Detective-Richtlinien auf Identitätsbasis Ressourcenbasierte Detective-Richtlinien (nicht unterstützt)Autorisierung auf der Grundlage von Detective Behavior Diagramm-Tags Detective IAM-Rollen

So funktioniert Amazon Detective mit IAM

Benutzer und Rollen besitzen standardmäßig keine Berechtigungen zum Erstellen oder Ändern von Amazon-Detective-Ressourcen. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein Detective-Administrator muss über AWS Identity and Access Management (IAM-) Richtlinien verfügen, die IAM-Benutzern und -Rollen die Erlaubnis gewähren, bestimmte API-Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien anschließend dem Prinzipal anfügen, der diese Berechtigungen benötigt.

Detective verwendet identitätsbasierte IAM-Richtlinien, um Berechtigungen für die folgenden Benutzer- und Aktionstypen zu gewähren:

Administratorkonten – Das Administratorkonto ist der Besitzer eines Verhaltensdiagramms, das Daten aus seinem Konto verwendet. Administratorkonten können Mitgliedskonten einladen, ihre Daten zum Verhaltensdiagramm beizutragen. Das Administratorkonto kann das Verhaltensdiagramm auch zur Triage und Untersuchung der Ergebnisse und Ressourcen im Zusammenhang mit diesen Konten verwenden.

Sie können Richtlinien einrichten, die es anderen Benutzern als dem Administratorkonto ermöglichen, verschiedene Arten von Aufgaben auszuführen. Beispielsweise verfügt ein Benutzer mit einem Administratorkonto möglicherweise nur über Berechtigungen zur Verwaltung von Mitgliedskonten. Ein anderer Benutzer ist möglicherweise nur berechtigt, das Verhaltensdiagramm für Untersuchungen zu verwenden.
Mitgliedskonten – Ein Mitgliedskonto ist ein Konto, das aufgefordert wird, Daten zu einem Verhaltensdiagramm beizutragen. Ein Mitgliedskonto reagiert auf eine Einladung. Nachdem ein Mitgliedskonto eine Einladung angenommen hat, kann es sein Konto aus dem Verhaltensdiagramm entfernen.

Einen allgemeinen Überblick darüber, wie Detective und andere mit IAM AWS-Services arbeiten, finden Sie im IAM-Benutzerhandbuch unter Richtlinien auf der Registerkarte JSON erstellen.

Detective-Richtlinien auf Identitätsbasis

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Detective unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel.

Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.

Aktionen

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.

Das Element Action einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Richtlinienanweisungen müssen entweder ein Action- oder ein NotAction-Element enthalten. Das Element Action listet die Aktionen auf, die im Rahmen der Richtlinie zulässig sind. Das Element NotAction listet die Aktionen auf, die nicht zulässig sind.

Die für Detective definierten Aktionen spiegeln Aufgaben wider, die Sie mit Detective ausführen können. Richtlinienaktionen in Detective haben das folgende Präfix: detective:.

Um beispielsweise die Berechtigung zu erteilen, die CreateMembers API-Operation zum Laden von Mitgliedskonten zu einem Verhaltensdiagramm zu verwenden, fügen Sie die Aktion detective:CreateMembers in deren Richtlinie ein.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Für ein Mitgliedskonto umfasst die Richtlinie beispielsweise eine Reihe von Aktionen im Zusammenhang mit der Verwaltung einer Einladung:


"Action": [
      "detective:ListInvitations",
      "detective:AcceptInvitation",
      "detective:RejectInvitation",
      "detective:DisassociateMembership
]

Sie können Platzhalter (*) verwenden, um mehrere Aktionen anzugeben. Um beispielsweise die in ihrem Verhaltensdiagramm verwendeten Daten zu verwalten, müssen Administratorkonten in Detective in der Lage sein, die folgenden Aufgaben auszuführen:

Sehen Sie sich ihre Liste der Mitgliedskonten an (ListMembers).
Informieren Sie sich über ausgewählte Mitgliedskonten (GetMembers).
Laden Sie Mitgliedskonten zu ihrem Verhaltensdiagramm ein (CreateMembers).
Entfernen Sie Mitglieder aus ihrem Verhaltensdiagramm (DeleteMembers).

Anstatt diese Aktionen separat aufzulisten, können Sie Zugriff auf alle Aktionen gewähren, die mit dem Wort Members enden. Die Richtlinie dafür könnte die folgende Aktion beinhalten:


"Action": "detective:*Members"

Eine Liste der Detective-Aktionen finden Sie unter Von Amazon Detective definierte Aktionen in der Service-Autorisierungs-Referenz.

Ressourcen

Das JSON-Richtlinienelement Resource gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen Amazon-Ressourcennamen (ARN) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.


"Resource": "*"

Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.

