Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Detective
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können.
Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig.
Weitere Informationen zu den für Amazon Detective geltenden Compliance-Programmen finden Sie unter [Im Rahmen des Compliance-Programms zugelassene AWS -Services](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der geteilten Verantwortung bei der Verwendung von Detective einsetzen können. Die folgenden Themen veranschaulichen, wie Sie Detective zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie lernen auch, wie Sie andere AWS Dienste nutzen können, die Ihnen helfen, Ihre Detective-Ressourcen zu überwachen und zu sichern.
**Topics**
+ [Datenschutz in Amazon Detective](data-protection.md)
+ [Identitäts- und Zugriffsverwaltung für Amazon Detective](security-iam.md)
+ [Compliance-Validierung für Amazon Detective](detective-compliance.md)
+ [Ausfallsicherheit bei Amazon Detective](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur in Amazon Detective](infrastructure-security.md)
+ [Amazon Detective- und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink](detective-security-vpc-endpoints-privatelink.md)
+ [Bewährte Sicherheitsmethoden für Detective](security-best-practices.md)
# Datenschutz in Amazon Detective
Das Tool AWS [Das Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre Inhalte zu behalten, die auf dieser Infrastruktur gehostet werden. Sie sind auch verantwortlich für die Sicherheitskonfiguration und die Verwaltungsaufgaben für AWS-Services die Sie verwenden. Weitere Informationen zum Datenschutz finden Sie in der [Datenschutzerklärung FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie auf der [AWS Modell der geteilten Verantwortung und GDPR ](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) Blogbeitrag auf der *AWS Blog zum Thema Sicherheit*.
Aus Datenschutzgründen empfehlen wir Ihnen, AWS-Konto Anmeldeinformationen und richten Sie einzelne Benutzer ein mit AWS IAM Identity Center or AWS Identity and Access Management (IAM). So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden SieSSL/TLS, um mit zu kommunizieren AWS Ressourcen schätzen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Für Informationen zur Verwendung von CloudTrail Spuren zum Erfassen AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerleitfaden*.
+ Verwenden Sie AWS Verschlüsselungslösungen, zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff FIPS 140-3 validierte kryptografische Module benötigen AWS über eine Befehlszeilenschnittstelle oder einenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Detective oder anderen zusammenarbeiten AWS-Services mit der KonsoleAPI, AWS CLI, oder AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen angeben, URL um Ihre Anfrage an diesen Server zu validieren.
Detective verschlüsselt alle Daten, die im Ruhezustand und während der Übertragung verarbeitet und gespeichert werden.
**Topics**
+ [Schlüsselverwaltung für Amazon Detective](key-management.md)
# Schlüsselverwaltung für Amazon Detective
Da Detective keine persönlich identifizierbaren Kundendaten speichert, verwendet es Von AWS verwaltete Schlüssel.
Diese Art von KMS-Schlüssel kann für mehrere Konten verwendet werden. Die [Beschreibung der AWS eigenen Schlüssel finden Sie im AWS Key Management Service Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Diese Art von KMS-Schlüssel wird automatisch jedes Jahr (ungefähr 365 Tage) rotiert. Die [Beschreibung der Schlüsselrotation finden Sie im AWS Key Management Service Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
# Identitäts- und Zugriffsverwaltung für Amazon Detective
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* (berechtigt) werden kann, Detective-Ressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Amazon Detective mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Amazon-Detective-Richtlinien](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für Amazon Detective](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für Detective](using-service-linked-roles.md)
+ [Fehlerbehebung für Amazon-Detective-Identität und -Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung für Amazon-Detective-Identität und -Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Detective mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Amazon-Detective-Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Detective mit IAM
Benutzer und Rollen besitzen standardmäßig keine Berechtigungen zum Erstellen oder Ändern von Amazon-Detective-Ressourcen. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein Detective-Administrator muss über AWS Identity and Access Management (IAM-) Richtlinien verfügen, die IAM-Benutzern und -Rollen die Erlaubnis gewähren, bestimmte API-Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien anschließend dem Prinzipal anfügen, der diese Berechtigungen benötigt.
Detective verwendet identitätsbasierte IAM-Richtlinien, um Berechtigungen für die folgenden Benutzer- und Aktionstypen zu gewähren:
+ **Administratorkonten** – Das Administratorkonto ist der Besitzer eines Verhaltensdiagramms, das Daten aus seinem Konto verwendet. Administratorkonten können Mitgliedskonten einladen, ihre Daten zum Verhaltensdiagramm beizutragen. Das Administratorkonto kann das Verhaltensdiagramm auch zur Triage und Untersuchung der Ergebnisse und Ressourcen im Zusammenhang mit diesen Konten verwenden.
