Políticas basadas en identidades de Detective Políticas de Detective basadas en recursos (no compatibles)Autorización basada en etiquetas de gráficos de comportamiento de Detective Roles de IAM en Detective

Cómo funciona Amazon Detective con IAM

De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de Amazon Detective. Tampoco pueden realizar tareas con la Consola de administración de AWS AWS CLI, o la AWS API. Un administrador de Detectives debe tener políticas AWS Identity and Access Management (IAM) que concedan permiso a los usuarios y roles de IAM para realizar operaciones de API específicas en los recursos específicos que necesitan. El administrador debe asociar esas políticas a la entidad principal que necesite esos permisos.

Detective utiliza políticas de IAM basadas en identidades para conceder permisos relacionados con los siguientes tipos de usuarios y acciones:

Cuentas de administrador: la cuenta de administrador es el propietario de un determinado gráfico de comportamiento, que utiliza los datos de su cuenta. Las cuentas de administrador pueden invitar a cuentas de miembros para que aporten datos al gráfico de comportamiento. La cuenta de administrador también puede usar el gráfico de comportamiento para clasificar e investigar los hallazgos y los recursos asociados a esas cuentas.

Puede configurar políticas para que todos los usuarios, además de las cuentas de administrador, puedan llevar a cabo distintas tareas. Por ejemplo, un usuario de una cuenta de administrador puede tener permisos únicamente para administrar cuentas de miembros. Es posible que otro usuario solo tenga permisos para usar el gráfico de comportamiento con fines de investigación.
Cuentas de miembros: una cuenta de miembro es una cuenta a la que se le ha invitado a aportar datos a un gráfico de comportamiento. Para ello, la cuenta de miembro debe responder a una invitación. Después de aceptarla, la cuenta de miembro puede eliminar su cuenta del gráfico de comportamiento.

Para obtener una visión general de cómo los Detectives y otras personas Servicios de AWS trabajan con IAM, consulte Creación de políticas en la pestaña JSON de la Guía del usuario de IAM.

Políticas basadas en identidades de Detective

Con las políticas basadas en identidad de IAM, puede especificar las acciones y recursos permitidos o denegados. Detective admite acciones, claves de condición y recursos específicos.

Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte Referencia de los elementos de las políticas JSON de IAM en la Guía del usuario de IAM.

Acciones

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.

El elemento Action de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.

Las instrucciones de la política deben incluir un elemento Action o NotAction. El elemento Action enumera las acciones permitidas por la política, mientras que el elemento NotAction enumera las no permitidas.

Las acciones definidas para Detective le indican las tareas que puede llevar a cabo con Detective. Las acciones de políticas en Detective tienen el siguiente prefijo: detective:.

Por ejemplo, si desea conceder permiso para utilizar la operación de la API CreateMembers e invitar cuentas de miembros a un gráfico de comportamiento, debe incluir la acción detective:CreateMembers en su política.

Para especificar varias acciones en una única instrucción, sepárelas con comas. Por ejemplo, en el caso de una cuenta de miembro, la política incluye el conjunto de acciones relacionadas con la administración de invitaciones:


"Action": [
      "detective:ListInvitations",
      "detective:AcceptInvitation",
      "detective:RejectInvitation",
      "detective:DisassociateMembership
]

También puede utilizar comodines (*) para especificar varias acciones. Por ejemplo, para gestionar los datos utilizados en un gráfico de rendimiento, las cuentas de administrador de Detective deben poder llevar a cabo las siguientes tareas:

Consultar la lista de cuentas de miembros (ListMembers)
Obtener información sobre determinadas cuentas de miembros (GetMembers)
Invitar cuentas de miembros al gráfico de comportamiento (CreateMembers)
Eliminar miembros del gráfico de comportamiento (DeleteMembers)

En lugar de enumerar estas acciones por separado, puede otorgar acceso a todas las acciones que terminan con la palabra Members. La política necesaria para ello incluiría la siguiente acción:


"Action": "detective:*Members"

Para ver una lista de las acciones de Detective, consulte Acciones definidas por Amazon Detective en la Referencia de autorizaciones de servicio.

Recursos

El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.


"Resource": "*"

Para obtener más información sobre el formato de ARNs, consulte Amazon Resource Names (ARNs) y AWS Service Namespaces.

