Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Detective
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro.
I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/).
Per ulteriori informazioni sui programmi di conformità che si applicano ad Amazon Detective, consulta [Servizi AWS coperti dal programma di conformità](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione descrive come applicare il modello di responsabilità condivisa quando si utilizza Detective. I seguenti argomenti illustrano come configurare Detective per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse da Detective.
**Topics**
+ [Protezione dei dati in Amazon Detective](data-protection.md)
+ [Identity and Access Management per Amazon Detective](security-iam.md)
+ [Convalida della conformità per Amazon Detective](detective-compliance.md)
+ [Resilienza in Amazon Detective](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon Detective](infrastructure-security.md)
+ [Amazon Detective e endpoint VPC di interfaccia ()AWS PrivateLink](detective-security-vpc-endpoints-privatelink.md)
+ [Le migliori pratiche di sicurezza per Detective](security-best-practices.md)
# Protezione dei dati in Amazon Detective
Il AWS modello di [responsabilità condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in Amazon Detective. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutte le Cloud AWS. L'utente è responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile delle attività di configurazione e gestione della sicurezza per Servizi AWS che usi. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione [Privacy dei dati FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consultare il [AWS Modello di responsabilità condivisa e post sul GDPR ](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) blog sul *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS credenziali e configura singoli utenti con AWS IAM Identity Center oppure AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Usa l'autenticazione a più fattori (MFA) con ogni account.
+ UsaSSL/TLSper comunicare con AWS risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.
+ Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi di acquisizione AWS attività, vedi [Lavorare con i CloudTrail sentieri](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) in *AWS CloudTrail Guida per l'utente*.
+ Utilizzo AWS soluzioni di crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se sono necessari FIPS 140-3 moduli crittografici convalidati per l'accesso AWS tramite un'interfaccia a riga di comando o unAPI, utilizza un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere [Federal Information Processing Standard (FIPS)](https://aws.amazon.com/compliance/fips/) 140-3.
Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Detective o altri Servizi AWS utilizzando la consoleAPI, AWS CLI, oppure AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.
Detective crittografa tutti i dati che elabora e archivia a riposo e in transito.
**Topics**
+ [Gestione delle chiavi per Amazon Detective](key-management.md)
# Gestione delle chiavi per Amazon Detective
Poiché Detective non memorizza dati personali dei clienti, utilizza Chiavi gestite da AWS.
Questo tipo di chiave KMS può essere utilizzato su più account. Consulta la [descrizione delle chiavi AWS possedute nella Guida per AWS Key Management Service gli sviluppatori](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Questo tipo di chiave KMS ruota automaticamente ogni anno (circa 365 giorni). Vedi la [descrizione della rotazione delle chiavi nella Guida per gli AWS Key Management Service sviluppatori](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
# Identity and Access Management per Amazon Detective
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (chi ha effettuato l'accesso) e *autorizzato* (chi dispone di autorizzazioni) a utilizzare le risorse Detective. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell'accesso tramite policy](#security_iam_access-manage)
+ [Funzionamento di Amazon Detective con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon Detective](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon Detective](security-iam-awsmanpol.md)
+ [Utilizzo dei ruoli collegati ai servizi per Detective](using-service-linked-roles.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Detective](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Detective](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Funzionamento di Amazon Detective con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon Detective](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell'accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sulle identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate su risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Funzionamento di Amazon Detective con IAM
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon Detective. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI,, o. Un amministratore Detective deve disporre di politiche AWS Identity and Access Management (IAM) che concedano agli utenti e ai ruoli IAM l'autorizzazione a eseguire operazioni API specifiche sulle risorse specificate di cui ha bisogno. L'amministratore deve quindi collegare queste policy al principale che richiedono tali autorizzazioni.
Detective utilizza le policy basate sull'identità IAM per concedere le autorizzazioni per i seguenti tipi di utenti e operazioni:
+ **Account amministratore**: l'account amministratore è il proprietario di un grafico di comportamento, che utilizza i dati del proprio account. L'account amministratore può invitare gli account membri a contribuire con i propri dati al grafico di comportamento. L'account amministratore può anche utilizzare il grafico comportamentale per la valutazione e l'analisi dei risultati e delle risorse associati a tali account.
