Esempi per Detective con AWS CLI - AWS Command Line Interface
Operazioni

Esempi per Detective con AWS CLI

Gli esempi di codice seguenti mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Command Line Interface con Detective.

Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Sebbene le operazioni mostrino come richiamare le singole funzioni del servizio, è possibile visualizzarle contestualizzate negli scenari correlati.

Ogni esempio include un link al codice sorgente completo, dove è possibile trovare le istruzioni su come configurare ed eseguire il codice nel contesto.

Argomenti

Operazioni

L’esempio di codice seguente mostra come utilizzare accept-invitation.

AWS CLI

Come accettare un invito a diventare un account membro in un grafico di comportamento

L’esempio accept-invitation seguente accetta un invito a diventare un account membro nel grafico di comportamento arn:aws:detective:us-east- 1:111122223333:graph:123412341234.

aws detective accept-invitation \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Risposta a un invito del grafico di comportamento nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta AcceptInvitation in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare create-graph.

AWS CLI

Come abilitare Amazon Detective e creare un nuovo grafico di comportamento

L’esempio create-graph seguente abilita Detective per l’account AWS che esegue il comando nella Regione in cui viene eseguito. Viene creato un nuovo grafico di comportamento con quell’account come account amministratore. Il comando assegna anche il valore Finance al tag Department.

aws detective create-graph \
    --tags '{"Department": "Finance"}'

Output:

{
    "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
}

Per ulteriori informazioni, consulta Abilitazione di Amazon Detective nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta CreateGraph in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare create-members.

AWS CLI

Come invitare gli account membri a un grafico di comportamento

L’esempio create-members seguente invita due account AWS a diventare account membri nel grafico comportamentale arn:aws:detective:us-east- 1:111122223333:graph:123412341234. Per ogni account la richiesta fornisce l’ID dell’account AWS e l’indirizzo e-mail dell’utente root dell’account. La richiesta include un messaggio personalizzato da inserire nell’e-mail di invito.

aws detective create-members \
    --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."

Output:

{
    "Members": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
   },
   {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "VERIFICATION_IN_PROGRESS",
        "UpdatedTime": 1579826107000
     }
    ],
    "UnprocessedAccounts": [ ]
}

Per ulteriori informazioni, consulta Invito degli account membri a un grafico di comportamento<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-add-member-accounts.html> nella Guida per l’amministratore di Amazon Detective.

Come invitare account membri senza inviare e-mail di invito

L’esempio create-members seguente invita due account AWS a diventare account membri nel grafico comportamentale arn:aws:detective:us-east- 1:111122223333:graph:123412341234. Per ogni account la richiesta fornisce l’ID dell’account AWS e l’indirizzo e-mail dell’utente root dell’account. Gli account membri non ricevono e-mail di invito.

aws detective create-members \
    --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --disable-email-notification

Output:

{
    "Members": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
   },
   {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "VERIFICATION_IN_PROGRESS",
        "UpdatedTime": 1579826107000
     }
    ],
    "UnprocessedAccounts": [ ]
}

Per ulteriori informazioni, consulta Invito degli account membri a un grafico di comportamento<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-add-member-accounts.html> nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta CreateMembers in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare delete-graph.

AWS CLI

Come disabilitare Detective ed eliminare il grafico di comportamento

L’esempio delete-graph seguente disattiva Detective ed elimina il grafico del comportamento specificato.

aws detective delete-graph \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Disabilitazione di Amazon Detective nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta DeleteGraph in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare delete-members.

AWS CLI

Come rimuovere un account membro dal grafico di comportamento

Nell’esempio seguente delete-members rimuove due account membri dal grafico di comportamento arn:aws:detective:us-east- 1:111122223333:graph:123412341234. Per identificare gli account, la richiesta fornisce gli ID dell’account AWS.

aws detective delete-members \
    --account-ids 444455556666 123456789012 \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Output:

 {
    "AccountIds": [ "444455556666", "123456789012" ],
    "UnprocessedAccounts": [ ]
}

Per ulteriori informazioni, consulta Rimozione degli account membri da un grafico di comportamento<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-remove-member-accounts.html> nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta DeleteMembers in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare disassociate-membership.

AWS CLI

Come rimuovere un account membro dal grafico di comportamento

Il seguente esempio di dissociate-membership rimuove l’account AWS che esegue il comando dal grafico di comportamento arn:aws:detective:us-east- 1:111122223333:graph:123412341234.

aws detective disassociate-membership \
     --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Per ulteriori informazioni, consulta Rimozione dell’account da un grafico di comportamento<https://docs.aws.amazon.com/detective/latest/adminguide/member-remove-self-from-graph.html> nella Guida per amministratore di Amazon Detective.

L’esempio di codice seguente mostra come utilizzare get-members.

AWS CLI

Come recuperare informazioni sugli account membri del grafico di comportamento selezionati

Nell’esempio seguente get-members recupera le informazioni su due account nel grafico di comportamento arn:aws:detective:us-east- 1:111122223333:graph:123412341234. Per i due account, la richiesta fornisce gli ID dell’account AWS.

aws detective get-members \
    --account-ids 444455556666 123456789012 \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Output:

{
    "MemberDetails": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
    {
        "AccountId": "123456789012",
        "AdministratorId": "111122223333",
        "EmailAddress": "jstiles@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
],
    "UnprocessedAccounts": [ ]
}

Per ulteriori informazioni, consulta Viewing the list of accounts in a behavior graph<https://docs.aws.amazon.com/detective/latest/adminguide/graph-admin-view-accounts.html> nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta GetMembers in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare list-graphs.