Sie können Richtlinien einrichten, die es anderen Benutzern als dem Administratorkonto ermöglichen, verschiedene Arten von Aufgaben auszuführen. Beispielsweise verfügt ein Benutzer mit einem Administratorkonto möglicherweise nur über Berechtigungen zur Verwaltung von Mitgliedskonten. Ein anderer Benutzer ist möglicherweise nur berechtigt, das Verhaltensdiagramm für Untersuchungen zu verwenden.
+ **Mitgliedskonten** – Ein Mitgliedskonto ist ein Konto, das aufgefordert wird, Daten zu einem Verhaltensdiagramm beizutragen. Ein Mitgliedskonto reagiert auf eine Einladung. Nachdem ein Mitgliedskonto eine Einladung angenommen hat, kann es sein Konto aus dem Verhaltensdiagramm entfernen.
Einen allgemeinen Überblick darüber, wie Detective und andere mit IAM AWS-Services arbeiten, finden Sie im *IAM-Benutzerhandbuch* unter [Richtlinien auf der Registerkarte JSON erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor).
## Detective-Richtlinien auf Identitätsbasis
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Detective unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel.
Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienanweisungen müssen entweder ein `Action`- oder ein `NotAction`-Element enthalten. Das Element `Action` listet die Aktionen auf, die im Rahmen der Richtlinie zulässig sind. Das Element `NotAction` listet die Aktionen auf, die nicht zulässig sind.
Die für Detective definierten Aktionen spiegeln Aufgaben wider, die Sie mit Detective ausführen können. Richtlinienaktionen in Detective haben das folgende Präfix: `detective:`.
Um beispielsweise die Berechtigung zu erteilen, die `CreateMembers` API-Operation zum Laden von Mitgliedskonten zu einem Verhaltensdiagramm zu verwenden, fügen Sie die Aktion `detective:CreateMembers` in deren Richtlinie ein.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Für ein Mitgliedskonto umfasst die Richtlinie beispielsweise eine Reihe von Aktionen im Zusammenhang mit der Verwaltung einer Einladung:
```
"Action": [
"detective:ListInvitations",
"detective:AcceptInvitation",
"detective:RejectInvitation",
"detective:DisassociateMembership
]
```
Sie können Platzhalter (\$1) verwenden, um mehrere Aktionen anzugeben. Um beispielsweise die in ihrem Verhaltensdiagramm verwendeten Daten zu verwalten, müssen Administratorkonten in Detective in der Lage sein, die folgenden Aufgaben auszuführen:
+ Sehen Sie sich ihre Liste der Mitgliedskonten an (`ListMembers`).
+ Informieren Sie sich über ausgewählte Mitgliedskonten (`GetMembers`).
+ Laden Sie Mitgliedskonten zu ihrem Verhaltensdiagramm ein (`CreateMembers`).
+ Entfernen Sie Mitglieder aus ihrem Verhaltensdiagramm (`DeleteMembers`).
Anstatt diese Aktionen separat aufzulisten, können Sie Zugriff auf alle Aktionen gewähren, die mit dem Wort `Members` enden. Die Richtlinie dafür könnte die folgende Aktion beinhalten:
```
"Action": "detective:*Members"
```
Eine Liste der Detective-Aktionen finden Sie unter [Von Amazon Detective definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions) in der *Service-Autorisierungs-Referenz*.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Für Detective ist der einzige Ressourcentyp das Verhaltensdiagramm. Die Ressource Verhaltensdiagramm in Detective hat den folgenden ARN:
```
arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}
```
Ein Verhaltensdiagramm hat beispielsweise folgende Werte:
+ Die Region für das Verhaltensdiagramm ist `us-east-1`.
+ Die Konto-ID für die Administratorkonto-ID lautet `111122223333`.
+ Die Diagramm-ID des Verhaltensdiagramms lautet `027c7c4610ea4aacaf0b883093cab899`.
Um dieses Verhaltensdiagramm in einer `Resource`-Anweisung zu identifizieren, würden Sie den folgenden ARN verwenden:
```
"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
```
Wenn Sie mehrere Ressourcen in einer `Resource`-Anweisung angeben möchten, trennen Sie sie durch Kommata.
```
"Resource": [
"resource1",
"resource2"
]
```
Beispielsweise kann dasselbe AWS Konto in mehr als einem Verhaltensdiagramm als Mitgliedskonto eingeladen werden. In der Richtlinie für dieses Mitgliedskonto würden in der `Resource`-Erklärung die Verhaltensdiagramme aufgeführt, zu denen das Mitglied eingeladen wurde.
