Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWSkebijakan terkelola untuk Amazon Detective
Kebijakan terkelola AWS adalah kebijakan mandiri yang dibuat dan oleh dilakukan AWS. Kebijakan terkelola AWS dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan terkelola AWS mungkin tidak memberikan izin hak akses paling rendah untuk kasus penggunaan khusus Anda karena tersedia untuk digunakan semua pelanggan AWS. Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ada dalam kebijakan-kebijakan terkelola AWS. Jika AWS memperbarui izin yang ditentukan dalam sebuah kebijakan terkelola AWS, maka pembaruan itu akan mempengaruhi semua identitas pengguna utama (pengguna, grup, dan peran) yang terkait dengan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan terkelola AWS saat sebuah Layanan AWS baru diluncurkan atau operasi API baru tersedia untuk layanan yang sudah ada.
Untuk informasi selengkapnya, silakan lihat kebijakan terkelola AWS di Panduan Pengguna IAM.
Kebijakan terkelola AWS: AmazonDetectiveFullAccess
Anda dapat melampirkan kebijakan AmazonDetectiveFullAccess ke identitas-identitas IAM Anda.
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Detektif Amazon. Anda dapat melampirkan kebijakan ini ke kepala sekolah sebelum mereka mengaktifkan Detektif untuk akun mereka. Itu juga harus dilampirkan pada peran yang digunakan untuk menjalankan skrip Detective Python untuk membuat dan mengelola grafik perilaku.
Prinsipal dengan izin ini dapat mengelola akun anggota, menambahkan tag ke grafik perilaku mereka, dan menggunakan Detektif untuk penyelidikan. Mereka juga dapat mengarsipkan GuardDuty temuan. Kebijakan ini memberikan izin yang dibutuhkan konsol Detektif untuk menampilkan nama akun untuk akun yang ada di dalamnya. AWS Organizations
Detail izin
Kebijakan ini mencakup izin berikut:
-
detective— Memungkinkan kepala sekolah akses penuh ke semua tindakan Detektif. -
organizations— Memungkinkan kepala sekolah untuk mengambil dari AWS Organizations informasi tentang akun dalam suatu organisasi. Jika akun milik organisasi, izin ini memungkinkan konsol Detektif menampilkan nama akun selain nomor akun. -
guardduty— Memungkinkan kepala sekolah untuk mendapatkan dan mengarsipkan GuardDuty temuan dari dalam Detektif. -
securityhub— Memungkinkan kepala sekolah untuk mendapatkan temuan Security Hub dari dalam Detektif.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
Kebijakan terkelola AWS: AmazonDetectiveMemberAccess
Anda dapat melampirkan AmazonDetectiveMemberAccess kebijakan ke entitas IAM Anda.
Kebijakan ini menyediakan akses anggota ke Detektif Amazon dan akses cakupan ke konsol.
Dengan kebijakan ini, Anda dapat:
-
Lihat undangan ke keanggotaan grafik Detektif dan terima atau tolak undangan tersebut.
-
Lihat bagaimana aktivitas Anda di Detective berkontribusi terhadap biaya penggunaan layanan ini di halaman Penggunaan.
-
Mengundurkan diri dari keanggotaan Anda dalam grafik.
Kebijakan ini memberikan izin hanya-baca yang memungkinkan akses cakupan ke Detektif konsol.
Detail izin
Kebijakan ini mencakup izin berikut:
-
detective— Memungkinkan akses anggota ke Detektif.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }
Kebijakan terkelola AWS: AmazonDetectiveInvestigatorAccess
Anda dapat melampirkan AmazonDetectiveInvestigatorAccess kebijakan ke entitas IAM Anda.
Kebijakan ini menyediakan akses penyidik ke layanan Detektif dan akses cakupan ke dependensi UI konsol Detektif. Kebijakan ini memberikan izin untuk mengaktifkan investigasi Detektif di Detektif untuk pengguna IAM dan peran IAM. Anda dapat menyelidiki untuk mengidentifikasi indikator kompromi seperti temuan menggunakan laporan investigasi, yang memberikan analisis dan wawasan tentang indikator keamanan. Laporan ini diberi peringkat berdasarkan tingkat keparahan, yang ditentukan menggunakan analisis perilaku Detektif dan pembelajaran mesin. Anda dapat menggunakan laporan untuk memprioritaskan remediasi sumber daya.