È possibile impostare le policy per consentire agli utenti diversi dall'account amministratore di eseguire diversi tipi di attività. Ad esempio, un utente con un account amministratore potrebbe avere solo le autorizzazioni per gestire gli account membri. Un altro utente potrebbe avere solo le autorizzazioni per utilizzare il grafico di comportamento per le indagini.
+ **Account membri**: un account membro è un account invitato a contribuire con i dati a un grafico di comportamento. Un account membro risponde a un invito. Dopo aver accettato un invito, un account membro può rimuovere il proprio account dal grafico di comportamento.
Per avere una visione di alto livello di come Detective e altri Servizi AWS lavorano con IAM, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) nella *IAM User Guide*.
## Policy basate su identità di Detective
Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Detective supporta operazioni, risorse e chiavi di condizione specifiche.
Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le istruzioni della policy devono includere un elemento `Action` o un elemento `NotAction`. L'elemento `Action` elenca le azioni consentite dalla policy. L'elemento `NotAction` elenca le operazioni non consentite.
Le operazioni definite per Detective riflettono le attività che è possibile eseguire utilizzando Detective. Le operazioni delle policy in Detective hanno il seguente prefisso: `detective:`.
Ad esempio, per concedere l'autorizzazione per utilizzare l'operazione API `CreateMembers` per invitare gli account membri a un grafico di comportamento, includi l'operazione `detective:CreateMembers` nella policy.
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Ad esempio, per un account membro, la politica include l'insieme di operazioni relative alla gestione di un invito:
```
"Action": [
"detective:ListInvitations",
"detective:AcceptInvitation",
"detective:RejectInvitation",
"detective:DisassociateMembership
]
```
Per specificare più operazioni, è possibile utilizzare i caratteri jolly (\$1). Ad esempio, per gestire i dati utilizzati nel grafico di comportamento, gli account amministratore in Detective devono poter eseguire le seguenti attività:
+ Visualizza l'elenco di account membri (`ListMembers`).
+ Ottieni informazioni sugli account membri selezionati (`GetMembers`).
+ Invita gli account membri a visualizzare il loro grafico di comportamento (`CreateMembers`).
+ Rimuovi i membri dal grafico di comportamento (`DeleteMembers`).
Invece di elencare queste operazioni separatamente, puoi concedere l'accesso a tutte le operazioni che terminano con la parola `Members`. La policy a tal fine potrebbe includere la seguente operazione:
```
"Action": "detective:*Members"
```
Per visualizzare un elenco di operazioni di Detective, consulta [Operazioni definite da Amazon Detective](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions) nella *Guida di riferimento per l'autorizzazione del servizio*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Per Detective, l'unico tipo di risorsa è il grafico di comportamento. La risorsa del grafico di comportamento in Detective ha il seguente ARN:
```
arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}
```
Ad esempio, un grafico di comportamento ha i seguenti valori:
+ La Regione per il grafico di comportamento è `us-east-1`.
+ L'ID account per l'account amministratore è `111122223333`.
+ L'ID del grafico di comportamento è `027c7c4610ea4aacaf0b883093cab899`.
Per identificare questo grafico di comportamento in una istruzione `Resource`, è necessario utilizzare il seguente ARN:
```
"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
```
Per specificare più risorse in una istruzione `Resource`, separa gli ARN con le virgole.
```
"Resource": [
"resource1",
"resource2"
]
```
Ad esempio, lo stesso AWS account può essere invitato a diventare un account membro in più di un grafico comportamentale. Nella policy per quell'account membro, l'istruzione `Resource` elencherebbe i grafici di comportamento a cui sono stati invitati.
