Paso 2: Añadir los permisos de IAM necesarios a su cuenta en Detective

En este tema se explican los detalles de la política de permisos AWS Identity and Access Management (de IAM) que debe añadir a su identidad de IAM.

Para habilitar la integración de Detective con Security Lake, debe adjuntar la siguiente política de permisos AWS Identity and Access Management (IAM) a su identidad de IAM.

Asocie las siguientes políticas insertadas al rol. Sustituya athena-results-bucket por el nombre de su bucket de Amazon S3 si quiere utilizar su propio bucket de Amazon S3 para almacenar los resultados de consultas de Athena. Si desea que Detective genere automáticamente un bucket de Amazon S3 para almacenar el resultado de la consulta de Athena, elimine todos los S3ObjectPermissions de la política de IAM.

Si no dispone de los permisos necesarios para adjuntar esta política a su identidad de IAM, póngase en contacto con su administrador. AWS Si tiene los permisos necesarios pero se produce un problema, consulte Solucionar problemas con los mensajes de error de acceso denegado en la Guía del usuario de IAM.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetPartitions",
                "glue:GetTable",
                "glue:GetTables"
            ],
            "Resource": [
                "arn:aws:glue:*:123456789012:database/amazon_security_lake*",
                "arn:aws:glue:*:123456789012:table/amazon_security_lake*/amazon_security_lake*",
                "arn:aws:glue:*:123456789012:catalog"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryRuntimeStatistics",
                "athena:GetWorkGroup",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "lakeformation:GetDataAccess",
                "ram:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Resource": [
                "arn:aws:ssm:*:123456789012:parameter/Detective/SLI"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetTemplateSummary",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "securitylake.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Mostrar menos

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Paso 1: Crear un suscriptor de Security Lake en Detective

Paso 3: Aceptar la invitación del ARN de Resource Share