AWS Amazon Detective 的管理政策 - Amazon Detective
AmazonDetectiveFullAccessAmazonDetectiveMemberAccessAmazonDetectiveInvestigatorAccessAmazonDetectiveOrganizationsAccessAmazonDetectiveServiceLinkedRole政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon Detective 的管理政策

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 受管理的策略:AmazonDetectiveFullAccess

您可將 AmazonDetectiveFullAccess 政策連接到 IAM 身分。

此政策會授予管理許可,允許主體完整存取所有 Amazon Detective 動作。您可以將此政策附加到主體,然後再針對帳戶啟用 Detective。它還必須附加到用於執行 Detective Python 指令碼以建立和管理行為圖表的角色。

具有此類許可的主體可以管理成員帳戶、將標籤新增至其行為圖表,以及使用 Detective 進行調查。他們也可以封存 GuardDuty 發現項目。此原則會提供 Detective 主控台需要的權限,才能顯示所在帳號的帳號名稱 AWS Organizations。

許可詳細資訊

此政策包含以下許可:

  • detective:允許主體完整存取所有 Detective 動作。

  • organizations:允許主體從組織中擷取針對帳戶的 AWS Organizations 資訊。如果帳戶屬於某個組織,除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。

  • guardduty— 允許校長從「Detective」中取得及封存 GuardDuty發現項目。

  • securityhub:允許主體從 Detective 中取得 Security Hub 調查結果。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "detective:*",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:ArchiveFindings"
            ],
            "Resource": "arn:aws:guardduty:*:*:detector/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:GetFindings",
                "guardduty:ListDetectors"
                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "securityHub:GetFindings"
            ],
            "Resource": "*"
         } 
    ]
}

AWS 受管理的策略:AmazonDetectiveMemberAccess

您可將 AmazonDetectiveMemberAccess 政策附加至 IAM 實體。

此政策會向成員提供 Amazon Detective 的存取,以及主控台的特定範圍存取。

使用此政策,您可以:

  • 檢視向 Detective 圖表成員發出的邀請,並接受或拒絕邀請。

  • 用量頁面查看您在 Detective 中的活動如何影響使用此服務的成本。

  • 放棄圖表中的成員資格。

此政策授予唯讀許可,允許在一定範圍内存取 Detective 主控台。

許可詳細資訊

此政策包含以下許可:

  • detective:允許成員存取 Detective。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:BatchGetMembershipDatasources",
        "detective:DisassociateMembership",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations",
        "detective:RejectInvitation"
      ],
      "Resource": "*"
    }
  ]
}

AWS 受管政策:AmazonDetectiveInvestigatorAccess

您可將 AmazonDetectiveInvestigatorAccess 政策附加至 IAM 實體。

此政策向調查人員提供對 Detective 服務的存取,以及 Detective 主控台 UI 相依性的特定範圍存取。此政策授予在 Detective 中對 IAM 使用者和 IAM 角色啟用 Detective 調查的許可。您可以使用調查報告來調查以識別調查結果等入侵指標,該報告提供有關安全指標的分析和見解。該報告按嚴重性進行排名,由 Detective 的行為分析和機器學習決定。您可以使用報告來排定資源修補的優先順序。

許可詳細資訊

此政策包含以下許可:

  • detective:允許主體調查者存取 Detective 動作,以啟用 Detective 調查,以及啟用調查結果群組摘要。

  • guardduty— 允許校長從「Detective」中取得及封存 GuardDuty發現項目。

  • securityhub:允許主體從 Detective 中取得 Security Hub 調查結果。

  • organizations— 允許主參與者從 AWS Organizations中擷取組織中帳號的相關資訊。如果帳戶屬於某個組織,則除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DetectivePermissions",
      "Effect": "Allow",
      "Action": [ 
        "detective:BatchGetGraphMemberDatasources",
        "detective:BatchGetMembershipDatasources",
        "detective:DescribeOrganizationConfiguration",
        "detective:GetFreeTrialEligibility",
        "detective:GetGraphIngestState",
        "detective:GetMembers",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListDatasourcePackages",
        "detective:ListGraphs",
        "detective:ListHighDegreeEntities",
        "detective:ListInvitations",
        "detective:ListMembers",
        "detective:ListOrganizationAdminAccount",
        "detective:ListTagsForResource",
        "detective:SearchGraph",
        "detective:StartInvestigation",
        "detective:GetInvestigation",
        "detective:ListInvestigations",
        "detective:UpdateInvestigationState",
        "detective:ListIndicators",
        "detective:InvokeAssistant"
      ],
      "Resource": "*"
    },
    {
      "Sid": "OrganizationsPermissions",
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GuardDutyPermissions",
      "Effect": "Allow",
      "Action": [
        "guardduty:ArchiveFindings",
        "guardduty:GetFindings",
        "guardduty:ListDetectors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecurityHubPermissions",
      "Effect": "Allow",
      "Action": [
        "securityHub:GetFindings"
      ],
      "Resource": "*"
    }
  ]
}

