AWS Amazon Detective の マネージドポリシー - Amazon Detective
AmazonDetectiveFullAccessAmazonDetectiveMemberAccessAmazonDetectiveInvestigatorAccessAmazonDetectiveOrganizationsAccessAmazonDetectiveServiceLinkedRoleポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon Detective の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: AmazonDetectiveFullAccess

AmazonDetectiveFullAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、プリンシパルにすべての Amazon Detective アクションへのフルアクセスを許可する管理者許可を付与します。ユーザーは、アカウントで Detective を有効にする前に、このポリシーをプリンシパルにアタッチできます。Detective Python スクリプトを実行して動作グラフを作成および管理するために使用されるロールにアタッチする必要もあります。

これらの許可が付与されているプリンシパルは、メンバーアカウントを管理し、動作グラフにタグを追加し、調査に Detective を使用できます。また、GuardDuty の検出結果をアーカイブすることもできます。このポリシーは、Detective コンソールが にあるアカウントのアカウント名を表示するために必要なアクセス許可を提供します AWS Organizations。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • detective – プリンシパルに Detective のすべてのアクションへのフルアクセスを許可します。

  • organizations – プリンシパルが組織内のアカウントに関する AWS Organizations の情報から取得することを許可します。アカウントが組織に属している場合、これらのアクセス許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。

  • guardduty – プリンシパルが Detective 内から GuardDuty の検出結果を取得してアーカイブすることを許可します。

  • securityhub — プリンシパルが Detective 内から Security Hub からの検出結果を取得することを許可します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "detective:*",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:ArchiveFindings"
            ],
            "Resource": "arn:aws:guardduty:*:*:detector/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:GetFindings",
                "guardduty:ListDetectors"
                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "securityHub:GetFindings"
            ],
            "Resource": "*"
         } 
    ]
}

AWS 管理ポリシー: AmazonDetectiveMemberAccess

IAM エンティティに、AmazonDetectiveMemberAccess ポリシーをアタッチできます。

このポリシーは、Amazon Detective へのメンバーアクセスと、コンソールへのスコープ付きアクセスを提供します。

このポリシーにより、以下のことが可能になります。

  • Detective グラフメンバーシップへの招待を表示し、招待を承諾または拒否できます。

  • Detective でのアクティビティがこのサービスの使用コストにどのように影響するかについて、[使用状況] ページで確認できます。

  • メンバーシップからの脱退をグラフで確認できます。

このポリシーは、Detective コンソールへのスコープ付きアクセスを可能にする読み取り専用アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • detective — メンバーが Detective にアクセスできるようにします。

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:BatchGetMembershipDatasources",
        "detective:DisassociateMembership",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations",
        "detective:RejectInvitation"
      ],
      "Resource": "*"
    }
  ]
}

AWS マネージドポリシー: AmazonDetectiveInvestigatorAccess

IAM エンティティに AmazonDetectiveInvestigatorAccess ポリシーをアタッチできます。

このポリシーは、調査員に Detective サービスへのアクセスと、Detective コンソール UI の依存関係へのスコープ付きアクセスを提供します。このポリシーによって、Detective で Detective 調査を有効にする権限が IAM ユーザーと IAM ロールに付与されます。セキュリティ指標に関する分析と洞察を提供する調査レポートを使用して、検出結果などの侵害の指標を特定できます。このレポートは、Detective の行動分析と機械学習を使用して確定された重要度別にランク付けされています。このレポートを使用すると、リソースの修復の優先順位を付けることができます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • detective — プリンシパルが Detective アクションにアクセスすることを許可し、Detective の調査を有効にするとともに、検出結果グループの概要を有効化できます。

  • guardduty – プリンシパルが Detective 内から GuardDuty の検出結果を取得してアーカイブすることを許可します。

  • securityhub — プリンシパルが Detective 内から Security Hub からの検出結果を取得することを許可します。

  • organizations – プリンシパルが組織内のアカウントに関する情報を取得できるようにします AWS Organizations。アカウントが組織に属している場合、これらの許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DetectivePermissions",
      "Effect": "Allow",
      "Action": [ 
        "detective:BatchGetGraphMemberDatasources",
        "detective:BatchGetMembershipDatasources",
        "detective:DescribeOrganizationConfiguration",
        "detective:GetFreeTrialEligibility",
        "detective:GetGraphIngestState",
        "detective:GetMembers",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListDatasourcePackages",
        "detective:ListGraphs",
        "detective:ListHighDegreeEntities",
        "detective:ListInvitations",
        "detective:ListMembers",
        "detective:ListOrganizationAdminAccount",
        "detective:ListTagsForResource",
        "detective:SearchGraph",
        "detective:StartInvestigation",
        "detective:GetInvestigation",
        "detective:ListInvestigations",
        "detective:UpdateInvestigationState",
        "detective:ListIndicators",
        "detective:InvokeAssistant"
      ],
      "Resource": "*"
    },
    {
      "Sid": "OrganizationsPermissions",
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GuardDutyPermissions",
      "Effect": "Allow",
      "Action": [
        "guardduty:ArchiveFindings",
        "guardduty:GetFindings",
        "guardduty:ListDetectors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecurityHubPermissions",
      "Effect": "Allow",
      "Action": [
        "securityHub:GetFindings"
      ],
      "Resource": "*"
    }
  ]
}