```
"Resource": [
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
```
Alcune operazioni di Detective, come la creazione di un grafico di comportamento, la visualizzazione di grafici di comportamento e la visualizzazione degli inviti al grafico di comportamento, non vengono eseguite su un grafico di comportamento specifico. Per queste operazioni, l'istruzione `Resource` deve utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Per le operazioni dell'account amministratore, Detective verifica sempre che l'utente che effettua la richiesta appartenga all'account amministratore per il grafico di comportamento interessato. Per le operazioni dell'account membro, Detective verifica sempre che l'utente che effettua la richiesta appartenga all'account membro. Anche se una policy IAM concede l'accesso a un grafico di comportamento, se l'utente non appartiene all'account corretto, l'utente non può eseguire l'azione.
Per tutte le operazioni eseguite su uno specifico grafico di comportamento, la policy IAM deve includere l'ARN del grafico. L'ARN del grafico può essere aggiunto in un secondo momento. Ad esempio, quando un account abilita per la prima volta Detective, la policy IAM iniziale fornisce l'accesso a tutte le operazioni di Detective, utilizzando il carattere jolly per l'ARN del grafico. Ciò consente all'utente di iniziare immediatamente a gestire gli account membri e a condurre indagini nel proprio grafico di comportamento. Dopo aver creato il grafico di comportamento, puoi aggiornare la policy per aggiungere l'ARN del grafico.
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Detective non definisce il proprio set di chiavi di condizione. Supporta l'utilizzo di alcune chiavi di condizione globali. Per vedere tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
Per scoprire con quali operazioni e risorse puoi utilizzare una chiave di condizione, consulta [Operazioni definite da Amazon Detective](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions).
### Esempi
Per visualizzare esempi di policy basate su identità di Detective, consulta [Esempi di policy basate sull'identità per Amazon Detective](security_iam_id-based-policy-examples.md).
## Policy basate sulle risorse di Detective (non supportate)
Detective non supporta policy basate su risorse.
## Autorizzazione basata sui tag del grafici di comportamento di Detective
A ciascun grafico di comportamento possono essere assegnati valori di tag. È possibile utilizzare questi valori di tag nelle istruzioni condizionali per gestire l'accesso al grafico.
L'istruzione condizionale per un valore di tag utilizza il formato seguente.
```
{"StringEquals"{"aws:ResourceTag/": ""}}
```
Ad esempio, utilizza il codice seguente per consentire o negare un'azione quando il valore del tag `Department` è `Finance`.
```
{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}
```
Per esempi di policy che utilizzano i valori dei tag di risorsa, consulta [Account amministratore: limitazione dell'accesso in base ai valori di tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-graph-tags).
## Ruoli IAM di Detective
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Detective
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Ottieni credenziali di sicurezza temporanee chiamando operazioni AWS STS API come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Detective supporta l'uso di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi di Detective, consulta [Utilizzo dei ruoli collegati ai servizi per Detective](using-service-linked-roles.md).
### Ruoli di servizio (non supportati)
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
Detective non supporta i ruoli del servizio.
# Esempi di policy basate sull'identità per Amazon Detective
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse Detective. Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o AWS .
Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi collegare queste policy a utenti o gruppi IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Detective](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Account amministratore: gestione degli account membri in un grafico di comportamento](#security_iam_id-based-policy-examples-admin-account-mgmt)
+ [Account amministratore: utilizzo di un grafico di comportamento per le indagini](#security_iam_id-based-policy-examples-admin-investigate)
+ [Account membro: gestione degli inviti e delle iscrizioni al grafico di comportamento](#security_iam_id-based-policy-examples-member-account)
+ [Account amministratore: limitazione dell'accesso in base ai valori di tag](#security_iam_id-based-policy-examples-graph-tags)
## Best practice delle policy
Le policy basate sulle identità determinano se qualcuno può creare, accedere o eliminare risorse Detective nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le *politiche AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Detective
Per utilizzare la console Amazon Detective, l'utente o il ruolo deve avere accesso alle operazioni pertinenti, che corrispondono alle relative operazioni nell'API.
Per abilitare Detective e diventare un account amministratore per un grafico di comportamento, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione `CreateGraph`.
