Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di Amazon Detective
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman.
Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program kepatuhan AWS](https://aws.amazon.com/compliance/programs/).
Untuk mempelajari tentang program kepatuhan yang berlaku untuk Detektif Amazon, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Detective. Topik berikut menunjukkan cara mengonfigurasi Detektif untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Detektif Anda.
**Topics**
+ [Perlindungan data di Amazon Detective](data-protection.md)
+ [Manajemen identitas dan akses untuk Amazon Detective](security-iam.md)
+ [Validasi kepatuhan untuk Amazon Detective](detective-compliance.md)
+ [Ketahanan di Detektif Amazon](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di Amazon Detective](infrastructure-security.md)
+ [Detektif Amazon dan titik akhir VPC antarmuka ()AWS PrivateLink](detective-security-vpc-endpoints-privatelink.md)
+ [Praktik terbaik keamanan untuk Detektif](security-best-practices.md)
# Perlindungan data di Amazon Detective
Bagian AWS [model tanggung jawab bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Detective. Seperti yang dijelaskan dalam model ini, AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk menjaga kontrol atas konten Anda yang di-host di infrastruktur ini. Anda juga bertanggung jawab atas konfigurasi keamanan dan tugas manajemen untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat [Privasi Data FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Untuk informasi tentang perlindungan data di Eropa, lihat [AWS Model Tanggung Jawab Bersama dan posting GDPR ](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) blog di *AWS Blog Keamanan*.
Untuk tujuan perlindungan data, kami menyarankan Anda untuk melindungi Akun AWS kredensi dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.
+ GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang menggunakan CloudTrail jalur untuk menangkap AWS kegiatan, lihat [Bekerja dengan CloudTrail jalan setapak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan AWS solusi enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atauAPI, gunakan FIPS titik akhir. Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk ketika Anda bekerja dengan Detektif atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.
Detective mengenkripsi semua data yang diproses dan disimpan saat istirahat dan dalam perjalanan.
**Topics**
+ [Manajemen kunci untuk Amazon Detective](key-management.md)
# Manajemen kunci untuk Amazon Detective
Karena Detective tidak menyimpan data pelanggan yang dapat diidentifikasi secara pribadi, ia menggunakannya. Kunci yang dikelola AWS
Jenis kunci KMS ini dapat digunakan di beberapa akun. Lihat [deskripsi kunci yang AWS dimiliki di Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Jenis tombol KMS ini berputar secara otomatis setiap satu tahun (sekitar 365 hari). Lihat [deskripsi rotasi kunci di Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
# Manajemen identitas dan akses untuk Amazon Detective
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Detektif. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi Menggunakan Identitas](#security_iam_authentication)
+ [Mengelola Akses Menggunakan Kebijakan](#security_iam_access-manage)
+ [Bagaimana Amazon Detective bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas Detektif Amazon](security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk Amazon Detective](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk Detektif](using-service-linked-roles.md)
+ [Memecahkan masalah identitas dan akses Detektif Amazon](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses Detektif Amazon](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Amazon Detective bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas Detektif Amazon](security_iam_id-based-policy-examples.md))
## Mengautentikasi Menggunakan Identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan Grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola Akses Menggunakan Kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan Berbasis Identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan Berbasis Sumber Daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar Kontrol Akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Tipe Kebijakan Lainnya
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai Tipe Kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana Amazon Detective bekerja dengan IAM
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Detektif Amazon. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator Detektif harus memiliki kebijakan AWS Identity and Access Management (IAM) yang memberikan izin kepada pengguna dan peran IAM untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke kepala sekolah yang memerlukan izin tersebut.
Detective menggunakan kebijakan berbasis identitas IAM untuk memberikan izin untuk jenis pengguna dan tindakan berikut:
+ **Akun administrator** — Akun administrator adalah pemilik grafik perilaku, yang menggunakan data dari akun mereka. Akun administrator dapat mengundang akun anggota untuk menyumbangkan data mereka ke grafik perilaku. Akun administrator juga dapat menggunakan grafik perilaku untuk triase dan investigasi temuan dan sumber daya yang terkait dengan akun tersebut.
