AWS políticas gerenciadas para o Amazon Detective

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.

Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

AWS política gerenciada: AmazonDetectiveFullAccess

É possível anexar a política AmazonDetectiveFullAccess a suas identidades do IAM.

Essa política concede permissões administrativas que permitem que a entidade principal tenha acesso total a todas as ações do Amazon Detective. É possível anexar essa política à entidade principal antes que o Detective seja habilitado na conta. Também deve ser anexado à função usada para executar os scripts do Python do Detective para criar e gerenciar um gráfico de comportamento.

As entidades principais com essas permissões podem gerenciar as contas-membro, adicionar tags ao gráfico de comportamento e usar o Detective para investigar. Eles também podem arquivar GuardDuty as descobertas. A política fornece as permissões que o console do Detective precisa para exibir os nomes das contas que estão inseridas. AWS Organizations

Detalhes de permissão

Esta política inclui as seguintes permissões:

• detective: permite acesso total das entidades principais a todas as ações do Detective.

• organizations: permite que as entidades principais recuperem do AWS Organizations informações sobre as contas em uma organização. Se uma conta pertencer a uma organização, essas permissões permitem que o console do Detective exiba os nomes das contas, além dos números das contas.

• guardduty— Permite que os diretores obtenham e arquivem GuardDuty as descobertas de dentro do Detective.

• securityhub: permite que as entidades principais obtenham as descobertas do Security Hub de dentro do Detective.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "detective:*",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:ArchiveFindings"
            ],
            "Resource": "arn:aws:guardduty:*:*:detector/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:GetFindings",
                "guardduty:ListDetectors"
                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "securityHub:GetFindings"
            ],
            "Resource": "*"
         } 
    ]
}

AWS política gerenciada: AmazonDetectiveMemberAccess

Também é possível anexar a política AmazonDetectiveMemberAccess às suas entidades do IAM.

Essa política fornece acesso de membro ao Amazon Detective e acesso limitado ao console.

Com essa política, você pode:

• Visualizar os convites de associação ao gráfico do Detective e aceitar ou rejeitar esses convites.

• Visualizar como sua atividade no Detective contribui para o custo de uso desse serviço na página Uso.

• Renunciar de sua associação a um gráfico.

Esta política concede permissões somente leitura que oferecem acesso limitado ao console do Detective.

Detalhes de permissão

Esta política inclui as seguintes permissões:

• detective: permite que os membros acessem o Detective.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:BatchGetMembershipDatasources",
        "detective:DisassociateMembership",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations",
        "detective:RejectInvitation"
      ],
      "Resource": "*"
    }
  ]
}
      

Política gerenciada AWS : AmazonDetectiveInvestigatorAccess

Também é possível anexar a política AmazonDetectiveInvestigatorAccess às suas entidades do IAM.

Esta política fornece ao investigador acesso ao serviço do Detective e acesso limitado às dependências da interface do usuário do console do Detective. Esta política também concede aos usuários e perfis do IAM permissões para habilitar as investigações do Detective no Detective. Você pode realizar investigações para identificar indicadores de comprometimento, como descobertas, usando um relatório de investigação, que fornece análises e insights sobre indicadores de segurança. O relatório é classificado por gravidade, que é determinada usando a análise comportamental e o machine learning do Detective. Você pode usar o relatório para priorizar a correção de recursos.

Detalhes de permissão

Esta política inclui as seguintes permissões:

• detective: permite que as entidades principais tenham acesso de investigador às ações do Detective, habilitem as investigações do Detective e habilitem resumos de grupos de descobertas.

• guardduty— Permite que os diretores obtenham e arquivem GuardDuty as descobertas de dentro do Detective.

• securityhub: permite que as entidades principais obtenham as descobertas do Security Hub de dentro do Detective.

• organizations— permite que os diretores recuperem informações sobre as contas em uma organização de. AWS Organizations Se uma conta pertencer a uma organização, essas permissões permitem que o console do Detective exiba os nomes das contas, além dos números das contas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DetectivePermissions",
      "Effect": "Allow",
      "Action": [ 
        "detective:BatchGetGraphMemberDatasources",
        "detective:BatchGetMembershipDatasources",
        "detective:DescribeOrganizationConfiguration",
        "detective:GetFreeTrialEligibility",
        "detective:GetGraphIngestState",
        "detective:GetMembers",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListDatasourcePackages",
        "detective:ListGraphs",
        "detective:ListHighDegreeEntities",
        "detective:ListInvitations",
        "detective:ListMembers",
        "detective:ListOrganizationAdminAccount",
        "detective:ListTagsForResource",
        "detective:SearchGraph",
        "detective:StartInvestigation",
        "detective:GetInvestigation",
        "detective:ListInvestigations",
        "detective:UpdateInvestigationState",
        "detective:ListIndicators",
        "detective:InvokeAssistant"
      ],
      "Resource": "*"
    },
    {
      "Sid": "OrganizationsPermissions",
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GuardDutyPermissions",
      "Effect": "Allow",
      "Action": [
        "guardduty:ArchiveFindings",
        "guardduty:GetFindings",
        "guardduty:ListDetectors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecurityHubPermissions",
      "Effect": "Allow",
      "Action": [
        "securityHub:GetFindings"
      ],
      "Resource": "*"
    }
  ]
}
      

AWS política gerenciada: AmazonDetectiveOrganizationsAccess

Também é possível anexar a política AmazonDetectiveOrganizationsAccess às suas entidades do IAM.

