Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS politiche gestite per Amazon Detective
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AmazonDetectiveFullAccess
È possibile allegare la policy `AmazonDetectiveFullAccess` alle identità IAM.
Questa policy concede autorizzazioni amministrative che consentono a un principale l'accesso completo a tutte le operazioni di Amazon Detective. Puoi collegare questa policy a un principale prima che abiliti Detective per il suo account. Deve inoltre essere collegato al ruolo utilizzato per eseguire gli script Python di Detective per creare e gestire un grafico del comportamento.
I principali con queste autorizzazioni possono gestire gli account membri, aggiungere tag al loro grafico del comportamento e utilizzare Detective per le indagini. Possono anche archiviare GuardDuty i risultati. Il criterio fornisce le autorizzazioni necessarie alla console Detective per visualizzare i nomi degli account che si trovano in AWS Organizations.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `detective`: consente ai principali l'accesso completo alle operazioni di Detective.
+ `organizations`: consente ai principali di recuperare informazioni sugli account di un'organizzazione da AWS Organizations . Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account.
+ `guardduty`— Consente ai presidi di ottenere e archiviare i GuardDuty risultati dall'interno di Detective.
+ `securityhub`— Consente ai responsabili di ottenere i risultati del CSPM di Security Hub dall'interno di Detective.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonDetectiveMemberAccess
Puoi collegare la policy `AmazonDetectiveMemberAccess` anche alle tue entità IAM.
Questa policy fornisce ai membri l'accesso ad Amazon Detective e l'accesso in ambito alla console.
Con questa policy, puoi:
+ Visualizzare gli inviti all'iscrizione al grafico di Detective e accetta o rifiuta tali inviti.
+ Scoprire come la tua attività in Detective contribuisce ai costi di utilizzo di questo servizio nella pagina **Utilizzo**.
+ Annullare la tua appartenenza a un grafico.
Questa policy concede le autorizzazioni di sola lettura che consentono l'accesso in ambito alla console di Detective.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `detective`: consente ai membri di accedere a Detective.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonDetectiveInvestigatorAccess
Puoi collegare la policy `AmazonDetectiveInvestigatorAccess` anche alle tue entità IAM.
Questa policy fornisce ai responsabili delle indagini l'accesso al servizio Detective e l'accesso in ambito alle dipendenze dell'interfaccia utente della console Detective. Questa policy concede le autorizzazioni per abilitare le indagini di Detective per gli utenti IAM e i ruoli IAM. Puoi indagare per identificare gli indicatori di compromissione, come i risultati, utilizzando un report di indagine, che fornisce analisi e approfondimenti sugli indicatori di sicurezza. Il report è classificato in base alla gravità, determinata utilizzando l'analisi comportamentale e il machine learning di Detective. Puoi utilizzare il report per dare priorità alla riparazione delle risorse.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `detective`: consente ai responsabili delle indagini di accedere alle operazioni di Detective, di abilitare le indagini di Detective e di abilitare il riepilogo dei gruppi di risultati.
+ `guardduty`— Consente ai presidi di ottenere e archiviare i GuardDuty risultati dall'interno di Detective.
+ `securityhub`— Consente ai responsabili di ottenere i risultati del CSPM di Security Hub dall'interno di Detective.
+ `organizations`— Consente ai dirigenti di recuperare informazioni sugli account di un'organizzazione da. AWS Organizations Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonDetectiveOrganizationsAccess
Puoi collegare la policy `AmazonDetectiveOrganizationsAccess` anche alle tue entità IAM.
Questa policy concede l'autorizzazione per abilitare e gestire Amazon Detective all'interno di un'organizzazione. È possibile abilitare Detective in tutta l'organizzazione e determinare l'account amministratore delegato per Detective.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `detective`: consente ai principali di accedere alle operazioni di Detective.
+ `iam`: specifica che un ruolo collegato ai servizi viene creato quando Detective chiama `EnableOrganizationAdminAccount`.
+ `organizations`— Consente ai responsabili di recuperare informazioni sugli account di un'organizzazione da. AWS Organizations Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account. Consente l'integrazione di un AWS servizio, consente la registrazione e l'annullamento della registrazione dell'account membro specificato come amministratore delegato e consente ai responsabili di recuperare gli account amministratore delegato in altri servizi di sicurezza come Amazon Detective, Amazon, Amazon GuardDuty Macie e. AWS Security Hub CSPM
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politica gestita: AmazonDetectiveServiceLinkedRole
Non è possibile allegare la policy `AmazonDetectiveServiceLinkedRole` alle entità IAM. Questa policy è collegata a un ruolo collegato ai servizi che consente a Detective di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli collegati ai servizi per Detective](using-service-linked-roles.md).
Questa policy concede le autorizzazioni amministrative che consentono al ruolo collegato ai servizi di recuperare le informazioni sull'account per un'organizzazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations`: recupera le informazioni sull'account di un'organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## Detective: aggiornamenti alle policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Detective da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS nella [pagina della cronologia dei documenti ](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy): aggiornamento a policy esistenti | Sono state aggiunte operazioni di riepilogo dei gruppi di risultati e indagini di Detective alla policy `AmazonDetectiveInvestigatorAccess`. Queste operazioni consentono di avviare, recuperare e aggiornare le indagini di Detective e ottenere un riepilogo dei gruppi di risultati all'interno di Detective. | 26 novembre 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) e [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy): aggiornamenti alle policy esistenti | Detective ha aggiunto `GetFindings` le azioni CSPM di Security Hub alle policy `AmazonDetectiveFullAccess` e`AmazonDetectiveInvestigatorAccess`. Queste azioni consentono di ottenere i risultati del CSPM di Security Hub dall'interno di Detective. | 16 maggio 2023 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy): nuova policy | Detective ha aggiunto la policy `AmazonDetectiveOrganizationsAccess`. Questa policy concede l'autorizzazione per abilitare e gestire Detective all'interno di un'organizzazione | 2 marzo 2023 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess): nuova policy | Detective ha aggiunto la policy `AmazonDetectiveMemberAccess`. Questa policy fornisce ai membri l'accesso a Detective e l'accesso in ambito alle dipendenze dell'interfaccia utente della console. | 17 gennaio 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess): aggiornamenti a una policy esistente | Detective ha aggiunto GuardDuty `GetFindings` delle azioni alla `AmazonDetectiveFullAccess` polizza. Queste azioni consentono di ottenere GuardDuty risultati dall'interno del Detective. | 17 gennaio 2023 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy): nuova policy | Detective ha aggiunto la policy `AmazonDetectiveInvestigatorAccess`. Questa policy consente al principale di condurre indagini in Detective. | 17 gennaio 2023 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy): nuova policy | Detective ha aggiunto una nuova policy per il suo ruolo collegato ai servizi. La policy consente al ruolo collegato ai servizi di recuperare informazioni sugli account in un'organizzazione. | 16 dicembre 2021 |
| Detective ha iniziato a tenere traccia delle modifiche | Detective ha iniziato a tenere traccia delle modifiche alle sue politiche AWS gestite. | 10 maggio 2021 |