Für Detective ist der einzige Ressourcentyp das Verhaltensdiagramm. Die Ressource Verhaltensdiagramm in Detective hat den folgenden ARN:


arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}

Ein Verhaltensdiagramm hat beispielsweise folgende Werte:

Die Region für das Verhaltensdiagramm ist us-east-1.
Die Konto-ID für die Administratorkonto-ID lautet 111122223333.
Die Diagramm-ID des Verhaltensdiagramms lautet 027c7c4610ea4aacaf0b883093cab899.

Um dieses Verhaltensdiagramm in einer Resource-Anweisung zu identifizieren, würden Sie den folgenden ARN verwenden:


"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"

Wenn Sie mehrere Ressourcen in einer Resource-Anweisung angeben möchten, trennen Sie sie durch Kommata.


"Resource": [
      "resource1",
      "resource2"
]

Beispielsweise kann dasselbe AWS Konto in mehr als einem Verhaltensdiagramm als Mitgliedskonto eingeladen werden. In der Richtlinie für dieses Mitgliedskonto würden in der Resource-Erklärung die Verhaltensdiagramme aufgeführt, zu denen das Mitglied eingeladen wurde.


"Resource": [
      "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
      "arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]

Einige Detective-Aktionen, wie das Erstellen eines Verhaltensdiagramms, das Auflisten von Verhaltensdiagrammen und das Auflisten von Einladungen zum Verhaltensdiagramm, werden nicht für ein bestimmtes Verhaltensdiagramm ausgeführt. Für diese Aktionen muss die Resource-Anweisung den Platzhalter (*) verwenden.


"Resource": "*"

Bei Aktionen mit Administratorkonten überprüft Detective immer, ob der Benutzer, der die Anfrage stellt, dem Administratorkonto für das betroffene Verhaltensdiagramm angehört. Bei Aktionen mit Mitgliedskonten überprüft Detective immer, ob der Benutzer, der die Anfrage stellt, dem Mitgliedskonto angehört. Selbst wenn eine IAM-Richtlinie Zugriff auf ein Verhaltensdiagramm gewährt, kann der Benutzer die Aktion nicht ausführen, wenn der Benutzer nicht dem richtigen Konto angehört.

Für alle Aktionen, die auf einem bestimmten Verhaltensdiagramm ausgeführt werden, sollte die IAM-Richtlinie den Diagramm-ARN enthalten. Der Diagramm-ARN kann später hinzugefügt werden. Wenn beispielsweise ein Konto Detective zum ersten Mal aktiviert, gewährt die anfängliche IAM-Richtlinie Zugriff auf alle Detective-Aktionen, wobei der Platzhalter für den Diagramm-ARN verwendet wird. Auf diese Weise kann der Benutzer sofort damit beginnen, Mitgliedskonten für sein Verhaltensdiagramm zu verwalten und Untersuchungen durchzuführen. Nachdem das Verhaltensdiagramm erstellt wurde, können Sie die Richtlinie aktualisieren, um den Diagramm-ARN hinzuzufügen.

Bedingungsschlüssel

Das Element Condition gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAM-Benutzerhandbuch.

Detective definiert keinen eigenen Satz von Bedingungsschlüsseln. Sie unterstützt die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter AWS Globale Bedingungskontextschlüssel im IAM-Benutzerhandbuch.

Informationen dazu, für welche Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Von Amazon Detective definierte Aktionen.

Beispiele

Beispiele für identitätsbasierte Detective-Richtlinien finden Sie unter Beispiele für identitätsbasierte Amazon-Detective-Richtlinien.

Ressourcenbasierte Detective-Richtlinien (nicht unterstützt)

Detective unterstützt keine ressourcenbasierten Richtlinien.

Autorisierung auf der Grundlage von Detective Behavior Diagramm-Tags

Jedem Verhaltensdiagramm können Tag-Werte zugewiesen werden. Sie können diese Tagwerte in Bedingungsanweisungen verwenden, um den Zugriff auf das Verhaltensdiagramm zu verwalten.

Die Bedingungsanweisung für einen Tag-Wert verwendet das folgende Format.


{"StringEquals"{"aws:ResourceTag/<tagName>": "<tagValue>"}}

Verwenden Sie beispielsweise den folgenden Code, um eine Aktion zuzulassen oder abzulehnen, wenn der Wert des Department-Tags Finance lautet.


{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}

Beispiele für Richtlinien, die Ressourcen-Tag-Werte verwenden, finden Sie unter Administratorkonto: Zugriff auf der Grundlage von Tag-Werten einschränken.

Detective IAM-Rollen

Eine IAM-Rolle ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.

Verwenden temporärer Anmeldeinformationen mit Detective

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie AssumeRoleoder GetFederationTokenaufrufen.

Detective unterstützt die Verwendung temporärer Anmeldeinformationen.

Service-verknüpfte Rollen

Mit dienstbezogenen Rollen können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

Details zum Erstellen oder Verwalten von serviceverknüpften Detective-Rollen finden Sie unter Verwenden von serviceverknüpften Rollen für Detective.

Servicerollen (nicht unterstützt)

Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

Detective unterstützt keine Servicerollen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

Beispiele für identitätsbasierte Richtlinien