Beispiele für die Verwendung der AWS CLI mit Detective - AWS Command Line Interface
Aktionen

Beispiele für die Verwendung der AWS CLI mit Detective

Die folgenden Codebeispiele zeigen, wie Sie Aktionen durchführen und gängige Szenarien implementieren, indem Sie die AWS Command Line Interface mit Detective nutzen.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Während Aktionen Ihnen zeigen, wie Sie einzelne Service-Funktionen aufrufen, können Sie Aktionen im Kontext der zugehörigen Szenarien anzeigen.

Jedes Beispiel enthält einen Link zum vollständigen Quellcode, wo Sie Anleitungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Das folgende Codebeispiel zeigt, wie accept-invitation verwendet wird.

AWS CLI

So nehmen Sie eine Einladung für ein Mitgliedskonto in einem Verhaltensdiagramm an

Im folgenden accept-invitation-Beispiel wird eine Einladung, ein Mitgliedskonto im Verhaltensdiagramm arn:aws:detective:us-east-1:111122223333:graph:123412341234 zu werden, angenommen.

aws detective accept-invitation \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Antworten auf eine Einladung zu einem Verhaltensdiagramm im Amazon-Detective-Administratorhandbuch.

Das folgende Codebeispiel zeigt, wie create-graph verwendet wird.

AWS CLI

So aktivieren Sie Amazon Detective und erstellen ein neues Verhaltensdiagramm

Im folgenden create-graph-Beispiel wird Detective für das AWS-Konto aktiviert, das den Befehl in der Region ausführt, in der der Befehl ausgeführt wird. Es wird ein neues Verhaltensdiagramm erstellt, das dieses Konto als Administratorkonto verwendet. Der Befehl weist dem Department-Tag außerdem den Wert Finance zu.

aws detective create-graph \
    --tags '{"Department": "Finance"}'

Ausgabe:

{
    "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
}

Weitere Informationen finden Sie unter Aktivieren von Amazon Detective im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter CreateGraph in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie create-members verwendet wird.

AWS CLI

So laden Sie Mitgliedskonten zu einem Verhaltensdiagramm ein

Im folgenden create-members-Beispiel werden zwei AWS-Konten eingeladen, Mitgliedskonten im Verhaltensdiagramm arn:aws:detective:us-east-1:111122223333:graph:123412341234 zu werden. Für jedes Konto gibt die Anforderung die AWS-Konto-ID und die E-Mail-Adresse des Root-Benutzerkontos an. Die Anforderung enthält eine benutzerdefinierte Nachricht, die in die Einladungs-E-Mail eingefügt werden kann.

aws detective create-members \
    --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."

Ausgabe:

{
    "Members": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
   },
   {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "VERIFICATION_IN_PROGRESS",
        "UpdatedTime": 1579826107000
     }
    ],
    "UnprocessedAccounts": [ ]
}

Weitere Informationen finden Sie unter „Einladen von Mitgliedskonten zu einem Verhaltensdiagramm“<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-add-member-accounts.html> im Amazon-Detective-Administratorhandbuch.

So laden Sie Mitgliedskonten ein, ohne Einladungs-E-Mails zu senden

Im folgenden create-members-Beispiel werden zwei AWS-Konten eingeladen, Mitgliedskonten im Verhaltensdiagramm arn:aws:detective:us-east-1:111122223333:graph:123412341234 zu werden. Für jedes Konto gibt die Anforderung die AWS-Konto-ID und die E-Mail-Adresse des Root-Benutzerkontos an. Die Mitgliedskonten erhalten keine Einladungs-E-Mails.

aws detective create-members \
    --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --disable-email-notification

Ausgabe:

{
    "Members": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
   },
   {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "VERIFICATION_IN_PROGRESS",
        "UpdatedTime": 1579826107000
     }
    ],
    "UnprocessedAccounts": [ ]
}

Weitere Informationen finden Sie unter „Einladen von Mitgliedskonten zu einem Verhaltensdiagramm“<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-add-member-accounts.html> im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter CreateMembers in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie delete-graph verwendet wird.