```
"Resource": [
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
```
Einige Detective-Aktionen, wie das Erstellen eines Verhaltensdiagramms, das Auflisten von Verhaltensdiagrammen und das Auflisten von Einladungen zum Verhaltensdiagramm, werden nicht für ein bestimmtes Verhaltensdiagramm ausgeführt. Für diese Aktionen muss die `Resource`-Anweisung den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Bei Aktionen mit Administratorkonten überprüft Detective immer, ob der Benutzer, der die Anfrage stellt, dem Administratorkonto für das betroffene Verhaltensdiagramm angehört. Bei Aktionen mit Mitgliedskonten überprüft Detective immer, ob der Benutzer, der die Anfrage stellt, dem Mitgliedskonto angehört. Selbst wenn eine IAM-Richtlinie Zugriff auf ein Verhaltensdiagramm gewährt, kann der Benutzer die Aktion nicht ausführen, wenn der Benutzer nicht dem richtigen Konto angehört.
Für alle Aktionen, die auf einem bestimmten Verhaltensdiagramm ausgeführt werden, sollte die IAM-Richtlinie den Diagramm-ARN enthalten. Der Diagramm-ARN kann später hinzugefügt werden. Wenn beispielsweise ein Konto Detective zum ersten Mal aktiviert, gewährt die anfängliche IAM-Richtlinie Zugriff auf alle Detective-Aktionen, wobei der Platzhalter für den Diagramm-ARN verwendet wird. Auf diese Weise kann der Benutzer sofort damit beginnen, Mitgliedskonten für sein Verhaltensdiagramm zu verwalten und Untersuchungen durchzuführen. Nachdem das Verhaltensdiagramm erstellt wurde, können Sie die Richtlinie aktualisieren, um den Diagramm-ARN hinzuzufügen.
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Detective definiert keinen eigenen Satz von Bedingungsschlüsseln. Sie unterstützt die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Informationen dazu, für welche Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Detective definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions).
### Beispiele
Beispiele für identitätsbasierte Detective-Richtlinien finden Sie unter [Beispiele für identitätsbasierte Amazon-Detective-Richtlinien](security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Detective-Richtlinien (nicht unterstützt)
Detective unterstützt keine ressourcenbasierten Richtlinien.
## Autorisierung auf der Grundlage von Detective Behavior Diagramm-Tags
Jedem Verhaltensdiagramm können Tag-Werte zugewiesen werden. Sie können diese Tagwerte in Bedingungsanweisungen verwenden, um den Zugriff auf das Verhaltensdiagramm zu verwalten.
Die Bedingungsanweisung für einen Tag-Wert verwendet das folgende Format.
```
{"StringEquals"{"aws:ResourceTag/": ""}}
```
Verwenden Sie beispielsweise den folgenden Code, um eine Aktion zuzulassen oder abzulehnen, wenn der Wert des `Department`-Tags `Finance` lautet.
```
{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}
```
Beispiele für Richtlinien, die Ressourcen-Tag-Werte verwenden, finden Sie unter [Administratorkonto: Zugriff auf der Grundlage von Tag-Werten einschränken](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-graph-tags).
## Detective IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen mit Detective
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Detective unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Detective-Rollen finden Sie unter [Verwenden von serviceverknüpften Rollen für Detective](using-service-linked-roles.md).
### Servicerollen (nicht unterstützt)
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
Detective unterstützt keine Servicerollen.
# Beispiele für identitätsbasierte Amazon-Detective-Richtlinien
IAM-Benutzer besitzen standardmäßig keine Berechtigungen zum Erstellen oder Ändern von Detective-Ressourcen. Sie können auch keine Aufgaben mithilfe der AWS API AWS-Managementkonsole AWS CLI, oder ausführen.
Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Detective-Konsole](#security_iam_id-based-policy-examples-console)
+ [Benutzern die Berechtigung zur Anzeige eigener Berechtigungen erteilen](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Administratorkonto: Verwaltung der Mitgliedskonten in einem Verhaltensdiagramm](#security_iam_id-based-policy-examples-admin-account-mgmt)
+ [Administratorkonto: Verwendung eines Verhaltensdiagramms zur Untersuchung](#security_iam_id-based-policy-examples-admin-investigate)
+ [Mitgliedskonto: Verwaltung von Einladungen und Mitgliedschaften im Verhaltensdiagramm](#security_iam_id-based-policy-examples-member-account)
+ [Administratorkonto: Zugriff auf der Grundlage von Tag-Werten einschränken](#security_iam_id-based-policy-examples-graph-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Detective-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Detective-Konsole
Um die Amazon-Detective-Konsole verwenden zu können, muss der Benutzer oder die Rolle Zugriff auf die Aktionen haben, die den jeweiligen Aktionen in der API entsprechen.
