|
AmazonDetectiveFullAccess 和 AmazonDetectiveInvestigatorAccess – 现有策略更新 |
Detective 在 这些操作允许从 Detective 中获取 Security Hub 的调查发现。 |
2023 年 5 月 16 日 |
| Detective 增加了 该策略授予在组织内启用和管理 Detective 的权限 |
2023 年 3 月 2 日 | |
|
Detective 添加了 该策略为成员提供对 Detective 的访问权限并限定对控制台 UI 依赖项的访问权限。 |
2023 年 1 月 17 日 |
|
|
AmazonDetectiveFullAccess – 对现有策略的更新 |
Detective 在 这些操作允许从 Detective 内部获取 GuardDuty 调查结果。 |
2023 年 1 月 17 日 |
Detective 添加了 该策略允许主体在 Detective 中进行调查。 |
2023 年 1 月 17 日 | |
|
Detective 为其服务相关角色添加了一项新策略。 该策略允许服务相关角色检索有关组织中账户的信息。 |
2021 年 12 月 16 日 | |
|
Detective 开始跟踪更改情况 |
Detective 开始跟踪其 AWS 托管策略的变化。 |
2021 年 5 月 10 日 |
