Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 2 : Ajouter les autorisations IAM requises à votre compte dans Detective
Cette rubrique explique les détails de la politique d'autorisation Gestion des identités et des accès AWS (IAM) que vous devez ajouter à votre identité IAM.
Pour activer l'intégration de Detective à Security Lake, vous devez associer la politique d'autorisation Gestion des identités et des accès AWS (IAM) suivante à votre identité IAM.
Attachez au rôle les politiques en ligne suivantes. Remplacez athena-results-bucket par le nom de votre compartiment Amazon S3 si vous souhaitez utiliser votre propre compartiment Amazon S3 pour stocker les résultats des requêtes Athena. Si vous souhaitez que Detective génère automatiquement un compartiment Amazon S3 pour stocker le résultat des requêtes Athena, supprimez l’intégralité de S3ObjectPermissions de la politique IAM.
Si vous ne disposez pas des autorisations requises pour associer cette politique à votre identité IAM, contactez votre AWS administrateur. Si vous disposez des autorisations requises mais qu'un problème survient, consultez la section Résoudre les messages d'erreur liés au refus d'accès dans le guide de l'utilisateur IAM.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "S3ObjectPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:123456789012:database/amazon_security_lake*",
"arn:aws:glue:*:123456789012:table/amazon_security_lake*/amazon_security_lake*",
"arn:aws:glue:*:123456789012:catalog"
]
},
{
"Effect": "Allow",
"Action": [
"athena:BatchGetQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryRuntimeStatistics",
"athena:GetWorkGroup",
"athena:ListQueryExecutions",
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"lakeformation:GetDataAccess",
"ram:ListResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath"
],
"Resource": [
"arn:aws:ssm:*:123456789012:parameter/Detective/SLI"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:GetTemplateSummary",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"securitylake.amazonaws.com"
]
}
}
}
]
}