Per utilizzare la console Detective per eseguire operazioni dell'account amministratore, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione `ListGraphs`. Ciò concede l'autorizzazione a recuperare i grafici di comportamento di cui il relativo account è amministratore. È inoltre necessario concedergli l'autorizzazione a eseguire operazioni specifiche dell'account amministratore.
Le operazioni più basilari dell'account amministratore consistono nel visualizzare un elenco degli account membri in un grafico di comportamento e nell'utilizzare il grafico di comportamento per le indagini.
+ Per visualizzare l'elenco degli account membri in un grafico di comportamento, è necessario concedere al principale l'autorizzazione per l'operazione `ListMembers`.
+ Per condurre un'indagine in un grafico di comportamento, è necessario concedere al principale l'autorizzazione per l'operazione `SearchGraph`.
Per utilizzare la console Detective per eseguire operazioni dell'account membro, all'utente o al ruolo deve essere concessa l'autorizzazione per l'operazione `ListInvitations`. Ciò concede l'autorizzazione a visualizzare gli inviti del grafico di comportamento. È quindi possibile concedergli l'autorizzazione per operazioni specifiche dell'account membro.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Account amministratore: gestione degli account membri in un grafico di comportamento
Questa policy di esempio è diretta agli utenti con account amministratore che sono responsabili solo della gestione degli account membri utilizzati nel grafico di comportamento. La policy, inoltre, consente all'utente di visualizzare le informazioni di utilizzo e di disattivare Detective. La policy non concede l'autorizzazione per utilizzare il grafico di comportamento per le indagini.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:CreateGraph","detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## Account amministratore: utilizzo di un grafico di comportamento per le indagini
Questa policy di esempio è diretta agli utenti con account amministratore che utilizzano il grafico di comportamento solo per le indagini. Non possono visualizzare o modificare l'elenco degli account dei membri nel grafico di comportamento.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## Account membro: gestione degli inviti e delle iscrizioni al grafico di comportamento
Questa policy di esempio è diretta agli utenti che appartengono a un account membro. Nell'esempio, l'account membro appartiene a due grafici di comportamento. La policy concede l'autorizzazione a rispondere agli inviti e rimuovere l'account membro dal grafico di comportamento.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"],
"Resource":[
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
},
{
"Effect":"Allow",
"Action":["detective:ListInvitations"],
"Resource":"*"
}
]
}
```
------
## Account amministratore: limitazione dell'accesso in base ai valori di tag
La seguente policy consente all'utente di utilizzare un grafico di comportamento per verificare se il tag `SecurityDomain` del grafico di comportamento corrisponde al tag `SecurityDomain` dell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:SearchGraph"
],
"Resource": "arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain"
}
}
},
{
"Effect": "Allow",
"Action": [
"detective:ListGraphs"
],
"Resource": "*"
}
]
}
```
------
La seguente policy impedisce agli utenti di utilizzare un grafico di comportamento per verificare se il valore del tag `SecurityDomain` per il grafico di comportamento è `Finance`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[ {
"Effect":"Deny",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"}
}
} ]
}
```
------
# AWS politiche gestite per Amazon Detective
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AmazonDetectiveFullAccess
È possibile allegare la policy `AmazonDetectiveFullAccess` alle identità IAM.
Questa policy concede autorizzazioni amministrative che consentono a un principale l'accesso completo a tutte le operazioni di Amazon Detective. Puoi collegare questa policy a un principale prima che abiliti Detective per il suo account. Deve inoltre essere collegato al ruolo utilizzato per eseguire gli script Python di Detective per creare e gestire un grafico del comportamento.
I principali con queste autorizzazioni possono gestire gli account membri, aggiungere tag al loro grafico del comportamento e utilizzare Detective per le indagini. Possono anche archiviare GuardDuty i risultati. Il criterio fornisce le autorizzazioni necessarie alla console Detective per visualizzare i nomi degli account che si trovano in AWS Organizations.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `detective`: consente ai principali l'accesso completo alle operazioni di Detective.
