Amazon Detective の AWS マネージドポリシー - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Detective の AWS マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権の権限を付与しない場合があることにご注意ください。AWS のすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマー管理ポリシーを定義することで、権限を絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AmazonDetectiveFullAccess

AmazonDetectiveFullAccess ポリシーは IAM ID に添付できます。

このポリシーは、プリンシパルにすべての Amazon Detective アクションへのフルアクセスを許可する管理者許可を付与します。ユーザーは、アカウントで Detective を有効にする前に、このポリシーをプリンシパルにアタッチできます。Detective Python スクリプトを実行して動作グラフを作成および管理するために使用されるロールにアタッチする必要もあります。

これらの許可が付与されているプリンシパルは、メンバーアカウントを管理し、動作グラフにタグを追加し、調査に Detective を使用できます。また、GuardDuty の検出結果をアーカイブすることもできます。このポリシーは、AWS Organizations にあるアカウントのアカウント名を表示するために Detective コンソールで必要とされるアクセス許可を提供します。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • detective – プリンシパルに Detective のすべてのアクションへのフルアクセスを許可します。

  • organizations – プリンシパルが組織内のアカウントに関する AWS Organizations の情報から取得することを許可します。アカウントが組織に属している場合、これらのアクセス許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。

  • guardduty – プリンシパルが Detective 内から GuardDuty の検出結果を取得してアーカイブすることを許可します。

  • securityhub — プリンシパルが Detective 内から Security Hub からの検出結果を取得することを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:*", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings" ], "Resource": "arn:aws:guardduty:*:*:detector/*" }, { "Effect": "Allow", "Action": [ "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }

AWS マネージドポリシー: AmazonDetectiveMemberAccess

IAM エンティティに、AmazonDetectiveMemberAccess ポリシーをアタッチできます。

このポリシーは、Amazon Detective へのメンバーアクセスと、コンソールへのスコープ付きアクセスを提供します。

このポリシーにより、以下のことが可能になります。

  • Detective グラフメンバーシップへの招待を表示し、招待を承諾または拒否できます。

  • Detective でのアクティビティがこのサービスの使用コストにどのように影響するかについて、[使用状況] ページで確認できます。

  • メンバーシップからの脱退をグラフで確認できます。

このポリシーは、Detective コンソールへのスコープ付きアクセスを可能にする読み取り専用アクセス許可を付与します。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • detective — メンバーが Detective にアクセスできるようにします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:AcceptInvitation", "detective:BatchGetMembershipDatasources", "detective:DisassociateMembership", "detective:GetFreeTrialEligibility", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListInvitations", "detective:RejectInvitation" ], "Resource": "*" } ] }

AWS マネージドポリシー: AmazonDetectiveInvestigatorAccess

IAM エンティティに AmazonDetectiveInvestigatorAccess ポリシーをアタッチできます。

このポリシーは、調査員に Detective サービスへのアクセスと、Detective コンソール UI の依存関係へのスコープ付きアクセスを提供します。このポリシーによって、Detective でDetective 調査を有効にする権限が IAM ユーザーと IAM ロールに付与されます。セキュリティ指標に関する分析と洞察を提供する調査レポートを使用して、検出結果などの侵害の指標を特定できます。このレポートは、Detective の行動分析と機械学習を使用して確定された重要度別にランク付けされています。このレポートを使用すると、リソースの修復の優先順位を付けることができます。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • detective— プリンシパルが Detective アクションにアクセスすることを許可し、Detective の調査を有効にするとともに、検出結果グループの概要を有効化できます。

  • guardduty – プリンシパルが Detective 内から GuardDuty の検出結果を取得してアーカイブすることを許可します。

  • securityhub — プリンシパルが Detective 内から Security Hub からの検出結果を取得することを許可します。

  • organizations – プリンシパルが組織内のアカウントに関する情報を AWS Organizations から取得することを許可します。アカウントが組織に属している場合、これらの許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DetectivePermissions", "Effect": "Allow", "Action": [ "detective:BatchGetGraphMemberDatasources", "detective:BatchGetMembershipDatasources", "detective:DescribeOrganizationConfiguration", "detective:GetFreeTrialEligibility", "detective:GetGraphIngestState", "detective:GetMembers", "detective:GetPricingInformation", "detective:GetUsageInformation", "detective:ListDatasourcePackages", "detective:ListGraphs", "detective:ListHighDegreeEntities", "detective:ListInvitations", "detective:ListMembers", "detective:ListOrganizationAdminAccount", "detective:ListTagsForResource", "detective:SearchGraph", "detective:StartInvestigation", "detective:GetInvestigation", "detective:ListInvestigations", "detective:UpdateInvestigationState", "detective:ListIndicators", "detective:InvokeAssistant" ], "Resource": "*" }, { "Sid": "OrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Sid": "GuardDutyPermissions", "Effect": "Allow", "Action": [ "guardduty:ArchiveFindings", "guardduty:GetFindings", "guardduty:ListDetectors" ], "Resource": "*" }, { "Sid": "SecurityHubPermissions", "Effect": "Allow", "Action": [ "securityHub:GetFindings" ], "Resource": "*" } ] }

