Aktionen Ressourcentypen Bedingungsschlüssel

Aktionen, Ressourcen und Bedingungsschlüssel für AWS Security Agent

AWS Der Security Agent (Dienstpräfix:securityagent) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.

Referenzen:

Erfahren Sie, wie Sie diesen Service konfigurieren.
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.

Themen

Vom Security Agent definierte Aktionen AWS
Vom AWS Security Agent definierte Ressourcentypen
Bedingungsschlüssel für den AWS Security Agent

Vom Security Agent definierte Aktionen AWS

Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.

In der Spalte Zugriffsebene der Tabelle Aktionen wird beschrieben, wie die Aktion klassifiziert wird (Liste, Lesen, Rechteverwaltung oder Tagging). Diese Klassifizierung gibt an, welche Zugriffsebene die betreffende Aktion gewährt, wenn Sie sie in einer Richtlinie verwenden. Weitere Informationen zu Zugriffsebenen finden Sie unter Zugriffsebenen in Richtlinienzusammenfassungen.

Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.

Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.

In der Spalte „Abhängige Aktionen“ der Tabelle „Aktionen“ werden zusätzliche Berechtigungen angezeigt, die möglicherweise erforderlich sind, um eine Aktion erfolgreich aufzurufen. Diese Berechtigungen sind möglicherweise zusätzlich zu den Berechtigungen für die Aktion selbst erforderlich. Wenn eine Aktion abhängige Aktionen spezifiziert, können diese Abhängigkeiten für zusätzliche Ressourcen gelten, die für diese Aktion definiert wurden, nicht nur für die erste Ressource, die in der Tabelle aufgeführt ist.

Anmerkung

Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.

Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen

Aktionen	Beschreibung	Zugriffsebene	Ressourcentypen (*erforderlich)	Bedingungsschlüssel	Abhängige Aktionen
AddArtifact	Erteilt die Erlaubnis, ein Artifact für den angegebenen Agentenbereich hinzuzufügen	Schreiben	AgentSpace*
BatchDeletePentests	Erteilt die Erlaubnis, mehrere Penetrationstests in einer einzigen Anfrage zu löschen	Schreiben	AgentSpace*		kms:Decrypt
BatchGetAgentSpaces	Erteilt die Erlaubnis, mehrere Agentenbereiche in einer einzigen Anfrage abzurufen	Lesen	AgentSpace*		kms:Decrypt
BatchGetArtifactMetadata	Erteilt die Erlaubnis, einen oder mehrere Artefakt-Metadaten-Datensätze für den angegebenen Agentenbereich abzurufen	Lesen	AgentSpace*
BatchGetFindings	Erteilt die Erlaubnis, mehrere Ergebnisse von Sicherheitstests in einer einzigen Anfrage abzurufen	Lesen	AgentSpace*		kms:Decrypt
BatchGetPentestJobContentMetadata	Erteilt die Berechtigung zum Abrufen mehrerer Metadaten für Pentest-Jobinhalte in einer einzigen Anfrage	Lesen	AgentSpace*		kms:Decrypt
BatchGetPentestJobTasks	Erteilt die Berechtigung zum Abrufen mehrerer Pentest-Jobaufgaben in einer einzigen Anfrage	Lesen	AgentSpace*		kms:Decrypt
BatchGetPentestJobs	Erteilt die Berechtigung zum Abrufen mehrerer Sicherheitstest-Jobs in einer einzigen Anfrage	Lesen	AgentSpace*		kms:Decrypt
BatchGetPentests	Erteilt die Erlaubnis, mehrere Penetrationstests in einer einzigen Anfrage abzurufen	Lesen	AgentSpace*		kms:Decrypt
BatchGetTargetDomains	Erteilt die Berechtigung zum Abrufen mehrerer Zieldomänen in einer einzigen Anfrage	Lesen	TargetDomain*
CreateAgentSpace	Erteilt die Berechtigung zum Erstellen eines Agent-Space-Datensatzes	Schreiben		aws:RequestTag/${TagKey} aws:TagKeys	kms:Decrypt kms:DescribeKey kms:GenerateDataKeyWithoutPlaintext
CreateApplication	Gewährt die Berechtigung zum Erstellen einer neuen Anwendung	Schreiben		aws:RequestTag/${TagKey} aws:TagKeys	iam:PassRole kms:DescribeKey sso:CreateApplication
CreateDesignReview	Erteilt die Erlaubnis, eine Entwurfsprüfung zu erstellen	Schreiben	AgentSpace*
CreateIntegration	Erteilt die Erlaubnis, eine Sicherheitstest-Integration zu erstellen	Schreiben		aws:RequestTag/${TagKey} aws:TagKeys
CreateMembership	Erteilt die Berechtigung, einem Agentbereich ein einzelnes Mitglied mit der angegebenen Rolle hinzuzufügen	Schreiben	AgentSpace*
CreateOneTimeLoginSession	Erteilt die Erlaubnis, eine einmalige Anmeldesitzung zu erstellen	Schreiben	AgentSpace*
CreatePentest	Erteilt die Erlaubnis, eine neue Penetrationstest-Konfiguration zu erstellen	Schreiben	AgentSpace*		kms:Decrypt
CreateSecurityRequirement	Erteilt die Berechtigung zum Hinzufügen einer vom Kunden verwalteten Sicherheitsanforderung	Schreiben	SecurityRequirementPack*
CreateTargetDomain	Erteilt die Berechtigung zum Erstellen eines Zieldomäneneintrags	Schreiben
DeleteAgentSpace	Erteilt die Berechtigung zum Löschen eines Agent-Space-Datensatzes	Schreiben	AgentSpace*		kms:Decrypt
DeleteApplication	Erteilt die Berechtigung zum Löschen einer Anwendung	Schreiben	Application*
DeleteArtifact	Erteilt die Erlaubnis, ein Artifact zu löschen	Schreiben	AgentSpace*
DeleteDesignReview	Erteilt die Erlaubnis, eine Entwurfsprüfung zu löschen	Schreiben	AgentSpace*
DeleteIntegration	Erteilt die Erlaubnis, die Integration einer Anwendung zu löschen	Schreiben	Integration*
DeleteMembership	Erteilt die Berechtigung, ein einzelnes Mitglied zu entfernen, das einem Agentenbereich zugeordnet ist	Schreiben	AgentSpace*
DeleteSecurityRequirement	Erteilt die Berechtigung zum Löschen einer vom Kunden verwalteten Sicherheitsanforderung	Schreiben	SecurityRequirementPack*
DeleteTargetDomain	Erteilt die Berechtigung zum Löschen eines Zieldomäneneintrags	Schreiben	TargetDomain*
GetApplication	Erteilt die Berechtigung, Anwendungsdetails anhand der Anwendungs-ID abzurufen	Lesen	Application*
GetArtifact	Erteilt die Erlaubnis, ein Artifact für den angegebenen Agentenbereich abzurufen	Lesen	AgentSpace*
GetDesignReview	Erteilt die Erlaubnis, den Status der Entwurfsprüfung für den zugehörigen Agentenbereich abzurufen	Lesen	AgentSpace*
GetDesignReviewArtifact	Erteilt die Erlaubnis, ein Entwurfsprüfungsartefakt für ein bestimmtes Dokument abzurufen	Lesen	AgentSpace*
GetDesignReviewFeedback	Erteilt die Erlaubnis, Feedback zu einem Kommentar zur Entwurfsprüfung zu erhalten	Lesen	AgentSpace*
GetIntegration	Erteilt die Erlaubnis, die Integrationsmetadaten nach ID abzurufen	Lesen	Integration*
GetSecurityRequirement	Erteilt die Erlaubnis zum Abrufen einer Sicherheitsanforderung	Lesen	SecurityRequirementPack*