Anda dapat menyiapkan kebijakan agar pengguna selain akun administrator dapat melakukan berbagai jenis tugas. Misalnya, pengguna dari akun administrator mungkin hanya memiliki izin untuk mengelola akun anggota. Pengguna lain mungkin hanya memiliki izin untuk menggunakan grafik perilaku untuk penyelidikan.
+ **Akun anggota** — Akun anggota adalah akun yang diundang untuk menyumbangkan data ke grafik perilaku. Akun anggota menanggapi undangan. Setelah menerima undangan, akun anggota dapat menghapus akun mereka dari grafik perilaku.
*Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Detektif dan Layanan AWS lainnya dengan IAM, [lihat Membuat kebijakan pada tab JSON di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) IAM.*
## Kebijakan berbasis identitas Detektif
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi di mana tindakan diizinkan atau ditolak. Detective mendukung tindakan, sumber daya, dan kunci kondisi tertentu.
Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Pernyataan kebijakan harus mencakup `Action` elemen atau `NotAction` elemen. `Action`Elemen mencantumkan tindakan yang diizinkan oleh kebijakan. `NotAction`Elemen mencantumkan tindakan yang tidak diizinkan.
Tindakan yang didefinisikan untuk Detective mencerminkan tugas yang dapat Anda lakukan menggunakan Detective. Tindakan kebijakan di Detektif memiliki awalan berikut:. `detective:`
Misalnya, untuk memberikan izin menggunakan operasi `CreateMembers` API guna mengundang akun anggota ke grafik perilaku, Anda menyertakan `detective:CreateMembers` tindakan tersebut dalam kebijakan mereka.
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma. Misalnya, untuk akun anggota, kebijakan mencakup serangkaian tindakan yang terkait dengan pengelolaan undangan:
```
"Action": [
"detective:ListInvitations",
"detective:AcceptInvitation",
"detective:RejectInvitation",
"detective:DisassociateMembership
]
```
Anda juga dapat menggunakan wildcard (\$1) untuk menentukan beberapa tindakan. Misalnya, untuk mengelola data yang digunakan dalam grafik perilaku mereka, akun administrator di Detective harus dapat melakukan tugas-tugas berikut:
+ Lihat daftar akun anggota mereka (`ListMembers`).
+ Dapatkan informasi tentang akun anggota yang dipilih (`GetMembers`).
+ Undang akun anggota ke grafik perilaku mereka (`CreateMembers`).
+ Hapus anggota dari grafik perilaku mereka (`DeleteMembers`).
Alih-alih mencantumkan tindakan ini secara terpisah, Anda dapat memberikan akses ke semua tindakan yang diakhiri dengan kata tersebut`Members`. Kebijakan untuk itu dapat mencakup tindakan berikut:
```
"Action": "detective:*Members"
```
*Untuk melihat daftar tindakan Detektif, lihat [Tindakan yang ditentukan oleh Detektif Amazon di Referensi Otorisasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions) Layanan.*
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Untuk Detective, satu-satunya jenis sumber daya adalah grafik perilaku. Sumber daya grafik perilaku di Detective memiliki ARN berikut:
```
arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}
```
Misalnya, grafik perilaku memiliki nilai-nilai berikut:
+ Wilayah untuk grafik perilaku adalah`us-east-1`.
+ ID akun untuk ID akun administrator adalah`111122223333`.
+ ID grafik dari grafik perilaku adalah`027c7c4610ea4aacaf0b883093cab899`.
Untuk mengidentifikasi grafik perilaku ini dalam sebuah `Resource` pernyataan, Anda akan menggunakan ARN berikut:
```
"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
```
Untuk menentukan beberapa sumber daya dalam `Resource` pernyataan, gunakan koma untuk memisahkannya.
```
"Resource": [
"resource1",
"resource2"
]
```
Misalnya, AWS akun yang sama dapat diundang untuk menjadi akun anggota di lebih dari satu grafik perilaku. Dalam kebijakan untuk akun anggota tersebut, `Resource` pernyataan tersebut akan mencantumkan grafik perilaku yang mereka undang.