AWS マネージドポリシー: AmazonDetectiveOrganizationsAccess

IAM エンティティに AmazonDetectiveOrganizationsAccess ポリシーをアタッチできます。

このポリシーは、組織内で Amazon Detective を有効化および管理するためのアクセス許可を付与します。Detective を組織全体で有効にし、Detective の委任された管理者アカウントを決定できます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • detective – プリンシパルに Detective のアクションへのアクセスを許可します。

  • iam— Detective がEnableOrganizationAdminAccount を呼び出したときに、サービスリンクロールが作成されるように指定します。

  • organizations – プリンシパルが組織内のアカウントに関する情報を取得できるようにします AWS Organizations。アカウントが組織に属している場合、これらの許可は、Detective コンソールがアカウント番号に加えてアカウント名を表示することを許可します。 AWS サービスの統合を有効にし、指定されたメンバーアカウントの委任管理者としての登録と登録解除を許可し、プリンシパルが Amazon Detective、Amazon GuardDuty、Amazon Macie、 などの他のセキュリティサービスで委任管理者アカウントを取得できるようにします AWS Security Hub。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:DisableOrganizationAdminAccount",
        "detective:EnableOrganizationAdminAccount",
        "detective:ListOrganizationAdminAccount"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "detective.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:ListDelegatedAdministrators"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com",
            "guardduty.amazonaws.com",
            "macie.amazonaws.com",
            "securityhub.amazonaws.com"
          ]
        }
      }
    }
  ]
}

AWS マネージドポリシー: AmazonDetectiveServiceLinkedRole

IAM エンティティに AmazonDetectiveServiceLinkedRole ポリシーをアタッチすることはできません。このポリシーは、ユーザーに代わって Detective がアクションを実行することを許可する、サービスリンクロールにアタッチされます。詳細については、「Detective のサービスリンクロールの使用」を参照してください。

このポリシーは、サービスリンクロールが組織のアカウント情報を取得できるようにする管理アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • organizations - 組織のアカウント情報を取得します。

JSON
{
  "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "organizations:DescribeAccount",
              "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS 管理ポリシーに対する Detective の更新

このサービスがこれらの変更の追跡を開始してからの Detective の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、「 ドキュメン履歴ページ」ページで RSS フィードをサブスクライブしてください。

変更 説明 日付

AmazonDetectiveInvestigatorAccess - 既存のポリシーの更新

Detective の調査と検出結果グループの概要アクションを AmazonDetectiveInvestigatorAccess ポリシーに追加しました。

これらのアクションにより、Detective 調査の開始、取得、更新が可能になり、Detective 内から検出結果グループの概要を取得できます。

 2023 年 11 月 26 日

AmazonDetectiveFullAccessAmazonDetectiveInvestigatorAccess — 既存のポリシーに対する更新

Detective の AmazonDetectiveFullAccess および AmazonDetectiveInvestigatorAccess ポリシーに Security Hub GetFindings アクションを追加されました。

これらのアクションにより、Detective 内から、Security Hub からの検出結果を取得できます。

 2023 年 5 月 16 日

AmazonDetectiveOrganizationsAccess - 新しいポリシー

Detective に AmazonDetectiveOrganizationsAccess ポリシーが追加されました。

このポリシーは、組織内で Detective を有効化および管理するためのアクセス許可を付与します。

 2023 年 3 月 2 日

AmazonDetectiveMemberAccess - 新しいポリシー

Detective に AmazonDetectiveMemberAccess ポリシーが追加されました。

このポリシーは、メンバーが、Detective にアクセスできるようにするとともにコンソール UI の依存関係にスコープ付きでアクセスできるようにします。

2023 年 1 月 17 日

AmazonDetectiveFullAccess – 既存ポリシーの更新

Detective の AmazonDetectiveFullAccess ポリシーに GuardDuty GetFindings アクションが追加されました。

これらのアクションにより、Detective 内から、GuardDuty からの検出結果を取得できます。

 2023 年 1 月 17 日

AmazonDetectiveInvestigatorAccess - 新しいポリシー

Detective に AmazonDetectiveInvestigatorAccess ポリシーが追加されました。

このポリシーにより、プリンシパルは Detective で調査を行うことができます。

 2023 年 1 月 17 日

AmazonDetectiveServiceLinkedRole - 新しいポリシー

Detective で、サービスリンクロールに新しいポリシーが追加されました。

このポリシーは、サービスリンクロールが組織内のアカウントに関する情報を取得することを許可します。

 2021 年 12 月 16 日

Detective は変化を追跡し始めました

Detective は、 AWS 管理ポリシーの変更の追跡を開始しました。

 2021 年 5 月 10 日