Um Detective zu aktivieren und Administratorkonto für ein Verhaltensdiagramm zu werden, muss dem Benutzer oder der Rolle die Berechtigung für die Aktion `CreateGraph` erteilt werden.
Um mit der Detective-Konsole Aktionen eines Administratorkontos ausführen zu können, muss dem Benutzer oder der Rolle die Berechtigung für die Aktion `ListGraphs` erteilt werden. Dadurch wird die Berechtigung zum Abrufen der Verhaltensdiagramme erteilt, für die ihr Konto ein Administratorkonto ist. Außerdem muss ihnen die Berechtigung erteilt werden, bestimmte Administratorkonto-Aktionen durchzuführen.
Die grundlegendsten Aktionen für Administratorkonten bestehen darin, eine Liste der Mitgliedskonten in einem Verhaltensdiagramm anzuzeigen und das Verhaltensdiagramm zur Untersuchung zu verwenden.
+ Um die Liste der Mitgliedskonten in einem Verhaltensdiagramm anzuzeigen, muss dem Prinzipal die entsprechende Genehmigung für die Aktion `ListMembers` erteilt werden.
+ Um eine Untersuchung in einem Verhaltensdiagramm durchführen zu können, muss dem Prinzipal die Genehmigung für die Aktion `SearchGraph` erteilt werden.
Um mit der Detective-Konsole Aktionen eines Mitgliedskontos ausführen zu können, muss dem Benutzer oder der Rolle die entsprechende Berechtigung für die Aktion `ListInvitations` erteilt werden. Dadurch wird die Berechtigung zum Anzeigen von Einladungen in Verhaltensdiagrammen erteilt. Anschließend kann ihnen die Erlaubnis für bestimmte Aktionen im Mitgliedskonto erteilt werden.
## Benutzern die Berechtigung zur Anzeige eigener Berechtigungen erteilen
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Administratorkonto: Verwaltung der Mitgliedskonten in einem Verhaltensdiagramm
Diese Beispielrichtlinie richtet sich an Benutzer von Administratorkonten, die nur für die Verwaltung der im Verhaltensdiagramm verwendeten Mitgliedskonten verantwortlich sind. Die Richtlinie ermöglicht dem Benutzer auch das Anzeigen der Nutzungsinformationen und das Deaktivieren von Detective. Die Richtlinie gewährt nicht die Erlaubnis, das Verhaltensdiagramm für Untersuchungen zu verwenden.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:CreateGraph","detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## Administratorkonto: Verwendung eines Verhaltensdiagramms zur Untersuchung
Diese Beispielrichtlinie ist für Benutzer von Administratorkonten vorgesehen, die das Verhaltensdiagramm nur zur Untersuchung verwenden. Sie können die Liste der Mitgliedskonten im Verhaltensdiagramm nicht anzeigen oder bearbeiten.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## Mitgliedskonto: Verwaltung von Einladungen und Mitgliedschaften im Verhaltensdiagramm
Diese Beispielrichtlinie richtet sich an Benutzer, die zu einem Mitgliedskonto gehören. Im Beispiel gehört das Mitgliedskonto zu zwei Verhaltensdiagrammen. Die Richtlinie gewährt die Erlaubnis, auf Einladungen zu antworten und das Mitgliedskonto aus dem Verhaltensdiagramm zu entfernen.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"],
"Resource":[
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
},
{
"Effect":"Allow",
"Action":["detective:ListInvitations"],
"Resource":"*"
}
]
}
```
------
## Administratorkonto: Zugriff auf der Grundlage von Tag-Werten einschränken
Die folgende Richtlinie ermöglicht es dem Benutzer, ein Verhaltensdiagramm zur Untersuchung zu verwenden, wenn das `SecurityDomain`-Tag des Verhaltensdiagramms mit dem `SecurityDomain`-Tag des Benutzers übereinstimmt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:SearchGraph"
],
"Resource": "arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain"
}
}
},
{
"Effect": "Allow",
"Action": [
"detective:ListGraphs"
],
"Resource": "*"
}
]
}
```
------
Die folgende Richtlinie verhindert, dass Benutzer ein Verhaltensdiagramm für Untersuchungen verwenden, wenn der Wert des `SecurityDomain`-Tags für das Verhaltensdiagramm `Finance` lautet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[ {
"Effect":"Deny",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"}
}
} ]
}
```
------
# AWS verwaltete Richtlinien für Amazon Detective
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Denken Sie daran, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AmazonDetectiveFullAccess
Sie können die `AmazonDetectiveFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die einem Prinzipal vollen Zugriff auf alle Amazon-Detective-Aktionen erlauben. Sie können diese Richtlinie einem Prinzipalen zuweisen, bevor dieser Detective für sein Konto aktiviert. Sie muss auch an die Rolle angehängt werden, mit der die Python-Skripts in Detective ausgeführt werden, um ein Verhaltensdiagramm zu erstellen und zu verwalten.