```
"Resource": [
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
```
Beberapa tindakan Detektif, seperti membuat grafik perilaku, mencantumkan grafik perilaku, dan daftar undangan grafik perilaku, tidak dilakukan pada grafik perilaku tertentu. Untuk tindakan tersebut, `Resource` pernyataan harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Untuk tindakan akun administrator, Detektif selalu memverifikasi bahwa pengguna yang membuat permintaan milik akun administrator untuk grafik perilaku yang terpengaruh. Untuk tindakan akun anggota, Detektif selalu memverifikasi bahwa pengguna yang membuat permintaan milik akun anggota. Bahkan jika kebijakan IAM memberikan akses ke grafik perilaku, jika pengguna bukan milik akun yang benar, pengguna tidak dapat melakukan tindakan tersebut.
Untuk semua tindakan yang dilakukan pada grafik perilaku tertentu, kebijakan IAM harus menyertakan grafik ARN. Grafik ARN dapat ditambahkan nanti. Misalnya, ketika akun pertama kali mengaktifkan Detektif, kebijakan IAM awal menyediakan akses ke semua tindakan Detektif, menggunakan wildcard untuk grafik ARN. Hal ini memungkinkan pengguna untuk segera mulai mengelola akun anggota dan melakukan investigasi dalam grafik perilaku mereka. Setelah grafik perilaku dibuat, Anda dapat memperbarui kebijakan untuk menambahkan grafik ARN.
### Kunci syarat
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Detective tidak mendefinisikan set sendiri dari kunci kondisi. Itu mendukung penggunaan kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk mempelajari tindakan dan sumber daya yang memungkinkan Anda menggunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Detektif Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions).
### Contoh
Untuk melihat contoh kebijakan berbasis identitas Detektif, lihat. [Contoh kebijakan berbasis identitas Detektif Amazon](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya Detektif (Tidak didukung)
Detective tidak mendukung kebijakan berbasis sumber daya.
## Otorisasi berdasarkan tag grafik perilaku Detektif
Setiap grafik perilaku dapat diberi nilai tag. Anda dapat menggunakan nilai tag tersebut dalam pernyataan kondisi untuk mengelola akses ke grafik perilaku.
Pernyataan kondisi untuk nilai tag menggunakan format berikut.
```
{"StringEquals"{"aws:ResourceTag/": ""}}
```
Misalnya, gunakan kode berikut untuk mengizinkan atau menolak tindakan ketika nilai `Department` tag tersebut`Finance`.
```
{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}
```
Untuk contoh kebijakan yang menggunakan nilai tag sumber daya, lihat[Akun administrator: Membatasi akses berdasarkan nilai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-graph-tags).
## Peran Detektif IAM
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
### Menggunakan kredensil sementara dengan Detective
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Detective mendukung menggunakan kredensil sementara.
### Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang membuat atau mengelola peran terkait layanan Detektif, lihat. [Menggunakan peran terkait layanan untuk Detektif](using-service-linked-roles.md)
### Peran layanan (Tidak didukung)
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
Detektif tidak mendukung peran layanan.
# Contoh kebijakan berbasis identitas Detektif Amazon
Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya Detektif. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API.
Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol Detective](#security_iam_id-based-policy-examples-console)
+ [Memungkinkan pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Akun administrator: Mengelola akun anggota dalam grafik perilaku](#security_iam_id-based-policy-examples-admin-account-mgmt)
+ [Akun administrator: Menggunakan grafik perilaku untuk penyelidikan](#security_iam_id-based-policy-examples-admin-investigate)
+ [Akun anggota: Mengelola undangan grafik perilaku dan keanggotaan](#security_iam_id-based-policy-examples-member-account)
+ [Akun administrator: Membatasi akses berdasarkan nilai tag](#security_iam_id-based-policy-examples-graph-tags)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Detektif di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol Detective
Untuk menggunakan konsol Detektif Amazon, pengguna atau peran harus memiliki akses ke tindakan yang relevan, yang cocok dengan tindakan terkait di API.
Untuk mengaktifkan Detektif dan menjadi akun administrator untuk grafik perilaku, pengguna atau peran harus diberikan izin untuk tindakan tersebut`CreateGraph`.
