Amazon Detective et AWS Organizations - AWS Organizations
Rôles liés à un servicePrincipaux de serviceActiver l'accès approuvéDésactiver l'accès approuvéActivation d'un compte administrateur délégué pour DetectiveDésactivation d'un administrateur délégué pour Detective

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Detective et AWS Organizations

Amazon Detective utilise vos données de journal pour générer des visualisations qui vous autorisent à analyser, examiner et identifier la cause racine des résultats de sécurité ou des activités suspectes.

L'utilisation vous AWS Organizations permet de vous assurer que votre graphe de comportement de Detective fournit une visibilité sur l'activité de tous les comptes de votre organisation.

Lorsque vous accordez un accès approuvé à Detective, le service Detective peut réagir automatiquement aux modifications de l'appartenance à l'organisation. L'administrateur délégué peut activer n'importe quel compte d'organisation comme compte membre dans le graphique de comportement. Detective peut également activer automatiquement de nouveaux comptes d'organisation comme comptes membres. Les comptes d'organisation ne peuvent pas se dissocier du graphique de comportement.

Pour plus d’informations, consultez Utilisation d'Amazon Detective dans votre organisation dans le Guide d’administration Amazon Detective.

Utilisez les informations suivantes pour vous aider à intégrer Amazon Detective à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Detective d'effectuer les opérations prises en charge dans les comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Detective et Organizations, ou si vous supprimez le compte membre de l'organisation.

  • AWSServiceRoleForDetective

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Detective accordent l'accès aux principaux de service suivants :

  • detective.amazonaws.com

Pour activer l'accès approuvé avec Detective

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Note

Lorsque vous désignez un administrateur délégué pour Amazon Detective, il active automatiquement l'accès approuvé pour Detective pour votre organisation.

Detective a besoin d' AWS Organizations un accès sécurisé pour que vous puissiez désigner un compte membre en tant qu'administrateur délégué de ce service pour votre organisation.

Vous pouvez activer l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Organizations console.

AWS Management Console
Pour activer l'accès approuvé aux services à l'aide de la console Organizations

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans le panneau de navigation, choisissez Services.

  3. Choisissez Amazon Detective dans la liste des services.

  4. Choisissez Enable trusted access (Activer l'accès approuvé).

  5. Dans la boîte de dialogue Activer l'accès sécurisé pour Amazon Detective, tapez enable pour le confirmer, puis choisissez Enable trusted access.

  6. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Detective qu'il peut désormais activer ce service à l'aide de sa console AWS Organizations.

Pour désactiver l'accès approuvé avec Detective

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Seul un administrateur du compte de AWS Organizations gestion peut désactiver l'accès sécurisé avec Amazon Detective.

Vous pouvez désactiver l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez désactiver l'accès sécurisé à l'aide de la AWS Organizations console.

AWS Management Console
Pour désactiver l'accès approuvé à l'aide de la console Organizations

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans le panneau de navigation, choisissez Services.

  3. Choisissez Amazon Detective dans la liste des services.

  4. Choisissez Disable trusted access (Désactiver l'accès approuvé).

  5. Dans la boîte de dialogue Désactiver l'accès sécurisé pour Amazon Detective, tapez Disable pour le confirmer, puis choisissez Désactiver l'accès sécurisé.

  6. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon Detective qu'il peut désormais désactiver ce service à l'aide de sa console ou de ses outils inutilisables AWS Organizations.

Activation d'un compte administrateur délégué pour Detective

Le compte d'administrateur délégué pour Detective est celui d'un graphique de comportement de Detective. L'administrateur délégué détermine les comptes d'organisation à activer et à désactiver comme comptes membres dans ce graphique de comportement. L'administrateur délégué peut configurer Detective pour qu’il active automatiquement les nouveaux comptes d'organisation comme comptes membres à mesure qu'ils sont ajoutés à l'organisation. Pour plus d'informations sur la manière dont un administrateur délégué gère les comptes d'organisation, consultez Gestion des comptes d'organisation comme comptes membres dans le Guide d’administration Amazon Detective.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Detective.

Vous pouvez spécifier un compte d'administrateur délégué à partir de l'API ou de la console Detective, ou en utilisant la CLI d’Organizations ou l’opération SDK.

Autorisations minimales

Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre comme administrateur délégué de Detective dans l'organisation.

Pour configurer un administrateur délégué à l'aide de l’API ou de la console Detective, consultez Désignation d'un compte d'administrateur Detective pour une organisation dans le Guide d’administration Amazon Detective.

AWS CLI, AWS API

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'un AWS des SDK, vous pouvez utiliser les commandes suivantes :

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal detective.amazonaws.com

  • AWS SDK : appelez le RegisterDelegatedAdministrator service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte account.amazonaws.com sous forme de paramètres.

Désactivation d'un administrateur délégué pour Detective

Vous pouvez supprimer l'administrateur délégué à l'aide de l’API ou de la console Detective, ou à l'aide de la CLI Organizations DeregisterDelegatedAdministrator ou de l’opération SDK. Pour plus d'informations sur la suppression d’un administrateur délégué à l'aide de l’API ou de la console Detective, ou de l'API Organizations, consultez Désignation d'un compte d'administrateur Detective pour une organisation dans le Guide d’administration Amazon Detective.