Esta política concede permissão para habilitar e gerenciar o Amazon Detective dentro de uma organização. Você pode habilitar o Detective em toda a organização e determinar a conta de administrador delegado do Detective.

Detalhes de permissão

Esta política inclui as seguintes permissões:

• detective: permite que as entidades principais tenham acesso às ações do Detective.

• iam: especifica que uma função vinculada ao serviço é criada quando o Detective acionar EnableOrganizationAdminAccount.

• organizations— permite que os diretores recuperem informações sobre as contas em uma organização de. AWS Organizations Se uma conta pertencer a uma organização, essas permissões permitem que o console do Detective exiba os nomes das contas, além dos números das contas. Permite a integração de um AWS serviço, permite registrar e cancelar o registro da conta de membro especificada como administrador delegado e permite que os diretores recuperem contas de administrador delegado em outros serviços de segurança, como Amazon Detective, Amazon, Amazon Macie e. GuardDuty AWS Security Hub

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:DisableOrganizationAdminAccount",
        "detective:EnableOrganizationAdminAccount",
        "detective:ListOrganizationAdminAccount"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "detective.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:ListDelegatedAdministrators"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com",
            "guardduty.amazonaws.com",
            "macie.amazonaws.com",
            "securityhub.amazonaws.com"
          ]
        }
      }
    }
  ]
}

AWS Política gerenciada da : AmazonDetectiveServiceLinkedRole

Não é possível anexar a política AmazonDetectiveServiceLinkedRole às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite que o Detective realize ações em seu nome. Para ter mais informações, consulte Usar funções vinculadas ao serviço do Detective.

Esta política concede permissões administrativas que permitem que a função vinculada ao serviço recupere informações da conta em uma organização.

Detalhes de permissão

Esta política inclui as seguintes permissões:

• organizations: recupera as informações da conta de uma organização.

{
  "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "organizations:DescribeAccount",
              "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

Detective atualizações em políticas gerenciadas AWS

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Detective desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, assine o feed RSS na página de histórico do documento do .

Alteração	Descrição	Data
AmazonDetectiveInvestigatorAccess: atualizações em políticas existentes	Foram adicionadas investigações do Detective e ações resumidas de grupos de descobertas à política do AmazonDetectiveInvestigatorAccess. Essas ações permitem iniciar, recuperar e atualizar as investigações do Detective e obter um resumo de grupos de descobertas de dentro do Detective.	26 de novembro de 2023
AmazonDetectiveFullAccess e AmazonDetectiveInvestigatorAccess: atualizações em políticas existentes	O Detective adicionou ações GetFindings do Security Hub às políticas AmazonDetectiveFullAccess e AmazonDetectiveInvestigatorAccess. Essas ações permitem obter descobertas do Security Hub de dentro do Detective.	16 de maio de 2023
AmazonDetectiveOrganizationsAccess – Nova política	O Detective adicionou a política AmazonDetectiveOrganizationsAccess. Esta política concede permissão para habilitar e gerenciar o Detective dentro de uma organização	2 de março de 2023
AmazonDetectiveMemberAccess – Nova política	O Detective adicionou a política AmazonDetectiveMemberAccess. Esta política fornece acesso de membro ao Detective e acesso limitado à dependências da interface do usuário do console.	17 de janeiro de 2023
AmazonDetectiveFullAccess: atualizações a uma política existente	Detective adicionou GuardDuty GetFindings ações à política. AmazonDetectiveFullAccess Essas ações permitem obter GuardDuty descobertas de dentro do Detective.	17 de janeiro de 2023
AmazonDetectiveInvestigatorAccess – Nova política	O Detective adicionou a política AmazonDetectiveInvestigatorAccess. Esta política permite que a entidade principal conduza investigações no Detective.	17 de janeiro de 2023
AmazonDetectiveServiceLinkedRole – Nova política	O Detective adicionou uma nova política para sua função vinculada ao serviço. A política permite que a função vinculada ao serviço recupere informações sobre as contas na organização.	16 de dezembro de 2021
O Detective começou a rastrear as alterações	Detective começou a monitorar as mudanças em suas políticas AWS gerenciadas.	10 de maio de 2021