Untuk menggunakan konsol Detektif untuk melakukan tindakan akun administrator, pengguna atau peran harus diberikan izin untuk tindakan tersebut`ListGraphs`. Ini memberikan izin untuk mengambil grafik perilaku akun mereka sebagai akun administrator. Mereka juga harus diberikan izin untuk melakukan tindakan akun administrator tertentu.
Tindakan akun administrator yang paling dasar adalah melihat daftar akun anggota dalam grafik perilaku, dan menggunakan grafik perilaku untuk penyelidikan.
+ Untuk melihat daftar akun anggota dalam grafik perilaku, kepala sekolah harus diberikan izin untuk `ListMembers` tindakan tersebut.
+ Untuk melakukan investigasi dalam grafik perilaku, kepala sekolah harus diberikan izin untuk `SearchGraph` tindakan tersebut.
Untuk menggunakan konsol Detektif untuk melakukan tindakan akun anggota, pengguna atau peran harus diberikan izin untuk tindakan tersebut`ListInvitations`. Ini memberikan izin untuk melihat undangan grafik perilaku. Mereka kemudian dapat diberikan izin untuk tindakan akun anggota tertentu.
## Memungkinkan pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Akun administrator: Mengelola akun anggota dalam grafik perilaku
Kebijakan contoh ini ditujukan untuk pengguna akun administrator yang hanya bertanggung jawab untuk mengelola akun anggota yang digunakan dalam grafik perilaku. Kebijakan ini juga memungkinkan pengguna untuk melihat informasi penggunaan dan menonaktifkan Detektif. Kebijakan tidak memberikan izin untuk menggunakan grafik perilaku untuk penyelidikan.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:CreateGraph","detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## Akun administrator: Menggunakan grafik perilaku untuk penyelidikan
Kebijakan contoh ini ditujukan untuk pengguna akun administrator yang menggunakan grafik perilaku hanya untuk penyelidikan. Mereka tidak dapat melihat atau mengedit daftar akun anggota dalam grafik perilaku.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## Akun anggota: Mengelola undangan grafik perilaku dan keanggotaan
Kebijakan contoh ini ditujukan untuk pengguna yang termasuk dalam akun anggota. Dalam contoh, akun anggota termasuk dalam dua grafik perilaku. Kebijakan memberikan izin untuk menanggapi undangan dan menghapus akun anggota dari grafik perilaku.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"],
"Resource":[
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
},
{
"Effect":"Allow",
"Action":["detective:ListInvitations"],
"Resource":"*"
}
]
}
```
------
## Akun administrator: Membatasi akses berdasarkan nilai tag
Kebijakan berikut memungkinkan pengguna menggunakan grafik perilaku untuk penyelidikan jika `SecurityDomain` tag grafik perilaku cocok dengan `SecurityDomain` tag pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:SearchGraph"
],
"Resource": "arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain"
}
}
},
{
"Effect": "Allow",
"Action": [
"detective:ListGraphs"
],
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mencegah pengguna menggunakan grafik perilaku untuk penyelidikan jika nilai `SecurityDomain` tag untuk grafik perilaku adalah`Finance`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[ {
"Effect":"Deny",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"}
}
} ]
}
```
------
# AWS kebijakan terkelola untuk Amazon Detective
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AmazonDetectiveFullAccess
Anda dapat melampirkan kebijakan `AmazonDetectiveFullAccess` ke identitas IAM Anda.
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Detektif Amazon. Anda dapat melampirkan kebijakan ini ke kepala sekolah sebelum mereka mengaktifkan Detektif untuk akun mereka. Itu juga harus dilampirkan pada peran yang digunakan untuk menjalankan skrip Detective Python untuk membuat dan mengelola grafik perilaku.
Prinsipal dengan izin ini dapat mengelola akun anggota, menambahkan tag ke grafik perilaku mereka, dan menggunakan Detektif untuk penyelidikan. Mereka juga dapat mengarsipkan GuardDuty temuan. Kebijakan ini memberikan izin yang dibutuhkan konsol Detektif untuk menampilkan nama akun untuk akun yang ada di dalamnya. AWS Organizations
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `detective`— Memungkinkan kepala sekolah akses penuh ke semua tindakan Detektif.