Detail izin
Kebijakan ini mencakup izin berikut:
-
detective— Memungkinkan penyidik kepala sekolah mengakses tindakan Detektif, untuk mengaktifkan investigasi Detektif, dan untuk memungkinkan menemukan ringkasan kelompok. -
guardduty— Memungkinkan kepala sekolah untuk mendapatkan dan mengarsipkan GuardDuty temuan dari dalam Detektif. -
securityhub— Memungkinkan kepala sekolah untuk mendapatkan temuan Security Hub dari dalam Detektif. -
organizations— Memungkinkan kepala sekolah untuk mengambil informasi tentang akun dalam suatu organisasi dari. AWS Organizations Jika akun milik organisasi, maka izin ini memungkinkan konsol Detektif untuk menampilkan nama akun selain nomor akun.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }
AWSkebijakan terkelola: AmazonDetectiveOrganizationsAccess
Anda dapat melampirkan AmazonDetectiveOrganizationsAccess kebijakan ke entitas IAM Anda.
Kebijakan ini memberikan izin untuk mengaktifkan dan mengelola Detektif Amazon dalam suatu organisasi. Anda dapat mengaktifkan Detektif di seluruh organisasi dan menentukan akun administrator yang didelegasikan untuk Detektif.
Detail izin
Kebijakan ini mencakup izin berikut:
-
detective— Memungkinkan kepala sekolah mengakses tindakan Detektif. -
iam— Menentukan bahwa peran layanan terkait dibuat ketikaEnableOrganizationAdminAccountDetective memanggil. -
organizations— Memungkinkan kepala sekolah untuk mengambil informasi tentang akun dalam suatu organisasi dari. AWS Organizations Jika akun milik organisasi, maka izin ini memungkinkan konsol Detektif untuk menampilkan nama akun selain nomor akun. Mengaktifkan integrasi AWS layanan, memungkinkan register dan deregister akun anggota yang ditentukan sebagai administrator Delegasi, dan memungkinkan prinsipal untuk mengambil akun administrator Delegasi di layanan keamanan lain seperti Amazon Detective, Amazon, Amazon Macie, dan. GuardDuty AWS Security Hub
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }
Kebijakan terkelola AWS: AmazonDetectiveServiceLinkedRole
Anda tidak dapat melampirkan AmazonDetectiveServiceLinkedRole kebijakan ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Detektif melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran tertaut layanan untuk Detective.
Kebijakan ini memberikan izin administratif yang memungkinkan peran terkait layanan untuk mengambil informasi akun untuk organisasi.
Detail izin
Kebijakan ini mencakup izin berikut:
-
organizations— Mengambil informasi akun untuk suatu organisasi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }
Detective update ke AWS kebijakan terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Detektif sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat dokumen.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
|
AmazonDetectiveInvestigatorAccess— Pembaruan kebijakan yang ada |
Menambahkan investigasi Detektif dan menemukan tindakan ringkasan kelompok ke kebijakan. Tindakan ini memungkinkan memulai, mengambil, dan memperbarui investigasi Detektif; dan mendapatkan ringkasan menemukan kelompok dari dalam Detektif. |
26 November 2023 |
|
AmazonDetectiveFullAccessdan AmazonDetectiveInvestigatorAccess— Pembaruan kebijakan yang ada |
Detective menambahkan Tindakan ini memungkinkan mendapatkan temuan Security Hub dari dalam Detektif. |
16 Mei 2023 |
|
AmazonDetectiveOrganizationsAccess – Kebijakan baru |
Detektif menambahkan Kebijakan ini memberikan izin untuk mengaktifkan dan mengelola Detektif dalam suatu organisasi |
Maret 02, 2023 |
|
AmazonDetectiveMemberAccess – Kebijakan baru |
Detektif menambahkan kebijakan. Kebijakan ini memberikan akses anggota ke Detektif dan akses cakupan ke dependensi UI konsol. |
Januari 17, 2023 |
|
AmazonDetectiveFullAccess— Pembaruan untuk kebijakan yang ada |
Detektif menambahkan GuardDuty Tindakan ini memungkinkan mendapatkan GuardDuty temuan dari dalam Detektif. |
Januari 17, 2023 |
|
AmazonDetectiveInvestigatorAccess – Kebijakan baru |
Detektif menambahkan kebijakan. Kebijakan ini memungkinkan kepala sekolah untuk melakukan investigasi di Detektif. |
Januari 17, 2023 |
|
AmazonDetectiveServiceLinkedRole – Kebijakan baru |
Detective menambahkan kebijakan baru untuk peran terkait layanannya. Kebijakan ini memungkinkan peran terkait layanan untuk mengambil informasi tentang akun dalam organisasi. |
Desember 16, 2021 |
|
Detektif mulai melacak perubahan |
Detective mulai melacak perubahan untuk kebijakan yang AWS dikelola. |
10 Mei 2021 |