+ `organizations`: consente ai principali di recuperare informazioni sugli account di un'organizzazione da AWS Organizations . Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account.
+ `guardduty`— Consente ai presidi di ottenere e archiviare i GuardDuty risultati dall'interno di Detective.
+ `securityhub`— Consente ai responsabili di ottenere i risultati del CSPM di Security Hub dall'interno di Detective.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonDetectiveMemberAccess
Puoi collegare la policy `AmazonDetectiveMemberAccess` anche alle tue entità IAM.
Questa policy fornisce ai membri l'accesso ad Amazon Detective e l'accesso in ambito alla console.
Con questa policy, puoi:
+ Visualizzare gli inviti all'iscrizione al grafico di Detective e accetta o rifiuta tali inviti.
+ Scoprire come la tua attività in Detective contribuisce ai costi di utilizzo di questo servizio nella pagina **Utilizzo**.
+ Annullare la tua appartenenza a un grafico.
Questa policy concede le autorizzazioni di sola lettura che consentono l'accesso in ambito alla console di Detective.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `detective`: consente ai membri di accedere a Detective.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonDetectiveInvestigatorAccess
Puoi collegare la policy `AmazonDetectiveInvestigatorAccess` anche alle tue entità IAM.
Questa policy fornisce ai responsabili delle indagini l'accesso al servizio Detective e l'accesso in ambito alle dipendenze dell'interfaccia utente della console Detective. Questa policy concede le autorizzazioni per abilitare le indagini di Detective per gli utenti IAM e i ruoli IAM. Puoi indagare per identificare gli indicatori di compromissione, come i risultati, utilizzando un report di indagine, che fornisce analisi e approfondimenti sugli indicatori di sicurezza. Il report è classificato in base alla gravità, determinata utilizzando l'analisi comportamentale e il machine learning di Detective. Puoi utilizzare il report per dare priorità alla riparazione delle risorse.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `detective`: consente ai responsabili delle indagini di accedere alle operazioni di Detective, di abilitare le indagini di Detective e di abilitare il riepilogo dei gruppi di risultati.
+ `guardduty`— Consente ai presidi di ottenere e archiviare i GuardDuty risultati dall'interno di Detective.
+ `securityhub`— Consente ai responsabili di ottenere i risultati del CSPM di Security Hub dall'interno di Detective.
+ `organizations`— Consente ai dirigenti di recuperare informazioni sugli account di un'organizzazione da. AWS Organizations Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonDetectiveOrganizationsAccess
Puoi collegare la policy `AmazonDetectiveOrganizationsAccess` anche alle tue entità IAM.
Questa policy concede l'autorizzazione per abilitare e gestire Amazon Detective all'interno di un'organizzazione. È possibile abilitare Detective in tutta l'organizzazione e determinare l'account amministratore delegato per Detective.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `detective`: consente ai principali di accedere alle operazioni di Detective.
+ `iam`: specifica che un ruolo collegato ai servizi viene creato quando Detective chiama `EnableOrganizationAdminAccount`.
+ `organizations`— Consente ai responsabili di recuperare informazioni sugli account di un'organizzazione da. AWS Organizations Se un account appartiene a un'organizzazione, queste autorizzazioni consentono alla console di Detective di visualizzare i nomi degli account oltre ai numeri di account. Consente l'integrazione di un AWS servizio, consente la registrazione e l'annullamento della registrazione dell'account membro specificato come amministratore delegato e consente ai responsabili di recuperare gli account amministratore delegato in altri servizi di sicurezza come Amazon Detective, Amazon, Amazon GuardDuty Macie e. AWS Security Hub CSPM
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politica gestita: AmazonDetectiveServiceLinkedRole
Non è possibile allegare la policy `AmazonDetectiveServiceLinkedRole` alle entità IAM. Questa policy è collegata a un ruolo collegato ai servizi che consente a Detective di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli collegati ai servizi per Detective](using-service-linked-roles.md).
