Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para Amazon Detective
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
AWS política gestionada: AmazonDetectiveFullAccess
Puede adjuntar la política AmazonDetectiveFullAccess a sus identidades de IAM.
Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Amazon Detective. También puede adjuntar esta política a una entidad principal antes de que esta habilite Detective en su cuenta. También debe adjuntarse al rol que se utiliza para ejecutar los scripts de Detective Python para crear y administrar un gráfico de comportamiento.
Las entidades principales con estos permisos pueden administrar cuentas de miembro, agregar etiquetas a su gráfico de comportamiento y usar Detective con fines de investigación. También pueden archivar GuardDuty los hallazgos. La política proporciona los permisos que la consola de Detective necesita para mostrar los nombres de las cuentas en las que se encuentran AWS Organizations.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
detective: permite a las entidades principales obtener acceso completo a todas las acciones de Detective. -
organizations: permite a las entidades principales recuperar de AWS Organizations información sobre las cuentas de una organización. Si una cuenta pertenece a una organización, estos permisos permiten que la consola de Detective muestre los nombres de las cuentas además de los números de cuenta. -
guardduty— Permite a los directores obtener y archivar GuardDuty los hallazgos desde Detective. -
securityhub: permite a las entidades principales obtener resultados de Security Hub desde Detective.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWS política gestionada: AmazonDetectiveMemberAccess
También puede adjuntar la política AmazonDetectiveMemberAccess a sus entidades de IAM.
Esta política proporciona acceso de miembro a Amazon Detective y acceso limitado a la consola.
Con esta política, puede:
-
Ver las invitaciones de pertenencia a gráficos de Detective y aceptar o rechazar dichas invitaciones.
-
Ver cómo su actividad en Detective contribuye al costo de uso del servicio en la página Uso.
-
Renunciar a su pertenencia a un gráfico.
Esta política otorga permisos de solo lectura que brindan acceso limitado a la consola de Detective.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
detective: permite a los miembros acceder a Detective.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }
Política administrada de AWS : AmazonDetectiveInvestigatorAccess
Puede adjuntar la política AmazonDetectiveInvestigatorAccess a sus entidades de IAM.
Esta política proporciona acceso de investigador al servicio de Detective y acceso limitado a las dependencias de la interfaz de usuario de la consola de Detective. Esta política concede permisos para habilitar las investigaciones de Detective en Detective para usuarios y roles de IAM. Puede investigar para identificar los indicadores de riesgo, por ejemplo, resultados, utilizando un informe de investigación que proporciona análisis e información sobre indicadores de seguridad. El informe se clasifica por gravedad, que se determina mediante el análisis de comportamiento y machine learning de Detective. Puede utilizar el informe para priorizar la corrección de los recursos.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
detective: proporciona a las entidades principales acceso de investigador a las acciones de Detective para habilitar investigaciones de Detective y resumen de grupo de resultados. -
guardduty— Permite a los directores obtener y archivar GuardDuty los hallazgos desde Detective. -
securityhub: permite a las entidades principales obtener resultados de Security Hub desde Detective. -
organizations— Permite a los directores recuperar información sobre las cuentas de una organización desde. AWS Organizations Si una cuenta pertenece a una organización, estos permisos permiten que la consola de Detective muestre los nombres de las cuentas además de los números de cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWS política gestionada: AmazonDetectiveOrganizationsAccess
Puede adjuntar la política AmazonDetectiveOrganizationsAccess a sus entidades de IAM.
Esta política concede permiso para habilitar y administrar Amazon Detective dentro de una organización. Puede habilitar Detective en toda la organización y determinar la cuenta de administrador delegada para Detective.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
detective: permite a las entidades principales acceder a las acciones de Detective. -
iam: especifica que se cree un rol vinculado a un servicio cuando el Detective llama aEnableOrganizationAdminAccount. -
organizations— Permite a los directores recuperar información sobre las cuentas de una organización desde AWS Organizations. Si una cuenta pertenece a una organización, estos permisos permiten que la consola de Detective muestre los nombres de las cuentas además de los números de cuenta. Permite la integración de un AWS servicio, permite registrar y anular el registro de la cuenta de miembro especificada como administrador delegado y permite a los directores recuperar cuentas de administrador delegado en otros servicios de seguridad como Amazon Detective, Amazon, Amazon GuardDuty Macie y. AWS Security Hub
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }
Política administrada de AWS : AmazonDetectiveServiceLinkedRole
No puede adjuntar la política AmazonDetectiveServiceLinkedRole a sus entidades de IAM. Esta política está adjunta a un rol vinculado a un servicio que permite a Detective realizar acciones en su nombre. Para obtener más información, consulte Usar roles vinculados a servicios para Detective.
Esta política concede permisos administrativos que autorizan al rol vinculado al servicio acceder a información sobre las cuentas de una organización.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
organizations: recupera la información sobre las cuentas de una organización.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }
Actualizaciones de Detectives de las políticas AWS gestionadas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas para Detective desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre los cambios realizados en esta página, suscríbase a la fuente RSS en la Página del historial de revisión de .
| Cambio | Descripción | Fecha |
|---|---|---|
|
AmazonDetectiveInvestigatorAccess: actualizaciones de políticas existentes |
Se agregaron a la política de Estas acciones permiten iniciar, recuperar y actualizar las investigaciones de Detective y obtener un resumen de grupo de resultados desde Detective. |
26 de noviembre de 2023 |
|
AmazonDetectiveFullAccess y AmazonDetectiveInvestigatorAccess: actualizaciones de las políticas existentes |
Detective agregó las acciones Estas acciones permiten obtener los resultados de Security Hub desde Detective. |
16 de mayo de 2023 |
|
AmazonDetectiveOrganizationsAccess: política nueva |
Detective agregó la política Esta política otorga permiso para habilitar y administrar Detective dentro de una organización. |
2 de marzo de 2023 |
|
AmazonDetectiveMemberAccess: política nueva |
Detective agregó la política Esta política proporciona acceso de miembro a Detective y acceso limitado a las dependencias de la interfaz de usuario de la consola. |
17 de enero de 2023 |
|
AmazonDetectiveFullAccess: actualizaciones de una política existente |
El Detective agregó GuardDuty Estas acciones permiten obtener GuardDuty hallazgos desde el interior de Detective. |
17 de enero de 2023 |
|
AmazonDetectiveInvestigatorAccess: política nueva |
Detective agregó la política Esta política permite a la entidad principal realizar investigaciones en Detective. |
17 de enero de 2023 |
|
AmazonDetectiveServiceLinkedRole: política nueva |
Detective agregó una nueva política para su rol vinculado al servicio. La política permite al rol vinculado al servicio recuperar información sobre las cuentas de una organización. |
16 de diciembre de 2021 |
|
Detective comenzó a hacer el seguimiento de los cambios |
Detective comenzó a rastrear los cambios en sus políticas AWS gestionadas. |
10 de mayo de 2021 |