AWS CLI

So deaktivieren Sie Detective und löschen das Verhaltensdiagramm

Im folgenden delete-graph-Beispiel wird Detective deaktiviert und das angegebene Verhaltensdiagramm gelöscht.

aws detective delete-graph \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Deaktivieren von Amazon Detective im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter DeleteGraph in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie delete-members verwendet wird.

AWS CLI

So entfernen Sie Mitgliedskonten aus einem Verhaltensdiagramm

Im folgenden delete-members-Beispiel werden zwei Mitgliedskonten aus dem Verhaltensdiagramm arn:aws:detective:us-east-1:111122223333:graph:123412341234 entfernt. Zum Identifizieren der Konten stellt die Anforderung die AWS-Konto-IDs bereit.

aws detective delete-members \
    --account-ids 444455556666 123456789012 \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Ausgabe:

 {
    "AccountIds": [ "444455556666", "123456789012" ],
    "UnprocessedAccounts": [ ]
}

Weitere Informationen finden Sie unter „Entfernen von Mitgliedskonten aus einem Verhaltensdiagramm“<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-remove-member-accounts.html> im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter DeleteMembers in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie disassociate-membership verwendet wird.

AWS CLI

So kündigen Sie die Mitgliedschaft in einem Verhaltensdiagramm

Im folgenden disassociate-membership-Beispiel wird das AWS-Konto, das den Befehl ausführt, aus dem Verhaltensdiagramm arn:aws:detective:us-east-1:111122223333:graph:123412341234 entfernt.

aws detective disassociate-membership \
     --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Weitere Informationen finden Sie unter „Entfernen Ihres Kontos aus einem Verhaltensdiagramm“<https://docs.aws.amazon.com/detective/latest/adminguide/member-remove-self-from-graph.html> im Amazon-Detective-Administratorhandbuch.

Das folgende Codebeispiel zeigt, wie get-members verwendet wird.

AWS CLI

So rufen Sie Informationen über ausgewählte Mitgliedskonten des Verhaltensdiagramms ab

Im folgenden get-members-Beispiel werden Informationen über zwei Mitgliedskonten im Verhaltensdiagramm arn:aws:detective:us-east-1:111122223333:graph:123412341234 abgerufen. Für die beiden Konten stellt die Anforderung die AWS-Konto-IDs bereit.

aws detective get-members \
    --account-ids 444455556666 123456789012 \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Ausgabe:

{
    "MemberDetails": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
    {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
],
    "UnprocessedAccounts": [ ]
}

Weitere Informationen finden Sie unter „Anzeigen der Liste der Konten in einem Verhaltensdiagramm“<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-view-accounts.html> im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter GetMembers in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie list-graphs verwendet wird.

AWS CLI

So zeigen Sie eine Liste von Verhaltensdiagrammen an, für die Ihr Konto der Administrator ist

Im folgenden list-graphs-Beispiel werden die Verhaltensdiagramme abgerufen, für die das aufrufende Konto der Administrator in der aktuellen Region ist.

aws detective list-graphs

Ausgabe:

{
    "GraphList": [
        {
            "Arn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "CreatedTime": 1579736111000
        }
    ]
}

  • API-Details finden Sie unter ListGraphs in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie list-invitations verwendet wird.

AWS CLI

So zeigen Sie eine Liste von Verhaltensdiagrammen an, bei denen ein Konto Mitglied ist oder zu denen ein Konto eingeladen wurde

Im folgenden list-invitations-Beispiel werden die Verhaltensdiagramme abgerufen, zu denen das aufrufende Konto eingeladen wurde. Die Ergebnisse enthalten nur offene und angenommene Einladungen. Sie enthalten keine abgelehnten Einladungen oder gelöschte Mitgliedschaften.

aws detective list-invitations

Ausgabe:

{
    "Invitations": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
]
}

Weitere Informationen finden Sie unter „Anzeigen Ihrer Liste der Einladungen zu einem Verhaltensdiagramm“<https://docs.aws.amazon.com/detective/latest/adminguide/member-view-graph-invitations.html> im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter ListInvitations in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie list-members verwendet wird.