Questa policy concede le autorizzazioni amministrative che consentono al ruolo collegato ai servizi di recuperare le informazioni sull'account per un'organizzazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations`: recupera le informazioni sull'account di un'organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## Detective: aggiornamenti alle policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Detective da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS nella [pagina della cronologia dei documenti ](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy): aggiornamento a policy esistenti | Sono state aggiunte operazioni di riepilogo dei gruppi di risultati e indagini di Detective alla policy `AmazonDetectiveInvestigatorAccess`. Queste operazioni consentono di avviare, recuperare e aggiornare le indagini di Detective e ottenere un riepilogo dei gruppi di risultati all'interno di Detective. | 26 novembre 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) e [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy): aggiornamenti alle policy esistenti | Detective ha aggiunto `GetFindings` le azioni CSPM di Security Hub alle policy `AmazonDetectiveFullAccess` e`AmazonDetectiveInvestigatorAccess`. Queste azioni consentono di ottenere i risultati del CSPM di Security Hub dall'interno di Detective. | 16 maggio 2023 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy): nuova policy | Detective ha aggiunto la policy `AmazonDetectiveOrganizationsAccess`. Questa policy concede l'autorizzazione per abilitare e gestire Detective all'interno di un'organizzazione | 2 marzo 2023 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess): nuova policy | Detective ha aggiunto la policy `AmazonDetectiveMemberAccess`. Questa policy fornisce ai membri l'accesso a Detective e l'accesso in ambito alle dipendenze dell'interfaccia utente della console. | 17 gennaio 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess): aggiornamenti a una policy esistente | Detective ha aggiunto GuardDuty `GetFindings` delle azioni alla `AmazonDetectiveFullAccess` polizza. Queste azioni consentono di ottenere GuardDuty risultati dall'interno del Detective. | 17 gennaio 2023 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy): nuova policy | Detective ha aggiunto la policy `AmazonDetectiveInvestigatorAccess`. Questa policy consente al principale di condurre indagini in Detective. | 17 gennaio 2023 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy): nuova policy | Detective ha aggiunto una nuova policy per il suo ruolo collegato ai servizi. La policy consente al ruolo collegato ai servizi di recuperare informazioni sugli account in un'organizzazione. | 16 dicembre 2021 |
| Detective ha iniziato a tenere traccia delle modifiche | Detective ha iniziato a tenere traccia delle modifiche alle sue politiche AWS gestite. | 10 maggio 2021 |
# Utilizzo dei ruoli collegati ai servizi per Detective
Amazon Detective utilizza AWS Identity and Access Management ruoli [collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente a Detective. I ruoli collegati ai servizi sono predefiniti dal Detective e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per conto dell'utente.
Un ruolo collegato ai servizi semplifica la configurazione di Detective perché consente di evitare l'aggiunta manuale delle autorizzazioni necessarie. Detective definisce le autorizzazioni dei relativi ruoli collegati ai servizi e, salvo diversamente definito, solo Detective potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. Questa procedura protegge le risorse di Detective perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione relativa ai [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli un **Sì** con un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni del ruolo collegato ai servizi per Detective
Detective utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForDetective**: consente al Detective di accedere alle AWS Organizations informazioni per tuo conto.
Il ruolo AWSService RoleForDetective collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `detective.amazonaws.com`
Il ruolo AWSService RoleForDetective collegato al servizio utilizza la policy gestita. [`AmazonDetectiveServiceLinkedRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy)
Per dettagli sugli aggiornamenti della `AmazonDetectiveServiceLinkedRolePolicy` politica, consulta gli [aggiornamenti di Amazon Detective alle politiche AWS gestite](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates). Per ricevere avvisi automatici sulle modifiche a questa politica, iscriviti al feed RSS nella pagina della [cronologia dei documenti di Detective](https://docs.aws.amazon.com//detective/latest/userguide/doc-history.html).