+ `organizations`— Memungkinkan kepala sekolah untuk mengambil dari AWS Organizations informasi tentang akun dalam suatu organisasi. Jika akun milik organisasi, izin ini memungkinkan konsol Detektif menampilkan nama akun selain nomor akun.
+ `guardduty`— Memungkinkan kepala sekolah untuk mendapatkan dan mengarsipkan GuardDuty temuan dari dalam Detektif.
+ `securityhub`— Memungkinkan kepala sekolah untuk mendapatkan temuan CSPM Security Hub dari dalam Detektif.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonDetectiveMemberAccess
Anda dapat melampirkan `AmazonDetectiveMemberAccess` kebijakan ke entitas IAM Anda.
Kebijakan ini memberikan akses anggota ke Detektif Amazon dan akses cakupan ke konsol.
Dengan kebijakan ini, Anda dapat:
+ Lihat undangan ke keanggotaan grafik Detektif dan terima atau tolak undangan tersebut.
+ Lihat bagaimana aktivitas Anda di Detective berkontribusi terhadap biaya penggunaan layanan ini di halaman **Penggunaan**.
+ Mengundurkan diri dari keanggotaan Anda dalam grafik.
Kebijakan ini memberikan izin hanya-baca yang memungkinkan akses cakupan ke Detektif konsol.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `detective`— Memungkinkan akses anggota ke Detektif.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonDetectiveInvestigatorAccess
Anda dapat melampirkan `AmazonDetectiveInvestigatorAccess` kebijakan ke entitas IAM Anda.
Kebijakan ini menyediakan akses penyidik ke layanan Detektif dan akses cakupan ke dependensi UI konsol Detektif. Kebijakan ini memberikan izin untuk mengaktifkan investigasi Detektif di Detektif untuk pengguna IAM dan peran IAM. Anda dapat menyelidiki untuk mengidentifikasi indikator kompromi seperti temuan menggunakan laporan investigasi, yang memberikan analisis dan wawasan tentang indikator keamanan. Laporan ini diberi peringkat berdasarkan tingkat keparahan, yang ditentukan menggunakan analisis perilaku Detektif dan pembelajaran mesin. Anda dapat menggunakan laporan untuk memprioritaskan remediasi sumber daya.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `detective`— Memungkinkan penyidik kepala sekolah mengakses tindakan Detektif, untuk mengaktifkan investigasi Detektif, dan untuk memungkinkan menemukan ringkasan kelompok.
+ `guardduty`— Memungkinkan kepala sekolah untuk mendapatkan dan mengarsipkan GuardDuty temuan dari dalam Detektif.
+ `securityhub`— Memungkinkan kepala sekolah untuk mendapatkan temuan CSPM Security Hub dari dalam Detektif.
+ `organizations`— Memungkinkan kepala sekolah untuk mengambil informasi tentang akun dalam suatu organisasi dari. AWS Organizations Jika akun milik organisasi, maka izin ini memungkinkan konsol Detektif untuk menampilkan nama akun selain nomor akun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonDetectiveOrganizationsAccess
Anda dapat melampirkan `AmazonDetectiveOrganizationsAccess` kebijakan ke entitas IAM Anda.
Kebijakan ini memberikan izin untuk mengaktifkan dan mengelola Detektif Amazon dalam suatu organisasi. Anda dapat mengaktifkan Detektif di seluruh organisasi dan menentukan akun administrator yang didelegasikan untuk Detektif.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `detective`— Memungkinkan kepala sekolah mengakses tindakan Detektif.
+ `iam`— Menentukan bahwa peran layanan terkait dibuat ketika `EnableOrganizationAdminAccount` Detective memanggil.
+ `organizations`— Memungkinkan kepala sekolah untuk mengambil informasi tentang akun dalam suatu organisasi dari. AWS Organizations Jika akun milik organisasi, maka izin ini memungkinkan konsol Detektif untuk menampilkan nama akun selain nomor akun. Mengaktifkan integrasi AWS layanan, memungkinkan register dan deregister akun anggota yang ditentukan sebagai administrator Delegasi, dan memungkinkan prinsipal untuk mengambil akun administrator Delegasi di layanan keamanan lain seperti Amazon Detective, Amazon, Amazon Macie, dan. GuardDuty AWS Security Hub CSPM
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonDetectiveServiceLinkedRole
Anda tidak dapat melampirkan kebijakan `AmazonDetectiveServiceLinkedRole` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Detektif melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Detektif](using-service-linked-roles.md).