Prinzipale mit diesen Berechtigungen können Mitgliedskonten verwalten, ihrem Verhaltensdiagramm Tags hinzufügen und Detective für Ermittlungen verwenden. Sie können GuardDuty Ergebnisse auch archivieren. Die Richtlinie bietet Berechtigungen, die die Detective-Konsole benötigt, um Kontonamen für Konten anzuzeigen, die sich in befinden AWS Organizations.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `detective` – Ermöglicht Prinzipalen vollen Zugriff auf alle Detectiv-Aktionen.
+ `organizations` – Ermöglicht Prinzipalen das Abrufen von AWS Organizations -Informationen über die Konten in einer Organisation. Wenn ein Konto zu einer Organisation gehört, ermöglichen diese Berechtigungen der Detective-Konsole, zusätzlich zu den Kontonummern auch Kontonamen anzuzeigen.
+ `guardduty`— Ermöglicht es den Schulleitern, GuardDuty Ergebnisse aus Detective abzurufen und zu archivieren.
+ `securityhub`— Ermöglicht es Prinzipalen, Security Hub CSPM-Ergebnisse aus Detective abzurufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonDetectiveMemberAccess
Sie können die `AmazonDetectiveMemberAccess`-Richtlinie auch Ihren IAM-Entitäten anfügen.
Diese Richtlinie gewährt Mitgliedern Zugriff auf Amazon Detective und begrenzten Zugriff auf die Konsole.
Mit dieser Richtlinie können Sie:
+ Sich Einladungen zur Detective Diagramm-Mitgliedschaft ansehen und diese Einladungen akzeptieren oder ablehnen.
+ Auf der Seite Nutzung sehen, wie Ihre Aktivität in Detective zu den Kosten für die **Nutzung** dieses Dienstes beiträgt.
+ Ihre Mitgliedschaft in einem Diagramm kündigen.
Diese Richtlinie gewährt Berechtigungen, die einen schreibgeschützten Zugriff auf die Detective-Konsole erlauben.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `detective` – Ermöglicht Mitgliedern den Zugriff auf Detective.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonDetectiveInvestigatorAccess
Sie können die `AmazonDetectiveInvestigatorAccess`-Richtlinie auch Ihren IAM-Entitäten anfügen.
Diese Richtlinie gewährt Ermittlern Zugriff auf den Detective Service und bereichsspezifischen Zugriff auf die Abhängigkeiten der Benutzeroberfläche der Detective-Konsole. Diese Richtlinie gewährt IAM-Benutzern und IAM-Rollen Berechtigungen zur Aktivierung von Untersuchungen in Detective. Mithilfe eines Untersuchungsberichts, der Analysen und Erkenntnisse in Sicherheitsindikatoren bietet, können Sie Indikatoren für eine Kompromittierung ermitteln, z. B. Erkenntnisse. Der Bericht ist nach Schweregrad geordnet, der mithilfe von Verhaltensanalyse und Machine Learning von Detective ermittelt wird. Sie können den Bericht verwenden, um die Behebung von Ressourcen zu priorisieren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `detective` – Ermöglicht Prinzipalen die Untersuchung des Zugriffs auf Detective-Aktionen, die Aktivierung von Untersuchungen in Detective und die Übersicht von Erkenntnisgruppen.
+ `guardduty`— Ermöglicht es den Schulleitern, GuardDuty Ergebnisse aus Detective abzurufen und zu archivieren.
+ `securityhub`— Ermöglicht es Prinzipalen, Security Hub CSPM-Ergebnisse aus Detective abzurufen.
+ `organizations`— Ermöglicht Prinzipalen das Abrufen von Informationen über die Konten in einer Organisation von. AWS Organizations Wenn ein Konto zu einer Organisation gehört, ermöglichen diese Berechtigungen der Detective-Konsole, zusätzlich zu den Kontonummern auch Kontonamen anzuzeigen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonDetectiveOrganizationsAccess
Sie können die `AmazonDetectiveOrganizationsAccess`-Richtlinie auch Ihren IAM-Entitäten anfügen.
Diese Richtlinie gewährt die Erlaubnis, Amazon Detective innerhalb einer Organisation zu aktivieren und zu verwalten. Sie können Detective unternehmensweit aktivieren und das delegierte Administratorkonto für Detective festlegen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `detective` – Ermöglicht Prinzipalen Zugriff auf alle Detective-Aktionen.