AWS 受管理的策略: AmazonDetectiveOrganizationsAccess

您可將 AmazonDetectiveOrganizationsAccess 政策附加至 IAM 實體。

此政策授予在組織內啟用和管理 Amazon Detective 的許可。您可以在整個組織中啟用 Detective,並決定 Detective 的委派管理員帳戶。

許可詳細資訊

此政策包含以下許可:

  • detective:允許主體存取 Detective 動作。

  • iam:指定在 Detective 呼叫 EnableOrganizationAdminAccount 時建立服務連結角色。

  • organizations— 允許主參與者從 AWS Organizations中擷取組織中帳號的相關資訊。如果帳戶屬於某個組織,則除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。啟用 AWS 服務整合、允許以委派管理員身分註冊和取消註冊指定的成員帳戶,以及允許主體在其他安全服務 (例如 Amazon Detective ent GuardDuty、Amazon Macie 和) 中擷取委派管理員帳戶。 AWS Security Hub

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:DisableOrganizationAdminAccount",
        "detective:EnableOrganizationAdminAccount",
        "detective:ListOrganizationAdminAccount"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "detective.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:ListDelegatedAdministrators"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com",
            "guardduty.amazonaws.com",
            "macie.amazonaws.com",
            "securityhub.amazonaws.com"
          ]
        }
      }
    }
  ]
}

AWS 受管政策:AmazonDetectiveServiceLinkedRole

您無法將 AmazonDetectiveServiceLinkedRole 政策附加至 IAM 實體。此政策會附加到服務連結角色,透過該角色,Detective 可代表您執行動作。如需詳細資訊,請參閱 使用 Detective 的服務連結角色

此政策會授予管理許可,允許服務連結角色擷取組織的帳戶資訊。

許可詳細資訊

此政策包含以下許可:

  • organizations:擷取組織的帳戶資訊。

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "organizations:DescribeAccount",
              "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管理政策的 Detective 更新

檢視由於此服務開始追蹤這些變更以來,Detective 的 AWS 受管理原則更新詳細資料。如需自動收到有關此頁面變更的提醒,請前往 文件歷史記錄頁面上訂閱 RSS 摘要。

變更 描述 日期

AmazonDetectiveInvestigatorAccess:現有政策的更新

AmazonDetectiveInvestigatorAccess 政策中新增了 Detective 調查和調查結果群組摘要動作。

此類動作允許啟動,擷取和更新 Detective 調查結果並從 Detective 內部獲得調查結果群組的摘要。

 2023 年 11 月 26 日

AmazonDetectiveFullAccessAmazonDetectiveInvestigatorAccess – 對現有政策的更新

Detective 將 Security Hub GetFindings 動作新增到 AmazonDetectiveFullAccessAmazonDetectiveInvestigatorAccess 政策中。

透過此類動作,可從 Detective 內部取得 Security Hub 調查結果。

 2023 年 5 月 16 日

AmazonDetectiveOrganizationsAccess – 新政策

Detective 新增了 AmazonDetectiveOrganizationsAccess 政策。

此政策授予在組織內啟用和管理 Detective 的許可

 2023 年 3 月 2 日

AmazonDetectiveMemberAccess – 新政策

Detective 新增了 AmazonDetectiveMemberAccess 政策。

此政策會向成員提供 Detective 的存取,以及主控台 UI 依存關系的特定範圍存取。

2023 年 1 月 17 日

AmazonDetectiveFullAccess:現有政策的更新

Detective 在AmazonDetectiveFullAccess政策中加入了 GuardDuty GetFindings動作。

這些動作允許從 Detective 內部獲取 GuardDuty 調查結果。

 2023 年 1 月 17 日

AmazonDetectiveInvestigatorAccess – 新政策

Detective 新增了 AmazonDetectiveInvestigatorAccess 政策。

透過此類政策,主體可在 Detective 中進行調查。

 2023 年 1 月 17 日

AmazonDetectiveServiceLinkedRole – 新政策

Detective 為其服務連結角色新增了新政策。

透過政策,服務連結角色可以擷取組織中帳戶的相關資訊。

 2021 年 12 月 16 日

Detective 開始追蹤變更

Detective 開始追蹤其 AWS 管理政策的變更。

 2021 年 5 月 10 日