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per Detective
Non è necessario creare manualmente un ruolo collegato ai servizi. Quando si designa l'account amministratore di Detective per un'organizzazione nella Console di gestione AWS, nella o nell' AWS API AWS CLI, Detective crea il ruolo collegato al servizio per l'utente.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando si definisce l'account amministratore di Detective per un'organizzazione, Detective crea il ruolo collegato ai servizi per tuo conto.
## Modifica di un ruolo collegato ai servizi per Detective
Detective non consente di modificare il ruolo AWSService RoleForDetective collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato ai servizi per Detective
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Detective utilizza tale ruolo quando provi a eliminare le risorse, è possibile che l'eliminazione non riesca. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
**Per eliminare le risorse del Detective utilizzate da AWSService RoleForDetective**
1. Rimuovi l'account amministratore di Detective. Per informazioni, consulta [Designazione dell'amministratore Detective di un'organizzazione](accounts-designate-admin.md).
1. Ripeti la procedura in ogni Regione in cui hai designato l'account amministratore di Detective.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSService RoleForDetective collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati ai servizi di Detective
Detective supporta l'utilizzo di ruoli collegati ai servizi in tutte le Regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Detective
Utilizza le seguenti informazioni per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di Detective e IAM. Se riscontri problemi di accesso negato o difficoltà simili quando lavori con AWS Identity and Access Management(IAM), consulta gli argomenti [sulla risoluzione dei problemi di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html) nella Guida per l'utente *IAM*.
## Non sono autorizzato a eseguire un'operazione in Detective
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona da cui si sono ricevuti il nome utente e la password.
L'errore di esempio riportato di seguito si verifica quando l'utente `mateojackson` IAM prova a utilizzare la console per accettare un invito a diventare un account membro per un grafico di comportamento, ma non dispone delle autorizzazioni `detective:AcceptInvitation`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: detective:AcceptInvitation on resource: arn:aws:detective:us-east-1:444455556666:graph:567856785678
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `arn:aws:detective:us-east-1:444455556666:graph:567856785678` mediante l'operazione `detective:AcceptInvitation`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a Detective.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` prova a utilizzare la console per eseguire un'operazione in Detective. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse da Detective
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per capire se Detective supporta queste funzionalità, consulta [Funzionamento di Amazon Detective con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in Account AWS un altro Account AWS di tua proprietà nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM* User Guide.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Convalida della conformità per Amazon Detective
Amazon Detective rientra nell'ambito del programma di AWS garanzia. Per ulteriori informazioni, vedere [Health Information Trust Alliance Common Security Framework (HITRUST) CSF](https://aws.amazon.com/compliance/services-in-scope/HITRUST-CSF/) .
Per un elenco dei AWS servizi nell'ambito di programmi di conformità specifici, vedere [AWSServizi nell'ambito del programma di conformità AWS](https://aws.amazon.com/compliance/services-in-scope/) . Per informazioni generali, vedere Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) Scaricamento dei . AWS
AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Guide rapide su sicurezza e conformità Guide introduttive](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) alla sicurezza e alla conformità illustrano le considerazioni relative all'architettura e forniscono i passaggi per implementare ambienti di base incentrati sulla sicurezza e la conformità. AWS
+ [Valutazione delle risorse in base alle regole contenute](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *Guida per gli AWS Config sviluppatori*: il AWS Config servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente e consente di verificare la conformità agli standard e alle best practice del settore della sicurezza. AWS
# Resilienza in Amazon Detective
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità è possibile progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Oltre all'infrastruttura AWS globale, Detective utilizza la resilienza integrata in Amazon DynamoDB e Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3). Per ulteriori informazioni, consulta la pagina [Resilienza e disaster recovery in Amazon](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/disaster-recovery-resiliency.html) [DynamoDB e Resilience in](https://docs.aws.amazon.com//AmazonS3/latest/userguide/disaster-recovery-resiliency.html) Amazon Simple Storage Service.
L'architettura di Detective è inoltre resistente al fallimento di una singola zona di disponibilità. Questa resilienza è integrata in Detective e non richiede alcuna configurazione.