+ `iam` – Gibt an, dass eine serviceverknüpfte Rolle erstellt wird, wenn Detective `EnableOrganizationAdminAccount` aufruft.
+ `organizations`— Ermöglicht Prinzipalen das Abrufen von Informationen über die Konten in einer Organisation von AWS Organizations. Wenn ein Konto zu einer Organisation gehört, ermöglichen diese Berechtigungen der Detective-Konsole, zusätzlich zu den Kontonummern auch Kontonamen anzuzeigen. Ermöglicht die Integration eines AWS Dienstes, ermöglicht die Registrierung und Abmeldung des angegebenen Mitgliedskontos als delegierter Administrator und ermöglicht es Prinzipalen, delegierte Administratorkonten in anderen Sicherheitsdiensten wie Amazon Detective, Amazon GuardDuty, Amazon Macie und abzurufen. AWS Security Hub CSPM
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonDetectiveServiceLinkedRole
Sie können die `AmazonDetectiveServiceLinkedRole`-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die die Durchführung von Aktionen von Detective in Ihrem Namen ermöglicht. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Detective](using-service-linked-roles.md).
Diese Richtlinie gewährt administrative Berechtigungen, die es der dienstverknüpften Rolle ermöglichen, Kontoinformationen für eine Organisation abzurufen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `organizations` – Ruft Kontoinformationen für eine Organisation ab.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## Detective Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Detective an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Seite -Dokumentverlauf](doc-history.md).
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) – Aktualisierungen bestehender Richtlinien | Der `AmazonDetectiveInvestigatorAccess`-Richtlinie wurden die Aktionen Detective-Untersuchungen und Erkenntnisgruppen hinzugefügt. Diese Aktionen ermöglichen das Starten, Abrufen und Aktualisieren von Detective-Untersuchungen und das Abrufen einer Übersicht der Erkenntnisgruppen innerhalb von Detective. | 26. November 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) und [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) – Updates von vorhandenen Richtlinien | Detective hat den Richtlinien `AmazonDetectiveFullAccess` und `GetFindings` `AmazonDetectiveInvestigatorAccess` CSPM-Aktionen von Security Hub hinzugefügt. Diese Aktionen ermöglichen das Abrufen von Security Hub CSPM-Ergebnissen aus Detective. | 16. Mai 2023 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) – Neue Richtlinie | Detective hat eine `AmazonDetectiveOrganizationsAccess`-Richtlinie hinzugefügt. Diese Richtlinie gewährt die Erlaubnis, Detective innerhalb einer Organisation zu aktivieren und zu verwalten. | 02. März 2023 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess) – Neue Richtlinie | Detective hat die `AmazonDetectiveMemberAccess`-Richtlinie hinzugefügt. Diese Richtlinie gewährt Mitgliedern Zugriff auf Detective und bereichsbezogenen Zugriff auf die Abhängigkeiten der Konsolenbenutzeroberfläche. | 17. Januar 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) – Aktualisierung auf eine bestehende Richtlinie | Detective hat der `AmazonDetectiveFullAccess` Richtlinie GuardDuty `GetFindings` Aktionen hinzugefügt. Diese Aktionen ermöglichen das Abrufen von GuardDuty Erkenntnissen aus Detective heraus. | 17. Januar 2023 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) – Neue Richtlinie | Detective hat die `AmazonDetectiveInvestigatorAccess`-Richtlinie hinzugefügt. Diese Richtlinie ermöglicht es dem Prinzipal, Untersuchungen in Detective durchzuführen. | 17. Januar 2023 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy) – Neue Richtlinie | Detective hat eine neue Richtlinie für seine serviceverknüpfte Rolle hinzugefügt. Die Richtlinie erlaubt es der mit dem dienstverknüpften Rolle, Informationen über die Konten in einer Organisation abzurufen. | 16. Dezember 2021 |
| Detective begann, Änderungen zu verfolgen | Detective begann, Änderungen an seinen AWS verwalteten Richtlinien zu verfolgen. | 10. Mai 2021 |
# Verwenden von serviceverknüpften Rollen für Detective
Amazon Detective verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Detective verknüpft ist. Dienstbezogene Rollen sind von Detective vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle macht die Einrichtung von Amazon Detective einfacher, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Detective definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Detective-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS-Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen von serviceverknüpften Rollen für Detective
Detective verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForDetective**— Erlaubt Detective, in Ihrem Namen auf AWS Organizations Informationen zuzugreifen.