Kebijakan ini memberikan izin administratif yang memungkinkan peran terkait layanan untuk mengambil informasi akun untuk organisasi.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `organizations`— Mengambil informasi akun untuk suatu organisasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## Detective update untuk AWS kebijakan terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Detektif sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [Riwayat dokumen](doc-history.md).
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy)— Pembaruan kebijakan yang ada | Menambahkan investigasi Detektif dan menemukan tindakan ringkasan kelompok ke kebijakan. `AmazonDetectiveInvestigatorAccess` Tindakan ini memungkinkan memulai, mengambil, dan memperbarui investigasi Detektif; dan mendapatkan ringkasan menemukan kelompok dari dalam Detektif. | 26 November 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess)dan [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy)— Pembaruan kebijakan yang ada | Detektif menambahkan `GetFindings` tindakan CSPM Security Hub ke dan kebijakan. `AmazonDetectiveFullAccess` `AmazonDetectiveInvestigatorAccess` Tindakan ini memungkinkan mendapatkan temuan CSPM Security Hub dari dalam Detektif. | 16 Mei 2023 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) – Kebijakan baru | Detektif menambahkan `AmazonDetectiveOrganizationsAccess` kebijakan. Kebijakan ini memberikan izin untuk mengaktifkan dan mengelola Detektif dalam suatu organisasi | Maret 02, 2023 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess) – Kebijakan baru | Detektif menambahkan kebijakan. `AmazonDetectiveMemberAccess` Kebijakan ini memberikan akses anggota ke Detektif dan akses cakupan ke dependensi UI konsol. | Januari 17, 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess)— Pembaruan untuk kebijakan yang ada | Detektif menambahkan GuardDuty `GetFindings` tindakan ke kebijakan. `AmazonDetectiveFullAccess` Tindakan ini memungkinkan mendapatkan GuardDuty temuan dari dalam Detektif. | Januari 17, 2023 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) – Kebijakan baru | Detektif menambahkan kebijakan. `AmazonDetectiveInvestigatorAccess` Kebijakan ini memungkinkan kepala sekolah untuk melakukan investigasi di Detektif. | Januari 17, 2023 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy) – Kebijakan baru | Detective menambahkan kebijakan baru untuk peran terkait layanannya. Kebijakan ini memungkinkan peran terkait layanan untuk mengambil informasi tentang akun dalam organisasi. | Desember 16, 2021 |
| Detektif mulai melacak perubahan | Detective mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 10 Mei 2021 |
# Menggunakan peran terkait layanan untuk Detektif
[Amazon Detective menggunakan peran terkait layanan AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Peran terkait layanan adalah jenis unik peran IAM yang terkait langsung dengan Detektif. Peran terkait layanan telah ditentukan sebelumnya oleh Detektif dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS
Peran terkait layanan membuat pengaturan Detektif lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Detective mendefinisikan izin dari peran terkait layanan, dan kecuali ditentukan lain, hanya Detective yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya Detektif Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang support peran yang terkait dengan layanan, lihat [Layanan AWS yang Bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan mencari layanan yang memiliki **Ya **dalam kolom **Peran Tertaut Layanan**. Pilih **Ya** dengan tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Detektif
Detektif menggunakan peran terkait layanan bernama — **AWSServiceRoleForDetective**Memungkinkan Detektif mengakses informasi atas nama Anda. AWS Organizations
Peran AWSService RoleForDetective terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `detective.amazonaws.com`
AWSServiceRoleForDetective Peran terkait layanan menggunakan kebijakan terkelola. [`AmazonDetectiveServiceLinkedRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy)
Untuk detail tentang pembaruan `AmazonDetectiveServiceLinkedRolePolicy` kebijakan, lihat [Pembaruan Detektif Amazon ke kebijakan AWS terkelola](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates). Untuk peringatan otomatis tentang perubahan kebijakan ini, berlangganan umpan RSS di halaman riwayat dokumen [Detektif](https://docs.aws.amazon.com//detective/latest/userguide/doc-history.html).