En el caso de Detective, el único tipo de recurso disponible es el gráfico de comportamiento. El recurso del gráfico de comportamiento de Detective tiene el siguiente ARN:


arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}

En este ejemplo, el gráfico de comportamiento tiene los siguientes valores:

La región del gráfico de comportamiento es us-east-1.
El ID de la cuenta de administrador es 111122223333.
El ID del gráfico de comportamiento es 027c7c4610ea4aacaf0b883093cab899.

Si quisiera identificar este gráfico de comportamiento en una instrucción Resource, tendría que utilizar el siguiente ARN:


"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"

Se utilizan comas para separar los distintos recursos de una instrucción Resource.


"Resource": [
      "resource1",
      "resource2"
]

Por ejemplo, se puede invitar a la misma AWS cuenta a ser una cuenta miembro en más de un gráfico de comportamiento. En este caso, en la política de dicha cuenta de miembro, la instrucción Resource indica los gráficos de comportamiento a los que se ha invitado la cuenta.


"Resource": [
      "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
      "arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]

Algunas acciones de Detective, como crear un gráfico de comportamiento y enumerar gráficos de comportamiento o sus correspondientes invitaciones, no se llevan a cabo para un gráfico de comportamiento en concreto. En el caso de estas acciones, la instrucción Resource debe incluir el carácter comodín (*).


"Resource": "*"

En el caso de las acciones de la cuenta de administrador, Detective verifica siempre que el usuario que ha realizado la solicitud pertenece a la cuenta de administrador del gráfico de comportamiento correspondiente. En el caso de las acciones de cuentas de miembros, Detective verifica siempre que el usuario que ha realizado la solicitud pertenece a la cuenta de miembro. Incluso si una política de IAM concede acceso a un gráfico de comportamiento, si el usuario no pertenece a la cuenta correcta, no podrá realizar la acción.

La política de IAM debe incluir el ARN del gráfico en todas las acciones que se lleven a cabo para un gráfico de comportamiento específico. El ARN del gráfico se puede agregar más adelante. Por ejemplo, cuando una cuenta habilita Detective por primera vez, la política de IAM inicial proporciona acceso a todas las acciones de Detective, ya que se utiliza el carácter comodín para el ARN del gráfico. De esta forma, el usuario puede empezar a administrar de inmediato las cuentas de miembros y llevar a cabo investigaciones con el gráfico de comportamiento. Una vez que se ha creado el gráfico de comportamiento, puede agregar el ARN del gráfico a la política y actualizarla.

Claves de condición

El elemento Condition especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.

Detective no define su propio conjunto de claves de condición, aunque sí admite el uso de claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.

Para obtener información sobre las acciones y los recursos que le permiten utilizar una clave de condición, consulte Acciones definidas por Amazon Detective.

Ejemplos

Para ver ejemplos de políticas basadas en identidades de Detective, consulte Ejemplos de políticas de basadas en identidades de Amazon Detective.

Políticas de Detective basadas en recursos (no compatibles)

Detective no admite políticas basadas en recursos.

Autorización basada en etiquetas de gráficos de comportamiento de Detective

Se pueden asignar valores de etiqueta a cada gráfico de comportamiento. Puede utilizar estos valores de etiqueta en instrucciones de condición para administrar el acceso al gráfico de comportamiento.

La instrucción de condición de un valor de etiqueta utiliza el siguiente formato.


{"StringEquals"{"aws:ResourceTag/<tagName>": "<tagValue>"}}

En el siguiente ejemplo, el código se utiliza para permitir o denegar una acción cuando el valor de la etiqueta Department es Finance.


{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}

Para ver ejemplos de políticas que utilizan valores de etiqueta de recursos, consulte Cuenta de administrador: restricción del acceso en función de valores de etiqueta.

Roles de IAM en Detective

Un rol de IAM es una entidad de tu AWS cuenta que tiene permisos específicos.

Uso de credenciales temporales con Detective

Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como AssumeRoleo GetFederationToken.

Detective admite el uso de credenciales temporales.

Roles vinculados a servicios

Los roles vinculados a un servicio permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.

Para obtener más información acerca de cómo crear o administrar roles vinculados a servicios de Detective, consulte Usar roles vinculados a servicios para Detective.

Roles de servicio (no compatibles)

Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

Detective no admite roles de servicio.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Identity and Access Management

Ejemplos de políticas basadas en identidades