策略最佳实践使用控制台允许用户查看他们自己的权限管理员账户：在行为图中管理成员账户管理员账户：使用行为图进行调查成员账号：管理行为图邀请和成员资格管理员账户：根据标签值限制访问

Amazon Detective 基于身份的策略示例

默认情况下，IAM用户和角色无权创建或修改 Detective 资源。他们也无法使用 AWS Management Console AWS CLI、或执行任务 AWS API。

IAM管理员必须创建IAM策略，授予用户和角色对其所需的指定资源执行特定API操作的权限。然后，管理员将这些策略附加到需要这些权限的IAM用户或群组。

要了解如何使用这些示例JSON策略文档创建IAM基于身份的策略，请参阅《IAM用户指南》JSON中的 “在选项卡上创建策略”。

策略最佳实践

基于身份的策略确定某个人是否可以创建、访问或删除账户中的 Detective 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时，请遵循以下指南和建议：

开始使用 AWS 托管策略并转向最低权限权限 — 要开始向用户和工作负载授予权限，请使用为许多常见用例授予权限的AWS 托管策略。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息，请参阅《IAM用户指南》中的AWS 托 AWS 管策略或工作职能托管策略。
应用最低权限权限-使用IAM策略设置权限时，仅授予执行任务所需的权限。为此，您可以定义在特定条件下可以对特定资源执行的操作，也称为最低权限许可。有关使用应用权限IAM的更多信息，请参阅《IAM用户指南》IAM中的策略和权限。
使用IAM策略中的条件进一步限制访问权限-您可以在策略中添加条件以限制对操作和资源的访问权限。例如，您可以编写一个策略条件来指定所有请求都必须使用发送SSL。如果服务操作是通过特定的方式使用的，则也可以使用条件来授予对服务操作的访问权限 AWS 服务，例如 AWS CloudFormation。有关更多信息，请参阅《IAM用户指南》中的IAMJSON策略元素：条件。
使用 A IAM ccess Analyzer 验证您的IAM策略以确保权限的安全性和功能性 — A IAM ccess Analyzer 会验证新的和现有的策略，以便策略符合IAM策略语言 (JSON) 和IAM最佳实践。IAMAccess Analyzer 提供了 100 多项策略检查和可行的建议，可帮助您制定安全和实用的策略。有关更多信息，请参阅IAM用户指南中的使用 A IAMccess Analyzer 验证策略。
需要多重身份验证 (MFA)-如果您的场景需要IAM用户或 root 用户 AWS 账户，请打开MFA以提高安全性。要要求MFA何时调用API操作，请在策略中添加MFA条件。有关更多信息，请参阅《IAM用户指南》MFA中的使用进行安全API访问。

有关中最佳做法的更多信息IAM，请参阅《IAM用户指南》IAM中的安全最佳实践。

使用 Detective 控制台

要使用 Amazon Detective 控制台，用户或角色必须有权访问与中的相应操作相匹配的相关操作API。

要启用 Detective 并成为行为图的管理员账户，必须向用户或角色授予 CreateGraph 操作权限。

要使用 Detective 控制台执行任何管理员账户操作，必须向用户或角色授予 ListGraphs 操作权限。这就授予了他们作为管理员账户检索行为图的权限。还必须向他们授予执行特定管理员账户操作的权限。

管理员账户最基本的操作是在行为图中查看成员账户列表，并使用行为图进行调查。

要查看行为图中的成员账户列表，必须向主体授予 ListMembers 操作的权限。
要在行为图中进行调查，必须向主体授予 SearchGraph 操作的权限。

要使用 Detective 控制台执行任何成员账户操作，必须向用户或角色授予 ListInvitations 操作的权限。这会授予查看行为图邀请的权限。然后就可以授予他们特定成员账户操作的权限。

允许用户查看他们自己的权限

此示例说明如何创建允许IAM用户查看附加到其用户身份的内联和托管策略的策略。此策略包括在控制台上或使用或以编程方式完成此操作的 AWS CLI 权限。 AWS API


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

管理员账户：在行为图中管理成员账户

此示例策略适用于仅负责管理行为图中使用的成员账户的管理员账户用户。该策略还允许用户查看使用信息并停用 Detective。该策略未授予使用行为图进行调查的权限。


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
    "Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"],
    "Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
  },
  {
    "Effect":"Allow",
    "Action":["detective:CreateGraph","detective:ListGraphs"],
    "Resource":"*"
  }
 ]
}

管理员账户：使用行为图进行调查

此示例策略适用于仅使用行为图进行调查的管理员账户用户。他们无法在行为图中查看或编辑成员账户列表。


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
    "Action":["detective:SearchGraph"],
    "Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
   },
   {
    "Effect":"Allow",
    "Action":["detective:ListGraphs"],
    "Resource":"*"
  }
 ]
}

成员账号：管理行为图邀请和成员资格

此示例策略适用于属于成员账户的用户。在示例中，成员账户属于两个行为图。该策略授予回复邀请和从行为图中删除成员账户的权限。


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
   "Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"],
   "Resource":[
       "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
       "arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
    ]
  },
  {
    "Effect":"Allow",
    "Action":["detective:ListInvitations"],
    "Resource":"*"
  }
 ]
}

管理员账户：根据标签值限制访问

如果行为图的 SecurityDomain 标签与用户的 SecurityDomain 标签匹配，则以下策略允许用户使用行为图进行调查。


{
    "Version":"2012-10-17",
    "Statement":[ {
        "Effect":"Allow",
        "Action":["detective:SearchGraph"],
        "Resource":"arn:aws:detective:*:*:graph:*",
        "Condition": {
            "StringEquals"{
                "aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain"
            }
        }
    },
    {
        "Effect":"Allow",
        "Action":["detective:ListGraphs"],
        "Resource":"*"
    } ]
}

如果行为图的 SecurityDomain 标签值为 Finance，则以下策略禁止用户使用行为图进行调查。


{
    "Version":"2012-10-17",
    "Statement":[ {
        "Effect":"Deny",
        "Action":["detective:SearchGraph"],
        "Resource":"arn:aws:detective:*:*:graph:*",
        "Condition": {
            "StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"}
        }
    } ]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon Detective 是如何使用的 IAM

AWS 托管策略