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk Detektif
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda menetapkan akun administrator Detektif untuk organisasi di Konsol Manajemen AWS, API, atau API, AWS CLI Detektif AWS akan membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda menunjuk akun administrator Detektif untuk suatu organisasi, Detektif membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk Detektif
Detektif tidak mengizinkan Anda mengedit peran terkait AWSService RoleForDetective layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Detektif
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
**catatan**
Jika layanan Detektif menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit dan kemudian coba operasi lagi.
**Untuk menghapus sumber daya Detektif yang digunakan oleh AWSService RoleForDetective**
1. Hapus akun administrator Detektif. Lihat [Menunjuk administrator Detektif untuk sebuah organisasi](accounts-designate-admin.md).
1. Ulangi proses di setiap Wilayah tempat Anda menunjuk akun administrator Detektif.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForDetective terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk peran terkait layanan Detektif
Detective mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Wilayah dan Titik Akhir AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Memecahkan masalah identitas dan akses Detektif Amazon
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Detective dan IAM. *Jika Anda mengalami masalah akses yang ditolak atau kesulitan serupa saat bekerja dengan AWS Identity and Access Management(IAM), lihat topik [Pemecahan Masalah IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html) di Panduan Pengguna IAM.*
## Saya tidak berwenang untuk melakukan tindakan di Detective
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberikan nama pengguna dan kata sandi Anda.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk menerima undangan untuk menjadi akun anggota untuk grafik perilaku, tetapi tidak memiliki `detective:AcceptInvitation` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: detective:AcceptInvitation on resource: arn:aws:detective:us-east-1:444455556666:graph:567856785678
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `arn:aws:detective:us-east-1:444455556666:graph:567856785678` menggunakan tindakan `detective:AcceptInvitation`.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Detektif.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Detective. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang-orang di luar AWS akun saya untuk mengakses sumber daya Detektif saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Detective mendukung fitur-fitur ini, lihat. [Bagaimana Amazon Detective bekerja dengan IAM](security_iam_service-with-iam.md)
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Validasi kepatuhan untuk Amazon Detective
Amazon Detective berada dalam Lingkup program AWS jaminan. Untuk informasi lebih lanjut, lihat [Health Information Trust Alliance Common Security Framework (HITRUST) CSF](https://aws.amazon.com/compliance/services-in-scope/HITRUST-CSF/) .
Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat [AWSLayanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) . Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di Laporan Pengunduhan AWS Artifak](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan Memulai Cepat Keamanan dan Kepatuhan Panduan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) Keamanan dan Kepatuhan — Panduan Keamanan dan Kepatuhan membahas pertimbangan arsitektur dan memberikan langkah-langkah untuk menerapkan lingkungan dasar yang berfokus pada keamanan dan kepatuhan. AWS
+ [Mengevaluasi sumber daya dengan aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dalam *Panduan AWS Config Pengembang* — AWS Config Layanan menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.
# Ketahanan di Detektif Amazon
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
Selain infrastruktur AWS global, Detective memanfaatkan ketahanan yang dibangun ke dalam Amazon DynamoDB dan Amazon Simple Storage Service (Amazon S3). Untuk informasi selengkapnya, lihat [ketahanan dan pemulihan bencana di Amazon DynamoDB dan Ketahanan di Amazon](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/disaster-recovery-resiliency.html) [Simple Storage](https://docs.aws.amazon.com//AmazonS3/latest/userguide/disaster-recovery-resiliency.html) Service.
Arsitektur Detective juga tahan terhadap kegagalan Availability Zone tunggal. Ketahanan ini dibangun ke dalam Detektif, dan tidak memerlukan konfigurasi apa pun.
# Keamanan infrastruktur di Amazon Detective
Sebagai layanan terkelola, Amazon Detective; dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Detective; melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
# Detektif Amazon dan titik akhir VPC antarmuka ()AWS PrivateLink
*Anda dapat membuat koneksi pribadi antara VPC dan Amazon Detective dengan membuat antarmuka VPC endpoint.* Endpoint antarmuka didukung oleh [AWS PrivateLink](https://aws.amazon.com/privatelink), teknologi yang memungkinkan Anda mengakses Detektif secara pribadi APIs tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct Connect. AWS Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan Detective. APIs Lalu lintas antara VPC dan Detektif Anda tidak meninggalkan jaringan Amazon.
