Exemples d’utilisation de l’AWS CLI avec Detective - AWS Command Line Interface
Actions

Exemples d’utilisation de l’AWS CLI avec Detective

Les exemples de code suivants montrent comment réaliser des actions et mettre en œuvre des scénarios courants en utilisant AWS Command Line Interface avec Detective.

Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous indiquent comment appeler des fonctions de service individuelles, vous pouvez les voir en contexte dans leurs scénarios associés.

Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la configuration et l’exécution du code en contexte.

Rubriques

Actions

L’exemple de code suivant montre comment utiliser accept-invitation.

AWS CLI

Pour accepter une invitation à devenir un compte membre dans un graphe de comportement

L’exemple accept-invitation suivant accepte une invitation à devenir un compte membre dans le graphe de comportement arn:aws:detective:us-east-1:111122223333:graph:123412341234.

aws detective accept-invitation \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Réponse à une invitation de graphe de comportement dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez AcceptInvitation dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser create-graph.

AWS CLI

Pour activer Amazon Detective et créer un graphe de comportement

L’exemple create-graph suivant active Detective pour le compte AWS qui exécute la commande dans la région où la commande est exécutée. Un graphe de comportement est créé avec ce compte comme compte administrateur. La commande affecte également la valeur Finance à la balise Department.

aws detective create-graph \
    --tags '{"Department": "Finance"}'

Sortie :

{
    "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
}

Pour plus d’informations, consultez Activation d’Amazon Detective dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez CreateGraph dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser create-members.

AWS CLI

Pour inviter des comptes membres à accéder à un graphe de comportement

L’exemple create-members suivant invite deux comptes AWS à devenir des comptes membres dans le graphe de comportement arn:aws:detective:us-east-1:111122223333:graph:123412341234. Pour chaque compte, la demande fournit l’ID du compte AWS et l’adresse e-mail de l’utilisateur racine du compte. La demande inclut un message personnalisé à insérer dans l’e-mail d’invitation.

aws detective create-members \
    --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."

Sortie :

{
    "Members": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
   },
   {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "VERIFICATION_IN_PROGRESS",
        "UpdatedTime": 1579826107000
     }
    ],
    "UnprocessedAccounts": [ ]
}

Pour plus d’informations, consultez Invitation des comptes membres à accéder à un graphe de comportement<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-add-member-accounts.html> dans le Guide de l’administrateur Amazon Detective.

Pour inviter des comptes membres sans envoyer d’e-mails d’invitation

L’exemple create-members suivant invite deux comptes AWS à devenir des comptes membres dans le graphe de comportement arn:aws:detective:us-east-1:111122223333:graph:123412341234. Pour chaque compte, la demande fournit l’ID du compte AWS et l’adresse e-mail de l’utilisateur racine du compte. Les comptes membres ne reçoivent pas d’e-mails d’invitation.

aws detective create-members \
    --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --disable-email-notification

Sortie :

{
    "Members": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
   },
   {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "VERIFICATION_IN_PROGRESS",
        "UpdatedTime": 1579826107000
     }
    ],
    "UnprocessedAccounts": [ ]
}

Pour plus d’informations, consultez Invitation des comptes membres à accéder à un graphe de comportement<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-add-member-accounts.html> dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez CreateMembers dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser delete-graph.

AWS CLI

Pour désactiver Detective et supprimer le graphe de comportement

L’exemple delete-graph suivant désactive Detective et supprime le graphe de comportement spécifié.

aws detective delete-graph \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Désactivation d’Amazon Detective dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez DeleteGraph dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser delete-members.

AWS CLI

Pour supprimer des comptes membres d’un graphe de comportement

L’exemple delete-members suivant supprime deux comptes membres du graphe de comportement arn:aws:detective:us-east-1:111122223333:graph:123412341234. Pour identifier les comptes, la demande fournit les ID des comptes AWS.

aws detective delete-members \
    --account-ids 444455556666 123456789012 \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Sortie :

 {
    "AccountIds": [ "444455556666", "123456789012" ],
    "UnprocessedAccounts": [ ]
}

Pour plus d’informations, consultez Suppression de comptes membres d’un graphe de comportement<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-remove-member-accounts.html> dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez DeleteMembers dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser disassociate-membership.

AWS CLI

Pour résilier une adhésion à un graphe de comportement

L’exemple disassociate-membership suivant supprime le compte AWS qui exécute la commande du graphe de comportement arn:aws:detective:us-east-1:111122223333:graph:123412341234.

aws detective disassociate-membership \
     --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Pour plus d’informations, consultez Suppression de votre compte d’un graphe de comportement<https://docs.aws.amazon.com/detective/latest/adminguide/member-remove-self-from-graph.html> dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez DisassociateMembership dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser get-members.

