Amazon Detective의 AWS 관리형 정책

AWS 관리형 정책은 AWS에서 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. AWS에서 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 엔터티(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새로운 AWS 서비스를 시작하거나 새로운 API 작업을 기존 서비스에 이용하는 경우 AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AmazonDetectiveFullAccess

AmazonDetectiveFullAccess 정책을 IAM ID에 연결할 수 있습니다.

이 정책은 모든 Amazon Detective 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다. 이 정책은 보안 주체가 해당 계정에 대해 Detective를 활성화하기 전에 보안 주체에게 연결할 수 있습니다. 또한 동작 그래프를 생성하고 관리하기 위해 Detective Python 스크립트를 실행하는 데 사용되는 역할에 연결되어야 합니다.

이러한 권한이 있는 보안 주체는 멤버 계정을 관리하고, 동작 그래프에 태그를 추가하고, Detective를 사용하여 조사할 수 있습니다. 또한 GuardDuty 조사 결과를 보관할 수도 있습니다. 이 정책은 Detective 콘솔에 AWS Organizations에 있는 계정의 계정 이름을 표시하는 데 필요한 권한을 제공합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

• detective – 보안 주체가 Detective 작업에 대한 모든 액세스 권한을 가질 수 있습니다.

• organizations – 보안 주체가 조직의 계정에 대한 AWS Organizations 정보를 검색할 수 있습니다. 계정이 조직에 속한 경우 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.

• guardduty - 보안 주체가 Detective 내에서 GuardDuty 조사 결과를 가져오고 보관할 수 있습니다.

• securityhub - 보안 주체가 Detective 내에서 Security Hub 조사 결과를 가져올 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "detective:*",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:ArchiveFindings"
            ],
            "Resource": "arn:aws:guardduty:*:*:detector/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:GetFindings",
                "guardduty:ListDetectors"
                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "securityHub:GetFindings"
            ],
            "Resource": "*"
         } 
    ]
}

AWS 관리형 정책: AmazonDetectiveMemberAccess

AmazonDetectiveMemberAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 Amazon Detective에 대한 멤버 액세스 권한과 콘솔에 대한 범위 지정 액세스를 제공합니다.

이 정책을 통해 다음을 수행할 수 있습니다.

• Detective 그래프 멤버십 초대를 확인하고 해당 초대를 수락하거나 거부할 수 있습니다.

• 사용 페이지에서 Detective에서의 활동이 이 서비스 사용 비용에 어떻게 기여하는지 확인합니다.

• 그래프로 멤버십에서 탈퇴합니다.

이 정책은 Detective
콘솔에 대한 범위 지정 액세스를 허용하는 읽기 전용 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

• detective - 멤버가 Detective에 액세스할 수 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:BatchGetMembershipDatasources",
        "detective:DisassociateMembership",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations",
        "detective:RejectInvitation"
      ],
      "Resource": "*"
    }
  ]
}
      

AWS 관리형 정책: AmazonDetectiveInvestigatorAccess

AmazonDetectiveInvestigatorAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 Detective 서비스에 대한 조사자 액세스 권한과 콘솔 UI 종속성에 대한 범위 지정 액세스 권한을 제공합니다. 이 정책은 IAM 사용자 및 IAM 역할에 대해 Detective에서 Detective 조사를 활성화할 수 있는 권한을 부여합니다. 보안 지표에 대한 분석 및 통찰력을 제공하는 조사 보고서를 사용하여 조사 결과와 같은 손상 지표를 식별할 수 있습니다. 보고서는 Detective의 동작 분석 및 기계 학습을 사용하여 결정되는 심각도에 따라 순위가 매겨집니다. 보고서를 사용하여 리소스 문제 해결의 우선 순위를 정할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

• detective - 보안 주체 조사자가 Detective 작업에 액세스하여 Detective 조사를 활성화하고 조사 결과 그룹 요약을 활성화할 수 있도록 합니다.

• guardduty - 보안 주체가 Detective 내에서 GuardDuty 조사 결과를 가져오고 보관할 수 있습니다.

• securityhub - 보안 주체가 Detective 내에서 Security Hub 조사 결과를 가져올 수 있습니다.

• organizations – 보안 주체가 AWS Organizations에서 조직의 계정에 대한 정보를 검색할 수 있습니다. 계정이 조직에 속하면 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DetectivePermissions",
      "Effect": "Allow",
      "Action": [ 
        "detective:BatchGetGraphMemberDatasources",
        "detective:BatchGetMembershipDatasources",
        "detective:DescribeOrganizationConfiguration",
        "detective:GetFreeTrialEligibility",
        "detective:GetGraphIngestState",
        "detective:GetMembers",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListDatasourcePackages",
        "detective:ListGraphs",
        "detective:ListHighDegreeEntities",
        "detective:ListInvitations",
        "detective:ListMembers",
        "detective:ListOrganizationAdminAccount",
        "detective:ListTagsForResource",
        "detective:SearchGraph",
        "detective:StartInvestigation",
        "detective:GetInvestigation",
        "detective:ListInvestigations",
        "detective:UpdateInvestigationState",
        "detective:ListIndicators",
        "detective:InvokeAssistant"
      ],
      "Resource": "*"
    },
    {
      "Sid": "OrganizationsPermissions",
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GuardDutyPermissions",
      "Effect": "Allow",
      "Action": [
        "guardduty:ArchiveFindings",
        "guardduty:GetFindings",
        "guardduty:ListDetectors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecurityHubPermissions",
      "Effect": "Allow",
      "Action": [
        "securityHub:GetFindings"
      ],
      "Resource": "*"
    }
  ]
}
      

