Best practice delle policy Utilizzo della Console Consentire agli utenti di visualizzare le loro autorizzazioni Account amministratore: gestione degli account membri in un grafico di comportamento Account amministratore: utilizzo di un grafico di comportamento per le indagini Account membro: gestione degli inviti e delle iscrizioni al grafico di comportamento Account amministratore: limitazione dell'accesso in base ai valori di tag

Esempi di policy basate sull'identità per Amazon Detective

Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse Detective. Inoltre, non possono eseguire attività utilizzando l'API AWS Management Console AWS CLI, o AWS .

Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi collegare queste policy a utenti o gruppi IAM che richiedono tali autorizzazioni.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy nella scheda JSON nella Guida per l'utente IAM.

Argomenti

Best practice delle policy
Utilizzo della console Detective
Consentire agli utenti di visualizzare le loro autorizzazioni
Account amministratore: gestione degli account membri in un grafico di comportamento
Account amministratore: utilizzo di un grafico di comportamento per le indagini
Account membro: gestione degli inviti e delle iscrizioni al grafico di comportamento
Account amministratore: limitazione dell'accesso in base ai valori di tag

Best practice delle policy

Le policy basate sulle identità determinano se qualcuno può creare, accedere o eliminare risorse Detective nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche AWS gestite che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.
Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.
Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico AWS servizio, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.
Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per IAM Access Analyzer nella Guida per l'utente IAM.
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Configurazione dell'accesso alle API protetto con MFA nella Guida per l'utente IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.

Utilizzo della console Detective

Per utilizzare la console Amazon Detective, l'utente o il ruolo deve avere accesso alle operazioni pertinenti, che corrispondono alle relative operazioni nell'API.

Per abilitare Detective e diventare un account amministratore per un grafico di comportamento, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione CreateGraph.

Per utilizzare la console Detective per eseguire operazioni dell'account amministratore, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione ListGraphs. Ciò concede l'autorizzazione a recuperare i grafici di comportamento di cui il relativo account è amministratore. È inoltre necessario concedergli l'autorizzazione a eseguire operazioni specifiche dell'account amministratore.

Le operazioni più basilari dell'account amministratore consistono nel visualizzare un elenco degli account membri in un grafico di comportamento e nell'utilizzare il grafico di comportamento per le indagini.

Per visualizzare l'elenco degli account membri in un grafico di comportamento, è necessario concedere al principale l'autorizzazione per l'operazione ListMembers.
Per condurre un'indagine in un grafico di comportamento, è necessario concedere al principale l'autorizzazione per l'operazione SearchGraph.

Per utilizzare la console Detective per eseguire operazioni dell'account membro, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione ListInvitations. Ciò concede l'autorizzazione a visualizzare gli inviti del grafico di comportamento. È quindi possibile concedergli l'autorizzazione per operazioni specifiche dell'account membro.

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Account amministratore: gestione degli account membri in un grafico di comportamento

Questa policy di esempio è diretta agli utenti con account amministratore che sono responsabili solo della gestione degli account membri utilizzati nel grafico di comportamento. La policy, inoltre, consente all'utente di visualizzare le informazioni di utilizzo e di disattivare Detective. La policy non concede l'autorizzazione per utilizzare il grafico di comportamento per le indagini.


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
    "Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"],
    "Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
  },
  {
    "Effect":"Allow",
    "Action":["detective:CreateGraph","detective:ListGraphs"],
    "Resource":"*"
  }
 ]
}

Account amministratore: utilizzo di un grafico di comportamento per le indagini

Questa policy di esempio è diretta agli utenti con account amministratore che utilizzano il grafico di comportamento solo per le indagini. Non possono visualizzare o modificare l'elenco degli account dei membri nel grafico di comportamento.


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
    "Action":["detective:SearchGraph"],
    "Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
   },
   {
    "Effect":"Allow",
    "Action":["detective:ListGraphs"],
    "Resource":"*"
  }
 ]
}

Account membro: gestione degli inviti e delle iscrizioni al grafico di comportamento

Questa policy di esempio è diretta agli utenti che appartengono a un account membro. Nell'esempio, l'account membro appartiene a due grafici di comportamento. La policy concede l'autorizzazione a rispondere agli inviti e rimuovere l'account membro dal grafico di comportamento.


{"Version":"2012-10-17",
  "Statement":[
   {
    "Effect":"Allow",
   "Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"],
   "Resource":[
       "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
       "arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
    ]
  },
  {
    "Effect":"Allow",
    "Action":["detective:ListInvitations"],
    "Resource":"*"
  }
 ]
}

Account amministratore: limitazione dell'accesso in base ai valori di tag

La seguente policy consente all'utente di utilizzare un grafico di comportamento per verificare se il tag SecurityDomain del grafico di comportamento corrisponde al tag SecurityDomain dell'utente.


{
    "Version":"2012-10-17",
    "Statement":[ {
        "Effect":"Allow",
        "Action":["detective:SearchGraph"],
        "Resource":"arn:aws:detective:*:*:graph:*",
        "Condition": {
            "StringEquals"{
                "aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain"
            }
        }
    },
    {
        "Effect":"Allow",
        "Action":["detective:ListGraphs"],
        "Resource":"*"
    } ]
}

La seguente policy impedisce agli utenti di utilizzare un grafico di comportamento per verificare se il valore del tag SecurityDomain per il grafico di comportamento è Finance.


{
    "Version":"2012-10-17",
    "Statement":[ {
        "Effect":"Deny",
        "Action":["detective:SearchGraph"],
        "Resource":"arn:aws:detective:*:*:graph:*",
        "Condition": {
            "StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"}
        }
    } ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Funzionamento di Amazon Detective con IAM

AWS politiche gestite