# Sicurezza dell'infrastruttura in Amazon Detective
Come servizio gestito, Amazon Detective; è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere a Detective; attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Amazon Detective e endpoint VPC di interfaccia ()AWS PrivateLink
Puoi stabilire una connessione privata tra il tuo VPC e Amazon Detective creando un endpoint *VPC* di interfaccia. Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere in modo privato a Detective APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect. [AWS PrivateLink](https://aws.amazon.com/privatelink) Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Detective. APIs Il traffico tra il tuo VPC e Detective non esce dalla rete Amazon.
Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti.
*Per ulteriori informazioni, consulta [Interface VPC endpoints (AWS PrivateLink) nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
## Considerazioni sugli endpoint Detective VPC
*Prima di configurare un endpoint VPC di interfaccia per Detective, assicurati di esaminare le [proprietà e le limitazioni dell'endpoint dell'interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) nella Guida.AWS PrivateLink *
Detective supporta le chiamate a tutte le sue azioni API dal tuo VPC.
Detective supporta FIPS nelle seguenti regioni:
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti orientali (Ohio)
+ Stati Uniti occidentali (California settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Canada (Centrale)
## Creazione di un'interfaccia VPC endpoint per Detective
Puoi creare un endpoint VPC per il servizio Detective utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) nella *Guida per l'utente di AWS PrivateLink *.
Crea un endpoint VPC per Detective utilizzando il seguente nome di servizio:
+ com.amazonaws. *region*.investigatore
+ com.amazonaws. *region*.detective-fips
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API a Detective utilizzando il nome DNS predefinito per la regione, ad esempio. `api.detective.us-east-1.amazonaws.com` Per ulteriori informazioni, consulta [Amazon Detective endpoints](https://docs.aws.amazon.com/general/latest/gr/detective.html) nel *Riferimenti generali di Amazon Web Services*.
*Per ulteriori informazioni, consulta [Accedere a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) nella AWS PrivateLink Guida.*
## Creazione di una policy sugli endpoint VPC per Detective
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso a Detective. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
*Per ulteriori informazioni, consulta [Controllare l'accesso ai servizi con endpoint VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink *
**Esempio: policy sugli endpoint VPC per le azioni dei Detective**
Di seguito è riportato un esempio di policy sugli endpoint per Detective. Se associata a un endpoint, questa politica consente l'accesso alle azioni Detective elencate per tutti i responsabili su tutte le risorse.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"detective:ListGraphs",
"detective:ListMembers"
],
"Resource":"*"
}
]
}
```
## Sottoreti condivise
Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. Per informazioni sulla condivisione VPC, consulta la pagina [Condivisione del VPC con altri account](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) nella *Guida per l'utente di Amazon VPC*.
# Le migliori pratiche di sicurezza per Detective
Detective fornisce una serie di funzionalità di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
Per Detective, le best practice di sicurezza sono associate alla gestione degli account in un grafico di comportamento.
## Le migliori pratiche per gli account degli amministratori di Detective
Quando inviti degli account dei membri al tuo grafico comportamentale da Detective, invita solo gli account che hai supervisionato.
Limita l'accesso al grafico di comportamento. Gli utenti con [AmazonDetectiveFullAccess](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-amazondetectivefullaccess)questa policy possono concedere l'accesso a tutte le azioni del Detective. I principali con queste autorizzazioni possono gestire gli account membri, aggiungere tag al loro grafico del comportamento e utilizzare Detective per le indagini. Quando un utente ha accesso a un grafico di comportamento, può visualizzare tutti i risultati relativi agli account membri. Tali risultati potrebbero rivelare informazioni di sicurezza sensibili.
## Best practice per gli account membri
Quando ricevi un invito a visualizzare un grafico di comportamento, assicurati di verificare la fonte dell'invito.
Controlla l' AWS identificatore dell'account amministratore che ha inviato l'invito. Assicurati di sapere a chi appartiene l'account e verifica che l'account che ha inviato l'invito abbia un motivo legittimo per monitorare i tuoi dati di sicurezza.