AWS CLI

Come visualizzare un elenco di grafici di comportamento di cui il tuo account è l’amministratore

L’esempio list-graphs seguente recupera i grafici comportamentali di cui l’account chiamante è l’amministratore nella Regione corrente.

aws detective list-graphs

Output:

{
    "GraphList": [
        {
            "Arn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "CreatedTime": 1579736111000
        }
    ]
}

  • Per informazioni dettagliate sull’API, consulta ListGraphs in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare list-invitations.

AWS CLI

Come visualizzare un elenco di grafici di comportamento di cui un account è membro o a cui è invitato

L’esempio list-invitations seguente recupera i grafici di comportamento a cui l’account chiamante è stato invitato. I risultati includono solo gli inviti aperti e accettati. Non includono gli inviti rifiutati o le iscrizioni rimosse.

aws detective list-invitations

Output:

{
    "Invitations": [
    {
        "AccountId": "444455556666",
        "AdministratorId": "111122223333",
        "EmailAddress": "mmajor@example.com",
        "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
        "InvitedTime": 1579826107000,
        "MasterId": "111122223333",
        "Status": "INVITED",
        "UpdatedTime": 1579826107000
    }
]
}

Per ulteriori informazioni, consulta Visualizzazione dell’elenco degli inviti del grafico di comportamento<https://docs.aws.amazon.com/detective/latest/adminguide/member-view-graph-invitations.html> nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta ListInvitations in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare list-members.

AWS CLI

Come elencare gli account membri a un grafico di comportamento

L’esempio list-members seguente recupera gli account membri invitati e abilitati per il grafico di comportamento arn:aws:detective:us-east-1:111122223333:graph:123412341234. I risultati non includono gli account membri che sono stati rimossi.

aws detective list-members \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Output:

{
    "MemberDetails": [
        {
            "AccountId": "444455556666",
            "AdministratorId": "111122223333",
            "EmailAddress": "mmajor@example.com",
            "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "InvitedTime": 1579826107000,
            "MasterId": "111122223333",
            "Status": "INVITED",
            "UpdatedTime": 1579826107000
        },
        {
            "AccountId": "123456789012",
            "AdministratorId": "111122223333",
            "EmailAddress": "jstiles@example.com",
            "GraphArn": "arn:aws:detective:us-east-1:111122223333:graph:123412341234",
            "InvitedTime": 1579826107000,
            "MasterId": "111122223333",
            "PercentOfGraphUtilization": 2,
            "PercentOfGraphUtilizationUpdatedTime": 1586287843,
            "Status": "ENABLED",
            "UpdatedTime": 1579973711000,
            "VolumeUsageInBytes": 200,
            "VolumeUsageUpdatedTime": 1586287843
        }
    ]
}

Per ulteriori informazioni, consulta Viewing the list of accounts in a behavior graph nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta ListMembers in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare list-tags-for-resource.

AWS CLI

Come recuperare i tag assegnati a un grafico di comportamento

L’esempio list-tags-for-resource seguente riporta i tag assegnati al grafico di comportamento specificato.

aws detective list-tags-for-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Output:

{
    "Tags": {
        "Department" : "Finance"
    }
}

Per ulteriori informazioni, consulta Gestione dei tag per un grafico di comportamento nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull'API, consulta ListTagsForResource nella Documentazione di riferimento dei comandi della AWS CLI.

L’esempio di codice seguente mostra come utilizzare reject-invitation.

AWS CLI

Come rifiutare un invito a diventare un account membro in un grafico di comportamento

Nell’esempio seguente reject-invitation rifiuta un invito a diventare un account membro nel grafico di comportamento arn:aws:detective:us-east- 1:111122223333:graph:123412341234.

aws detective reject-invitation \
    --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Risposta a un invito del grafico di comportamento<https://docs.aws.amazon.com/detective/latest/adminguide/member-invitation-response.html> nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sull’API, consulta RejectInvitation in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare tag-resource.

AWS CLI

Come assegnare un tag a una risorsa

L’esempio tag-resource seguente assegna un valore per il tag Department al grafico di comportamento specificato.

aws detective tag-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --tags '{"Department":"Finance"}'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestione dei tag per un grafico di comportamento nella Guida per l’amministratore di Amazon Detective.

  • Per informazioni dettagliate sulle API, consulta TagResource nel Riferimento ai comandi AWS CLI.

L’esempio di codice seguente mostra come utilizzare untag-resource.

AWS CLI

Come rimuovere un tag da una risorsa

Nell’esempio seguente untag-resource rimuove il tag Department dal grafico di comportamento specificato.

aws detective untag-resource \
    --resource-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 \
    --tag-keys "Department"

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestione dei tag per un grafico di comportamento nella Guida per l’amministratore di Amazon Detective.

  • Per i dettagli dell'API, consulta UntagResource in Riferimento ai comandi della AWS CLI.