AWS 관리형 정책: AmazonDetectiveOrganizationsAccess

AmazonDetectiveOrganizationsAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 조직 내에서 Amazon Detective를 활성화하고 관리할 권한을 부여합니다. 조직 전체에서 Detective를 활성화하고 Detective의 위임된 관리자 계정을 결정할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

• detective – 보안 주체가 Detective 작업에 대한 액세스 권한을 가질 수 있습니다.

• iam - Detective가 EnableOrganizationAdminAccount를 호출할 때 서비스 연결 역할이 생성되도록 지정합니다.

• organizations – 보안 주체가 AWS Organizations에서 조직의 계정에 대한 정보를 검색할 수 있습니다. 계정이 조직에 속하면 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다. AWS 서비스 통합을 활성화하고, 지정된 멤버 계정을 위임된 관리자로 등록 및 등록 취소할 수 있으며, 보안 주체가 Amazon Detective, Amazon GuardDuty, Amazon Macie, AWS Security Hub 등과 같은 다른 보안 서비스에서 위임된 관리자 계정을 검색할 수 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:DisableOrganizationAdminAccount",
        "detective:EnableOrganizationAdminAccount",
        "detective:ListOrganizationAdminAccount"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "detective.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:ListDelegatedAdministrators"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com",
            "guardduty.amazonaws.com",
            "macie.amazonaws.com",
            "securityhub.amazonaws.com"
          ]
        }
      }
    }
  ]
}

AWS 관리형 정책: AmazonDetectiveServiceLinkedRole

AmazonDetectiveServiceLinkedRole 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Detective에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 Detective에 서비스 연결 역할 사용 섹션을 참조하세요.

이 정책은 서비스 연결 역할이 조직의 계정 정보를 검색할 수 있도록 하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

• organizations - 조직의 계정 정보를 검색합니다.

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "organizations:DescribeAccount",
              "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS 관리형 정책에 대한 Detective 업데이트

이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 Detective의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항	설명	날짜
AmazonDetectiveInvestigatorAccess - 기존 정책에 대한 업데이트	Detective 조사 및 조사 결과 그룹 요약 작업을 AmazonDetectiveInvestigatorAccess 정책에 추가했습니다. 이러한 작업을 통해 Detective 조사를 시작, 검색 및 업데이트하고 Detective 내에서 조사 결과 그룹 요약을 얻을 수 있습니다.	2023년 11월 26일
AmazonDetectiveFullAccess 및 AmazonDetectiveInvestigatorAccess - 기존 정책 업데이트	Detective는 AmazonDetectiveFullAccess 및 AmazonDetectiveInvestigatorAccess 정책에 Security Hub GetFindings 작업을 추가했습니다. 이러한 작업을 통해 Detective 내에서 Security Hub 조사 결과를 가져올 수 있습니다.	2023년 5월 16일
AmazonDetectiveOrganizationsAccess - 새 정책	Detective는 AmazonDetectiveOrganizationsAccess 정책을 추가했습니다. 이 정책은 조직 내에서 Detective를 활성화하고 관리할 권한을 부여합니다.	2023년 3월 2일
AmazonDetectiveMemberAccess - 새 정책	Detective는 AmazonDetectiveMemberAccess 정책을 추가했습니다. 이 정책은 멤버에게 Detective에 대한 액세스 권한과 콘솔 UI 종속성에 대한 범위 지정 액세스 권한을 제공합니다.	2023년 1월 17일
AmazonDetectiveFullAccess - 기존 정책에 대한 업데이트	Detective는 GuardDuty GetFindings 작업을 AmazonDetectiveFullAccess 정책에 추가했습니다. 이러한 작업을 통해 Detective 내에서 GuardDuty 조사 결과를 가져올 수 있습니다.	2023년 1월 17일
AmazonDetectiveInvestigatorAccess - 새 정책	Detective는 AmazonDetectiveInvestigatorAccess 정책을 추가했습니다. 이 정책을 통해 보안 주체가 Detective에서 조사를 수행할 수 있습니다.	2023년 1월 17일
AmazonDetectiveServiceLinkedRole - 새 정책	Detective는 해당 서비스 연결 역할에 대한 새 정책을 추가했습니다. 이 정책은 서비스 연결 역할이 조직의 계정에 대한 정보를 검색할 수 있도록 허용합니다.	2021년 12월 16일
Detective가 변경 사항 추적하기 시작	Detective는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.	2021년 5월 10일