InitiateProviderRegistration	Erteilt die Berechtigung, die Registrierung der Security Agent App für den angegebenen Anbieter zu initiieren (z. B.: GitHub)	Schreiben
ListAgentSpaces	Erteilt die Berechtigung, Agent-Spaces aufzulisten	Auflisten
ListApplications	Erteilt die Erlaubnis, alle Anwendungen im Konto aufzulisten	Auflisten
ListArtifacts	Erteilt die Berechtigung, alle Artefakte für den angegebenen Agentenbereich aufzulisten	Auflisten	AgentSpace*
ListDesignReviewComments	Erteilt die Erlaubnis, Kommentare zur Entwurfsprüfung aufzulisten	Auflisten	AgentSpace*
ListDesignReviews	Erteilt die Berechtigung, alle Entwurfsprüfungen für den angegebenen Agentenbereich aufzulisten	Auflisten	AgentSpace*
ListDiscoveredEndpoints	Erteilt die Berechtigung, entdeckte Endpunkte aufzulisten, die einem Pentest-Job zugeordnet sind, mit optionaler URI-Präfixfilterung	Auflisten	AgentSpace*		kms:Decrypt
ListFindings	Erteilt die Erlaubnis, Ergebnisse mit Unterstützung für Filterung und Paginierung aufzulisten	Auflisten	AgentSpace*		kms:Decrypt
ListIntegratedResources	Erteilt die Berechtigung, integrierte Ressourcen für einen Agentenbereich aufzulisten	Auflisten	AgentSpace*
ListIntegrations	Erteilt die Erlaubnis, die Integrationen abzurufen, die dem Anrufer gehören AWS-Konto	Auflisten
ListMemberships	Erteilt die Berechtigung, alle Mitglieder aufzulisten, die einem Agentbereich mit Paginierungsunterstützung zugeordnet sind	Auflisten	AgentSpace*
ListPentestJobTasks	Erteilt die Berechtigung zum Auflisten von Pentest-Aufgaben, die mit einem Pentest-Job verknüpft sind	Auflisten	AgentSpace*		kms:Decrypt
ListPentestJobsForPentest	Erteilt die Erlaubnis, Penetrationstest-Jobs aufzulisten, die mit einem Penetrationstest verknüpft sind	Auflisten	AgentSpace*		kms:Decrypt
ListPentests	Erteilt die Erlaubnis, Penetrationstests mit optionaler Filterung nach Status aufzulisten	Auflisten	AgentSpace*		kms:Decrypt
ListResourcesFromIntegration	Erteilt die Erlaubnis, Ressourcen aus der Integration aufzulisten	Auflisten	Integration*
ListSecurityRequirements	Erteilt die Erlaubnis, alle Sicherheitsanforderungen aufzulisten	Auflisten	SecurityRequirementPack*
ListTagsForResource	Gewährt die Berechtigung zum Auflisten der Tags für eine Ressource	Lesen	AgentSpace
			Application
			Integration
			SecurityRequirementPack
			TargetDomain
ListTargetDomains	Erteilt die Erlaubnis, Zieldomänen aufzulisten	Auflisten
PutDesignReviewFeedback	Erteilt die Erlaubnis, Feedback zu einem Kommentar zur Entwurfsprüfung einzureichen	Schreiben	AgentSpace*
StartCodeRemediation	Erteilt die Erlaubnis, mit der Codekorrektur für die Ergebnisse zu beginnen	Schreiben	AgentSpace*		kms:Decrypt kms:GenerateDataKey
StartPentestJob	Erteilt die Erlaubnis, die Durchführung eines Penetrationstests einzuleiten	Schreiben	AgentSpace*		kms:Decrypt kms:GenerateDataKey
StopPentestJob	Erteilt die Erlaubnis, die Ausführung eines laufenden Penetrationstests zu beenden	Schreiben	AgentSpace*		kms:Decrypt
TagResource	Gewährt die Berechtigung zum Hinzufügen von Tags zu einer Ressource	Tagging	AgentSpace
			Application
			Integration
			SecurityRequirementPack
			TargetDomain
				aws:RequestTag/${TagKey} aws:TagKeys
ToggleManagedSecurityRequirement	Erteilt die Berechtigung, den Status einer verwalteten Sicherheitsanforderung umzuschalten	Schreiben	SecurityRequirementPack*
UntagResource	Gewährt die Berechtigung zum Entfernen von Tags aus einer Ressource	Tagging	AgentSpace
			Application
			Integration
			SecurityRequirementPack
			TargetDomain
				aws:TagKeys
UpdateAgentSpace	Erteilt die Berechtigung, einen Agent-Space-Datensatz zu aktualisieren	Schreiben	AgentSpace*		kms:Decrypt
UpdateApplication	Erteilt die Berechtigung zum Aktualisieren der Anwendungskonfiguration	Schreiben	Application*		iam:PassRole kms:DescribeKey
UpdateFinding	Erteilt die Berechtigung, eine bestehende Sicherheitsfeststellung mit neuen Details oder einem neuen Status zu aktualisieren	Schreiben	AgentSpace*		kms:Decrypt
UpdateIntegratedResources	Erteilt die Berechtigung zum Aktualisieren integrierter Ressourcen für einen Agentbereich	Schreiben	AgentSpace*
UpdatePentest	Erteilt die Erlaubnis, einen vorhandenen Penetrationstest mit einer neuen Konfiguration oder neuen Einstellungen zu aktualisieren	Schreiben	AgentSpace*		kms:Decrypt
UpdateSecurityRequirement	Erteilt die Erlaubnis, eine vom Kunden verwaltete Sicherheitsanforderung zu aktualisieren	Schreiben	SecurityRequirementPack*
UpdateTargetDomain	Erteilt die Berechtigung zum Aktualisieren eines Zieldomäneneintrags	Schreiben	TargetDomain*
VerifyTargetDomain	Erteilt die Erlaubnis, die Inhaberschaft einer registrierten Zieldomain zu überprüfen	Schreiben	TargetDomain*

