Policy basate su identità di Detective Policy basate sulle risorse di Detective (non supportate)Autorizzazione basata sui tag del grafici di comportamento di Detective Ruoli IAM di Detective

Funzionamento di Amazon Detective con IAM

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon Detective. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI,, o. Un amministratore Detective deve disporre di politiche AWS Identity and Access Management (IAM) che concedano agli utenti e ai ruoli IAM l'autorizzazione a eseguire operazioni API specifiche sulle risorse specificate di cui ha bisogno. L'amministratore deve quindi collegare queste policy al principale che richiedono tali autorizzazioni.

Detective utilizza le policy basate sull'identità IAM per concedere le autorizzazioni per i seguenti tipi di utenti e operazioni:

Account amministratore: l'account amministratore è il proprietario di un grafico di comportamento, che utilizza i dati del proprio account. L'account amministratore può invitare gli account membri a contribuire con i propri dati al grafico di comportamento. L'account amministratore può anche utilizzare il grafico comportamentale per la valutazione e l'analisi dei risultati e delle risorse associati a tali account.

È possibile impostare le policy per consentire agli utenti diversi dall'account amministratore di eseguire diversi tipi di attività. Ad esempio, un utente con un account amministratore potrebbe avere solo le autorizzazioni per gestire gli account membri. Un altro utente potrebbe avere solo le autorizzazioni per utilizzare il grafico di comportamento per le indagini.
Account membri: un account membro è un account invitato a contribuire con i dati a un grafico di comportamento. Un account membro risponde a un invito. Dopo aver accettato un invito, un account membro può rimuovere il proprio account dal grafico di comportamento.

Per avere una visione di alto livello di come Detective e altri Servizi AWS lavorano con IAM, consulta Creazione di policy nella scheda JSON nella IAM User Guide.

Policy basate su identità di Detective

Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Detective supporta operazioni, risorse e chiavi di condizione specifiche.

Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Azioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.

L'elemento Action di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.

Le istruzioni della policy devono includere un elemento Action o un elemento NotAction. L'elemento Action elenca le azioni consentite dalla policy. L'elemento NotAction elenca le operazioni non consentite.

Le operazioni definite per Detective riflettono le attività che è possibile eseguire utilizzando Detective. Le operazioni delle policy in Detective hanno il seguente prefisso: detective:.

Ad esempio, per concedere l'autorizzazione per utilizzare l'operazione API CreateMembers per invitare gli account membri a un grafico di comportamento, includi l'operazione detective:CreateMembers nella policy.

Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Ad esempio, per un account membro, la politica include l'insieme di operazioni relative alla gestione di un invito:


"Action": [
      "detective:ListInvitations",
      "detective:AcceptInvitation",
      "detective:RejectInvitation",
      "detective:DisassociateMembership
]

Per specificare più operazioni, è possibile utilizzare i caratteri jolly (*). Ad esempio, per gestire i dati utilizzati nel grafico di comportamento, gli account amministratore in Detective devono poter eseguire le seguenti attività:

Visualizza l'elenco di account membri (ListMembers).
Ottieni informazioni sugli account membri selezionati (GetMembers).
Invita gli account membri a visualizzare il loro grafico di comportamento (CreateMembers).
Rimuovi i membri dal grafico di comportamento (DeleteMembers).

Invece di elencare queste operazioni separatamente, puoi concedere l'accesso a tutte le operazioni che terminano con la parola Members. La policy a tal fine potrebbe includere la seguente operazione:


"Action": "detective:*Members"

Per visualizzare un elenco di operazioni di Detective, consulta Operazioni definite da Amazon Detective nella Guida di riferimento per l'autorizzazione del servizio.

Resources

L’elemento JSON Resource della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (*) per indicare che l’istruzione si applica a tutte le risorse.


"Resource": "*"

Per ulteriori informazioni sul formato di ARNs, consulta Amazon Resource Names (ARNs) e AWS Service Namespaces.