AWS マネージドポリシー: AmazonDetectiveOrganizationsAccess

IAM エンティティに AmazonDetectiveOrganizationsAccess ポリシーをアタッチできます。

このポリシーは、組織内で Amazon Detective を有効化および管理するためのアクセス許可を付与します。Detective を組織全体で有効にし、Detective の委任された管理者アカウントを決定できます。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • detective – プリンシパルに Detective のアクションへのアクセスを許可します。

  • iam— Detective がEnableOrganizationAdminAccount を呼び出したときに、サービスにリンクされたロールが作成されるように指定します。

  • organizations – プリンシパルが組織内のアカウントに関する情報を AWS Organizations から取得することを許可します。アカウントが組織に属している場合、これらの許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。AWS サービスの統合を有効にし、指定されたメンバーアカウントを委任された管理者として登録および登録解除できるようにします。また、プリンシパルが Amazon Detective、Amazon GuardDuty、Amazon Macie、および AWS Security Hub など他のセキュリティサービスの委任された管理者アカウントを取得できるようにします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "detective:DisableOrganizationAdminAccount", "detective:EnableOrganizationAdminAccount", "detective:ListOrganizationAdminAccount" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "detective.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "detective.amazonaws.com", "guardduty.amazonaws.com", "macie.amazonaws.com", "securityhub.amazonaws.com" ] } } } ] }

AWS マネージドポリシー: AmazonDetectiveServiceLinkedRole

IAM エンティティに AmazonDetectiveServiceLinkedRole をアタッチすることはできません。このポリシーは、ユーザーに代わって Detective がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Detective のサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにリンクされたロールが組織のアカウント情報を取得できるようにする管理アクセス許可を付与します。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • organizations - 組織のアカウント情報を取得します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts" ], "Resource": "*" } ] }

AWS マネージドポリシーの Detective の更新

Detective の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、「Document history for Detective Administration Guide」ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

AmazonDetectiveInvestigatorAccess - 既存のポリシーの更新

Detective の調査と検出結果グループの概要アクションを AmazonDetectiveInvestigatorAccess ポリシーに追加しました。

これらのアクションにより、Detective 調査の開始、取得、更新が可能になり、Detective 内から検出結果グループの概要を取得できます。

2023 年 11 月 26 日

AmazonDetectiveFullAccessAmazonDetectiveInvestigatorAccess — 既存のポリシーに対する更新

Detective の AmazonDetectiveFullAccess および AmazonDetectiveInvestigatorAccess ポリシーに Security Hub GetFindings アクションを追加されました。

これらのアクションにより、Detective 内から、Security Hub からの検出結果を取得できます。

2023 年 5 月 16 日

AmazonDetectiveOrganizationsAccess - 新しいポリシー

Detective に AmazonDetectiveOrganizationsAccess ポリシーが追加されました。

このポリシーは、組織内で Detective を有効化および管理するためのアクセス許可を付与します。

2023 年 3 月 2 日

AmazonDetectiveMemberAccess - 新しいポリシー

Detective に AmazonDetectiveMemberAccess ポリシーが追加されました。

このポリシーは、メンバーが、Detective にアクセスできるようにするとともにコンソール UI の依存関係にスコープ付きでアクセスできるようにします。

2023 年 1 月 17 日

AmazonDetectiveFullAccess – 既存ポリシーの更新

Detective の AmazonDetectiveFullAccess ポリシーに GuardDuty GetFindings アクションが追加されました。

これらのアクションにより、Detective 内から、GuardDuty からの検出結果を取得できます。

2023 年 1 月 17 日

AmazonDetectiveInvestigatorAccess - 新しいポリシー

Detective に AmazonDetectiveInvestigatorAccess ポリシーが追加されました。

このポリシーにより、プリンシパルは Detective で調査を行うことができます。

2023 年 1 月 17 日

AmazonDetectiveServiceLinkedRole - 新しいポリシー

Detective で、サービスにリンクされたロールに新しいポリシーが追加されました。

このポリシーは、サービスにリンクされたロールが組織内のアカウントに関する情報を取得することを許可します。

2021 年 12 月 16 日

Detective は変化を追跡し始めました

Detective が AWS マネージドポリシーの変更の追跡を開始しました。

2021 年 5 月 10 日