Die AWSService RoleForDetective dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `detective.amazonaws.com`
Die AWSService RoleForDetective dienstverknüpfte Rolle verwendet die verwaltete Richtlinie. [`AmazonDetectiveServiceLinkedRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy)
Einzelheiten zu Aktualisierungen der `AmazonDetectiveServiceLinkedRolePolicy` Richtlinie finden Sie unter [Amazon Detective Updates to AWS Managed Policies](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates). Abonnieren Sie den RSS-Feed auf der Seite mit dem [Dokumentenverlauf von Detective](https://docs.aws.amazon.com//detective/latest/userguide/doc-history.html), um automatische Benachrichtigungen über Änderungen an dieser Richtlinie zu erhalten.
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer serviceverknüpften Rolle für Detective
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie das Detective-Administratorkonto für eine Organisation in der AWS-Managementkonsole, der oder der AWS API festlegen AWS CLI, erstellt Detective die dienstbezogene Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie das Detective-Administratorkonto für eine Organisation festlegen, erstellt Detective die serviceverknüpfte Rolle wieder für Sie.
## Bearbeiten einer serviceverknüpften Rolle für Detective
Detective erlaubt Ihnen nicht, die AWSService RoleForDetective serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Detective
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der Detective-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es dann erneut.
**Um Detective-Ressourcen zu löschen, die von AWSService RoleForDetective**
1. Entfernen Sie das Detective-Administratorkonto. Siehe [Den Detective-Administrator für eine Organisation benennen](accounts-designate-admin.md).
1. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Detective-Administratorkonto festgelegt haben.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForDetective serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für serviceverknüpfte Detective-Rollen
Detective unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der -Service verfügbar ist. Weitere Informationen finden Sie unter [AWS Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Fehlerbehebung für Amazon-Detective-Identität und -Zugriff
Verwenden Sie die folgenden Informationen, um häufige Probleme zu diagnostizieren und zu beheben, die beim Arbeiten mit Detective und IAM auftreten könnten. *Wenn Sie bei der Arbeit mit AWS Identity and Access Management(IAM) auf Probleme mit der Zugriffsverweigerung oder ähnlichen Problemen stoßen, lesen Sie die Themen [zur Fehlerbehebung bei IAM im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html).*
## Ich bin nicht autorisiert, eine Aktion in Detective auszuführen.
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-IAM-Benutzer versucht, die Konsole zu verwenden, um eine Einladung zum Mitgliedskonto für ein Verhaltensdiagramm anzunehmen, jedoch keine `detective:AcceptInvitation`-Berechtigungen besitzt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: detective:AcceptInvitation on resource: arn:aws:detective:us-east-1:444455556666:graph:567856785678
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `arn:aws:detective:us-east-1:444455556666:graph:567856785678` auf die Ressource `detective:AcceptInvitation` zugreifen zu können.
## Ich bin nicht berechtigt, iam durchzuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an Detective übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Detective auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Detective-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen dazu, ob Detective diese Funktionen unterstützt, finden Sie unter [So funktioniert Amazon Detective mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Compliance-Validierung für Amazon Detective
Amazon Detective fällt in den Geltungsbereich des AWS Versicherungsprogramms. Weitere Informationen finden Sie unter [Gemeinsamer Sicherheitsrahmen der Health Information Trust Alliance (HITRUST)](https://aws.amazon.com/compliance/services-in-scope/HITRUST-CSF/) .
Eine Liste der AWS Services im Rahmen bestimmter Compliance-Programme finden Sie unter [AWSServices im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte in AWS Artifact herunterladen Berichte in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
AWS bietet die folgenden Ressourcen zur Unterstützung bei der Einhaltung von Vorschriften:
+ [Schnellstartanleitungen zu Sicherheit und Compliance Kurzanleitungen](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — In den Sicherheits- und Compliance-Leitfäden werden architektonische Überlegungen erörtert und Schritte zur Implementierung von sicherheits- und Compliance-orientierten Basisumgebungen beschrieben AWS.
+ [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Entwicklerhandbuch* — Der AWS Config Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus, sodass Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# Ausfallsicherheit bei Amazon Detective
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur nutzt Detective die in Amazon DynamoDB und Amazon Simple Storage Service (Amazon S3) integrierte Resilienz. Weitere Informationen finden Sie unter [Resilienz und Notfallwiederherstellung in Amazon DynamoDB](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/disaster-recovery-resiliency.html) und [Resilienz in Amazon Simple Storage Service](https://docs.aws.amazon.com//AmazonS3/latest/userguide/disaster-recovery-resiliency.html).
Die Detective-Architektur ist auch widerstandsfähig gegen den Ausfall einer einzelnen Availability Zone. Diese Resilienz ist in Detective integriert und erfordert keine Konfiguration.