Per Detective, l'unico tipo di risorsa è il grafico di comportamento. La risorsa del grafico di comportamento in Detective ha il seguente ARN:


arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}

Ad esempio, un grafico di comportamento ha i seguenti valori:

La Regione per il grafico di comportamento è us-east-1.
L'ID account per l'account amministratore è 111122223333.
L'ID del grafico di comportamento è 027c7c4610ea4aacaf0b883093cab899.

Per identificare questo grafico di comportamento in una istruzione Resource, è necessario utilizzare il seguente ARN:


"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"

Per specificare più risorse in una istruzione Resource, separa gli ARN con le virgole.


"Resource": [
      "resource1",
      "resource2"
]

Ad esempio, lo stesso AWS account può essere invitato a diventare un account membro in più di un grafico comportamentale. Nella policy per quell'account membro, l'istruzione Resource elencherebbe i grafici di comportamento a cui sono stati invitati.


"Resource": [
      "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
      "arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]

Alcune operazioni di Detective, come la creazione di un grafico di comportamento, la visualizzazione di grafici di comportamento e la visualizzazione degli inviti al grafico di comportamento, non vengono eseguite su un grafico di comportamento specifico. Per queste operazioni, l'istruzione Resource deve utilizzare il carattere jolly (*).


"Resource": "*"

Per le operazioni dell'account amministratore, Detective verifica sempre che l'utente che effettua la richiesta appartenga all'account amministratore per il grafico di comportamento interessato. Per le operazioni dell'account membro, Detective verifica sempre che l'utente che effettua la richiesta appartenga all'account membro. Anche se una policy IAM concede l'accesso a un grafico di comportamento, se l'utente non appartiene all'account corretto, l'utente non può eseguire l'azione.

Per tutte le operazioni eseguite su uno specifico grafico di comportamento, la policy IAM deve includere l'ARN del grafico. L'ARN del grafico può essere aggiunto in un secondo momento. Ad esempio, quando un account abilita per la prima volta Detective, la policy IAM iniziale fornisce l'accesso a tutte le operazioni di Detective, utilizzando il carattere jolly per l'ARN del grafico. Ciò consente all'utente di iniziare immediatamente a gestire gli account membri e a condurre indagini nel proprio grafico di comportamento. Dopo aver creato il grafico di comportamento, puoi aggiornare la policy per aggiungere l'ARN del grafico.

Chiavi di condizione

L’elemento Condition specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.

Detective non definisce il proprio set di chiavi di condizione. Supporta l'utilizzo di alcune chiavi di condizione globali. Per vedere tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida per l'utente IAM.

Per scoprire con quali operazioni e risorse puoi utilizzare una chiave di condizione, consulta Operazioni definite da Amazon Detective.

Esempi

Per visualizzare esempi di policy basate su identità di Detective, consulta Esempi di policy basate sull'identità per Amazon Detective.

Policy basate sulle risorse di Detective (non supportate)

Detective non supporta policy basate su risorse.

Autorizzazione basata sui tag del grafici di comportamento di Detective

A ciascun grafico di comportamento possono essere assegnati valori di tag. È possibile utilizzare questi valori di tag nelle istruzioni condizionali per gestire l'accesso al grafico.

L'istruzione condizionale per un valore di tag utilizza il formato seguente.


{"StringEquals"{"aws:ResourceTag/<tagName>": "<tagValue>"}}

Ad esempio, utilizza il codice seguente per consentire o negare un'azione quando il valore del tag Department è Finance.


{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}

Per esempi di policy che utilizzano i valori dei tag di risorsa, consulta Account amministratore: limitazione dell'accesso in base ai valori di tag.

Ruoli IAM di Detective

Un ruolo IAM è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee con Detective

È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Ottieni credenziali di sicurezza temporanee chiamando operazioni AWS STS API come AssumeRoleo. GetFederationToken

Detective supporta l'uso di credenziali temporanee.

Ruoli collegati ai servizi

I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.

Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi di Detective, consulta Utilizzo dei ruoli collegati ai servizi per Detective.

Ruoli di servizio (non supportati)

Questa funzionalità consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.

Detective non supporta i ruoli del servizio.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dell’identità e degli accessi

Esempi di policy basate su identità