AWS CLI

So listen Sie die Mitgliedskonten in einem Verhaltensdiagramm auf

Im folgenden list-members-Beispiel werden die eingeladenen und aktivierten Mitgliedskonten für das Verhaltensdiagramm arn:aws:detective:us-east-1:111122223333:graph:123412341234 abgerufen. In den Ergebnissen sind keine Mitgliedskonten enthalten, die entfernt wurden.

aws detective list-members \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Ausgabe:

{
    "MemberDetails": [
        {
            "AccountId": "444455556666",
            "AdministratorId": "111122223333",
            "EmailAddress": "mmajor@example.com",
            "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "InvitedTime": 1579826107000,
            "MasterId": "111122223333",
            "Status": "INVITED",
            "UpdatedTime": 1579826107000
        },
        {
            "AccountId": "123456789012",
            "AdministratorId": "111122223333",
            "EmailAddress": "jstiles@example.com",
            "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "InvitedTime": 1579826107000,
            "MasterId": "111122223333",
            "PercentOfGraphUtilization": 2,
            "PercentOfGraphUtilizationUpdatedTime": 1586287843,
            "Status": "ENABLED",
            "UpdatedTime": 1579973711000,
            "VolumeUsageInBytes": 200,
            "VolumeUsageUpdatedTime": 1586287843
        }
    ]
}

Weitere Informationen finden Sie unter Anzeigen der Liste der Konten in einem Verhaltensdiagramm im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter ListMembers in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie list-tags-for-resource verwendet wird.

AWS CLI

So rufen Sie die einem Verhaltensdiagramm zugewiesenen Tags ab

Im folgenden list-tags-for-resource-Beispiel werden die Tags zurückgegeben, die dem angegebenen Verhaltensdiagramm zugewiesen sind.

aws detective list-tags-for-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Ausgabe:

{
    "Tags": {
        "Department" : "Finance"
    }
}

Weitere Informationen finden Sie unter Verwalten von Tags für ein Verhaltensdiagramm im Amazon-Detective-Administratorhandbuch.

Das folgende Codebeispiel zeigt, wie reject-invitation verwendet wird.

AWS CLI

So lehnen Sie eine Einladung für ein Mitgliedskonto in einem Verhaltensdiagramm ab

Im folgenden reject-invitation-Beispiel wird eine Einladung, ein Mitgliedskonto im Verhaltensdiagramm arn:aws:detective:us-east-1:111122223333:graph:123412341234 zu werden, abgelehnt.

aws detective reject-invitation \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter „Antworten auf eine Einladung zu einem Verhaltensdiagramm“<https://docs.aws.amazon.com/detective/latest/adminguide/member-invitation-response.html> im Amazon-Detective-Administratorhandbuch.

Das folgende Codebeispiel zeigt, wie tag-resource verwendet wird.

AWS CLI

So weisen Sie einer Ressource einen Tag zu

Im folgenden tag-resource-Beispiel wird dem angegebenen Verhaltensdiagramm ein Wert für das Department-Tag zugewiesen.

aws detective tag-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --tags '{"Department":"Finance"}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwalten von Tags für ein Verhaltensdiagramm im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter TagResource in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie untag-resource verwendet wird.

AWS CLI

So entfernen Sie ein Tag-Wert aus einer Ressource

Im folgenden untag-resource-Beispiel wird das Department-Tag aus dem angegebenen Verhaltensdiagramm entfernt.

aws detective untag-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --tag-keys "Department"

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwalten von Tags für ein Verhaltensdiagramm im Amazon-Detective-Administratorhandbuch.

  • API-Details finden Sie unter UntagResource in der AWS CLI-Befehlsreferenz.