ステップ 2: Detective で必要な IAM アクセス許可をアカウントに追加する

このトピックでは、IAM ID に追加する必要がある AWS Identity and Access Management (IAM) アクセス許可ポリシーの詳細について説明します。

Detective と Security Lake の統合を有効にするには、IAM ID に次の AWS Identity and Access Management (IAM) アクセス許可ポリシーをアタッチする必要があります。

以下のインラインポリシーをロールにアタッチします。独自の Amazon S3 バケットを使用して Athena クエリ結果を保存する場合は、athena-results-bucket を Amazon S3 バケット名に置き換えてください。Detective に Amazon S3 バケットを自動的に生成させて Athena クエリの結果を保存する場合は、IAM ポリシーから S3ObjectPermissions 全体を削除します。

このポリシーを IAM ID にアタッチするために必要なアクセス許可がない場合は、 AWS 管理者にお問い合わせください。必要なアクセス許可があっても問題が発生した場合は、IAM ユーザーガイドの「アクセス拒否エラーメッセージのトラブルシューティング」を参照してください。

JSON


{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetPartitions",
                "glue:GetTable",
                "glue:GetTables"
            ],
            "Resource": [
                "arn:aws:glue:*:123456789012:database/amazon_security_lake*",
                "arn:aws:glue:*:123456789012:table/amazon_security_lake*/amazon_security_lake*",
                "arn:aws:glue:*:123456789012:catalog"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryRuntimeStatistics",
                "athena:GetWorkGroup",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "lakeformation:GetDataAccess",
                "ram:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Resource": [
                "arn:aws:ssm:*:123456789012:parameter/Detective/SLI"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetTemplateSummary",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "securitylake.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

表示を増やす

表示を減らす

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ステップ 1: Detective で Security Lake サブスクライバーを作成する

ステップ 3: リソース共有 ARN 招待を受け入れる