AWS CLI

Pour récupérer les informations sur les comptes membres sélectionnés dans un graphe de comportement

L’exemple get-members suivant récupère les informations sur deux comptes membres dans le graphe de comportement arn:aws:detective:us-east-1:111122223333:graph:123412341234. Pour les deux comptes, la demande fournit les ID des comptes AWS.

aws detective get-members \
    --account-ids 444455556666 123456789012 \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Sortie :

{
    "MemberDetails": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
    {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
],
    "UnprocessedAccounts": [ ]
}

Pour plus d’informations, consultez Affichage de la liste des comptes d’un graphe de comportement<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-view-accounts.html> dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez GetMembers dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser list-graphs.

AWS CLI

Pour afficher une liste des graphes de comportement dont votre compte est l’administrateur

L’exemple list-graphs suivant récupère les graphes de comportement dont le compte d’appel est l’administrateur dans la région actuelle.

aws detective list-graphs

Sortie :

{
    "GraphList": [
        {
            "Arn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "CreatedTime": 1579736111000
        }
    ]
}

  • Pour plus de détails sur l’API, consultez ListGraphs dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser list-invitations.

AWS CLI

Pour afficher une liste des graphes de comportement dont un compte est membre ou auquel il est invité

L’exemple list-invitations suivant récupère les graphes de comportement auxquels le compte appelant a été invité. Les résultats incluent uniquement les invitations ouvertes et les invitations acceptées. Ils n’incluent pas les invitations rejetées ni les adhésions supprimées.

aws detective list-invitations

Sortie :

{
    "Invitations": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
]
}

Pour plus d’informations, consultez Afficher la liste de vos invitations à des graphes de comportement<https://docs.aws.amazon.com/detective/latest/adminguide/member-view-graph-invitations.html> dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez ListInvitations dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser list-members.

AWS CLI

Pour répertorier les comptes membres d’un graphe de comportement

L’exemple list-members suivant récupère les comptes membres invités et activés pour le graphe de comportement arn:aws:detective:us-east-1:111122223333:graph:123412341234. Les résultats n’incluent pas les comptes membres qui ont été supprimés.

aws detective list-members \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Sortie :

{
    "MemberDetails": [
        {
            "AccountId": "444455556666",
            "AdministratorId": "111122223333",
            "EmailAddress": "mmajor@example.com",
            "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "InvitedTime": 1579826107000,
            "MasterId": "111122223333",
            "Status": "INVITED",
            "UpdatedTime": 1579826107000
        },
        {
            "AccountId": "123456789012",
            "AdministratorId": "111122223333",
            "EmailAddress": "jstiles@example.com",
            "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "InvitedTime": 1579826107000,
            "MasterId": "111122223333",
            "PercentOfGraphUtilization": 2,
            "PercentOfGraphUtilizationUpdatedTime": 1586287843,
            "Status": "ENABLED",
            "UpdatedTime": 1579973711000,
            "VolumeUsageInBytes": 200,
            "VolumeUsageUpdatedTime": 1586287843
        }
    ]
}

Pour plus d’informations, consultez Affichage de la liste des comptes d’un graphe de comportement dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez ListMembers dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser list-tags-for-resource.

AWS CLI

Pour récupérer les balises attribuées à un graphe de comportement

L’exemple list-tags-for-resource suivant renvoie les balises attribuées au graphe de comportement spécifié.

aws detective list-tags-for-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Sortie :

{
    "Tags": {
        "Department" : "Finance"
    }
}

Pour plus d’informations, consultez Gestion des balises pour un graphe de comportement dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez ListTagsForResource dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser reject-invitation.

AWS CLI

Pour rejeter une invitation à devenir un compte membre dans un graphe de comportement

L’exemple reject-invitation suivant rejette une invitation à devenir un compte membre dans le graphe de comportement arn:aws:detective:us-east-1:111122223333:graph:123412341234.

aws detective reject-invitation \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Réponse à une invitation de graphe de comportement<https://docs.aws.amazon.com/detective/latest/adminguide/member-invitation-response.html> dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez RejectInvitation dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser tag-resource.

AWS CLI

Pour attribuer une balise à une ressource

L’exemple tag-resource suivant attribue une valeur pour la balise Department au graphe de comportement spécifié.

aws detective tag-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --tags '{"Department":"Finance"}'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des balises pour un graphe de comportement dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez TagResource dans la Référence des commandes de l’AWS CLI.

L’exemple de code suivant montre comment utiliser untag-resource.

AWS CLI

Pour supprimer une valeur de balise d’une ressource

L’exemple untag-resource suivant supprime la balise Department du graphe de comportement spécifié.

aws detective untag-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --tag-keys "Department"

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des balises pour un graphe de comportement dans le Guide de l’administrateur Amazon Detective.

  • Pour plus de détails sur l’API, consultez UntagResource dans la Référence des commandes de l’AWS CLI.