Vom AWS Security Agent definierte Ressourcentypen

Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.

Ressourcentypen	ARN	Bedingungsschlüssel
Application	`arn:${Partition}:securityagent:${Region}:${Account}:application/${ApplicationId}`	aws:ResourceTag/${TagKey}
SecurityRequirementPack	`arn:${Partition}:securityagent:${Region}:${Account}:security-requirement-pack/${SecurityRequirementPackId}`	aws:ResourceTag/${TagKey}
Integration	`arn:${Partition}:securityagent:${Region}:${Account}:integration/${IntegrationId}`	aws:ResourceTag/${TagKey}
AgentSpace	`arn:${Partition}:securityagent:${Region}:${Account}:agent-space/${AgentId}`	aws:ResourceTag/${TagKey}
TargetDomain	`arn:${Partition}:securityagent:${Region}:${Account}:target-domain/${TargetDomainId}`	aws:ResourceTag/${TagKey}

Bedingungsschlüssel für den AWS Security Agent

AWS Der Security Agent definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).

Die globalen Bedingungsschlüssel, die für alle Dienste verfügbar sind, finden Sie unter AWS Globale Bedingungskontextschlüssel.

Bedingungsschlüssel	Beschreibung	Typ
aws:RequestTag/${TagKey}	Filtert den Zugriff durch die Tags, die in der Anfrage übergeben werden	Zeichenfolge
aws:ResourceTag/${TagKey}	Filtert den Zugriff basierend auf den Tags, die der Ressource zugeordnet sind.	Zeichenfolge
aws:TagKeys	Filtert den Zugriff basierend auf den Tag-Schlüssel, die in der Anfrage übergeben werden	ArrayOfString

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Secrets Manager

AWS Security Hub