Setiap titik akhir antarmuka diwakili oleh satu atau beberapa [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) di subnet Anda.
*Untuk informasi selengkapnya, lihat [Titik akhir VPC Antarmuka (AWS PrivateLink) di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
## Pertimbangan untuk titik akhir VPC Detektif
*Sebelum Anda menyiapkan titik akhir VPC antarmuka untuk Detektif, pastikan Anda meninjau [properti dan batasan titik akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) dalam Panduan.AWS PrivateLink *
Detective mendukung panggilan ke semua tindakan API-nya dari VPC Anda.
Detective mendukung FIPS di Wilayah berikut:
+ Timur AS (N. Virginia)
+ AS Timur (Ohio)
+ AS Barat (California Utara)
+ AS Barat (Oregon)
+ Kanada (Pusat)
## Membuat antarmuka VPC endpoint untuk Detektif
Anda dapat membuat titik akhir VPC untuk layanan Detektif menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) di *AWS PrivateLink Panduan*.
Buat titik akhir VPC untuk Detektif menggunakan nama layanan berikut:
+ com.amazonaws. *region*.detektif
+ com.amazonaws. *region*.detektif-fips
Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API ke Detective menggunakan nama DNS default untuk Wilayah, misalnya,. `api.detective.us-east-1.amazonaws.com` Untuk informasi selengkapnya, lihat [titik akhir Detektif Amazon](https://docs.aws.amazon.com/general/latest/gr/detective.html) di. *Referensi Umum Amazon Web*
Untuk informasi selengkapnya, lihat [Mengakses layanan melalui titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) di *AWS PrivateLink Panduan*.
## Membuat kebijakan titik akhir VPC untuk Detektif
Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke Detektif. Kebijakan titik akhir menentukan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
*Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan dengan titik akhir VPC di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink *
**Contoh: Kebijakan titik akhir VPC untuk tindakan Detektif**
Berikut ini adalah contoh kebijakan endpoint untuk Detektif. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke tindakan Detektif yang terdaftar untuk semua kepala sekolah di semua sumber daya.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"detective:ListGraphs",
"detective:ListMembers"
],
"Resource":"*"
}
]
}
```
## Subnet bersama
Anda tidak dapat membuat, mendeskripsikan, memodifikasi, atau menghapus titik akhir VPC di subnet yang dibagikan dengan Anda. Namun, Anda dapat menggunakan titik akhir VPC di subnet yang dibagikan dengan Anda. Untuk informasi tentang berbagi VPC, lihat [Membagikan VPC Anda dengan akun lain di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) Amazon *VPC*.
# Praktik terbaik keamanan untuk Detektif
Detective menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
Untuk Detektif, praktik terbaik keamanan dikaitkan dengan mengelola akun dalam grafik perilaku.
## Praktik terbaik untuk akun administrator Detektif
Saat mengundang akun anggota ke grafik perilaku Detektif Anda, hanya undang akun yang Anda awasi.
Batasi akses ke grafik perilaku. Pengguna dengan [AmazonDetectiveFullAccess](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-amazondetectivefullaccess)kebijakan dapat memberikan akses ke semua tindakan Detektif. Prinsipal dengan izin ini dapat mengelola akun anggota, menambahkan tag ke grafik perilaku mereka, dan menggunakan Detektif untuk penyelidikan. Ketika pengguna memiliki akses ke grafik perilaku, mereka dapat melihat semua temuan untuk akun anggota. Temuan semacam itu mungkin mengekspos informasi keamanan yang sensitif.
## Praktik terbaik untuk akun anggota
Saat Anda menerima undangan ke grafik perilaku, pastikan untuk memvalidasi sumber undangan.
Periksa pengenal AWS akun akun administrator yang mengirim undangan. Verifikasi bahwa Anda tahu milik siapa akun tersebut, dan bahwa akun yang mengundang memiliki alasan yang sah untuk memantau data keamanan Anda.