# Sicherheit der Infrastruktur in Amazon Detective
Als verwalteter Service ist Amazon Detective durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Detective zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Amazon Detective- und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink
Sie können eine private Verbindung zwischen Ihrer VPC und Amazon Detective herstellen, indem Sie einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben [AWS PrivateLink](https://aws.amazon.com/privatelink), die es Ihnen ermöglicht, privat auf Detective zuzugreifen, APIs ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Detective APIs zu kommunizieren. Der Verkehr zwischen Ihrer VPC und Detective verlässt das Amazon-Netzwerk nicht.
Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen dargestellt.
*Weitere Informationen finden Sie im [Handbuch unter Interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
## Überlegungen zu Detective VPC-Endpunkten
Bevor Sie einen Schnittstellen-VPC-Endpunkt für Detective einrichten, stellen Sie sicher, dass Sie die [Eigenschaften und Einschränkungen der Schnittstellenendpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) im *AWS PrivateLink Handbuch* lesen.
Detective unterstützt Aufrufe all seiner API-Aktionen von Ihrer VPC aus.
Detective unterstützt FIPS in den folgenden Regionen:
+ USA Ost (Nord-Virginia)
+ USA Ost (Ohio)
+ USA West (Nordkalifornien)
+ USA West (Oregon)
+ Kanada (Zentral)
## Erstellen eines VPC-Schnittstellen-Endpunkts für Detective
Sie können einen VPC-Endpunkt für den Detective Service entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im *AWS PrivateLink -Leitfaden*.
Erstellen Sie einen VPC-Endpunkt für Detective mit dem folgenden Dienstnamen:
+ com.amazonaws. *region*. Detektiv
+ com.amazonaws. *region*.detective-fips
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Detective stellen, indem Sie den Standard-DNS-Namen für die Region verwenden, `api.detective.us-east-1.amazonaws.com` z. B. Weitere Informationen finden Sie unter [Amazon Detective Endpoints](https://docs.aws.amazon.com/general/latest/gr/detective.html) in der *Allgemeine Amazon Web Services-Referenz*.
Weitere Informationen finden Sie im *AWS PrivateLink Handbuch* unter [Zugreifen auf einen Service über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint).
## Erstellen einer VPC-Endpunktrichtlinie für Detective
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Detective steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
*Weitere Informationen finden Sie im Handbuch unter [Steuern des Zugriffs auf Dienste mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink *
**Beispiel: VPC-Endpunktrichtlinie für Detective-Aktionen**
Das Folgende ist ein Beispiel für eine Endpunktrichtlinie für Detective. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Principals auf allen Ressourcen Zugriff auf die aufgelisteten Detective-Aktionen.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"detective:ListGraphs",
"detective:ListMembers"
],
"Resource":"*"
}
]
}
```
## Gemeinsam genutzte Subnetze
Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Weitere Informationen zur Freigabe von VPCs finden Sie unter [Freigeben Ihrer VPC für andere Konten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon-VPC-Benutzerhandbuch*.
# Bewährte Sicherheitsmethoden für Detective
Detective enthält eine Reihe von Sicherheitsfeatures, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Für Detective beziehen sich die bewährten Sicherheitsmethoden auf die Verwaltung der Konten in einem Verhaltensdiagramm.
## Bewährte Methoden für Detective-Administratorkonten
Wenn du Mitgliedskonten zu deinem Detective Behavior Graph einlädst, lade nur Accounts ein, die du beaufsichtigst.
Beschränken Sie den Zugriff auf das Verhaltensdiagramm. Benutzer mit dieser [AmazonDetectiveFullAccess](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-amazondetectivefullaccess)Richtlinie können Zugriff auf alle Detective-Aktionen gewähren. Prinzipale mit diesen Berechtigungen können Mitgliedskonten verwalten, ihrem Verhaltensdiagramm Tags hinzufügen und Detective für Ermittlungen verwenden. Wenn ein Benutzer Zugriff auf ein Verhaltensdiagramm hat, kann er alle Erkenntnisse für die Mitgliedskonten sehen. Solche Erkenntnisse können sensible Sicherheitsinformationen preisgeben.
## Bewährte Methoden für Mitgliedskonten
Wenn Sie eine Einladung zu einem Verhaltensdiagramm erhalten, stellen Sie sicher, dass Sie die Quelle der Einladung überprüfen.
Überprüfen Sie die AWS Konto-ID des Administratorkontos, das die Einladung gesendet hat. Vergewissern Sie sich, dass Sie wissen, wem das Konto gehört und ob das einladende Konto einen legitimen Grund hat, Ihre Sicherheitsdaten zu überwachen.