AWS Amazon Detective에 대한 관리형 정책 - Amazon Detective
AmazonDetectiveFullAccessAmazonDetectiveMemberAccessAmazonDetectiveInvestigatorAccessAmazonDetectiveOrganizationsAccessAmazonDetectiveServiceLinkedRole정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Amazon Detective에 대한 관리형 정책

AWS관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다AWS.AWS관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS관리형 정책은 모든AWS고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을AWS업데이트하는AWS경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다.AWSAWS 서비스는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때AWS관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용자 가이드AWS관리형 정책을 참조하세요.

AWS관리형 정책: AmazonDetectiveFullAccess

AmazonDetectiveFullAccess 정책을 IAM ID에 연결할 수 있습니다.

이 정책은 모든 Amazon Detective 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다. 이 정책은 보안 주체가 해당 계정에 대해 Detective를 활성화하기 전에 보안 주체에게 연결할 수 있습니다. 또한 동작 그래프를 생성하고 관리하기 위해 Detective Python 스크립트를 실행하는 데 사용되는 역할에 연결되어야 합니다.

이러한 권한이 있는 보안 주체는 멤버 계정을 관리하고, 동작 그래프에 태그를 추가하고, Detective를 사용하여 조사할 수 있습니다. 또한 GuardDuty 조사 결과를 보관할 수도 있습니다. 이 정책은 Detective 콘솔에 있는 계정의 계정 이름을 표시하는 데 필요한 권한을 제공합니다AWS Organizations.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • detective – 보안 주체가 Detective 작업에 대한 모든 액세스 권한을 가질 수 있습니다.

  • organizations – 보안 주체가 조직의 계정에 대한AWS Organizations정보를 검색할 수 있습니다. 계정이 조직에 속한 경우 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.

  • guardduty - 보안 주체가 Detective 내에서 GuardDuty 조사 결과를 가져오고 보관할 수 있습니다.

  • securityhub - 보안 주체가 Detective 내에서 Security Hub CSPM 조사 결과를 가져올 수 있도록 허용합니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "detective:*",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:ArchiveFindings"
            ],
            "Resource": "arn:aws:guardduty:*:*:detector/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:GetFindings",
                "guardduty:ListDetectors"
                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "securityHub:GetFindings"
            ],
            "Resource": "*"
         } 
    ]
}

AWS관리형 정책: AmazonDetectiveMemberAccess

AmazonDetectiveMemberAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 Amazon Detective에 대한 멤버 액세스 권한과 콘솔에 대한 범위 지정 액세스를 제공합니다.

이 정책을 통해 다음을 수행할 수 있습니다.

  • Detective 그래프 멤버십 초대를 확인하고 해당 초대를 수락하거나 거부할 수 있습니다.

  • 사용 페이지에서 Detective에서의 활동이 이 서비스 사용 비용에 어떻게 기여하는지 확인합니다.

  • 그래프로 멤버십에서 탈퇴합니다.

이 정책은 Detective
콘솔에 대한 범위 지정 액세스를 허용하는 읽기 전용 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • detective - 멤버가 Detective에 액세스할 수 있습니다.

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:BatchGetMembershipDatasources",
        "detective:DisassociateMembership",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations",
        "detective:RejectInvitation"
      ],
      "Resource": "*"
    }
  ]
}

AWS관리형 정책: AmazonDetectiveInvestigatorAccess

AmazonDetectiveInvestigatorAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 Detective 서비스에 대한 조사자 액세스 권한과 콘솔 UI 종속성에 대한 범위 지정 액세스 권한을 제공합니다. 이 정책은 IAM 사용자 및 IAM 역할에 대해 Detective에서 Detective 조사를 활성화할 수 있는 권한을 부여합니다. 보안 지표에 대한 분석 및 통찰력을 제공하는 조사 보고서를 사용하여 조사 결과와 같은 손상 지표를 식별할 수 있습니다. 보고서는 Detective의 동작 분석 및 기계 학습을 사용하여 결정되는 심각도에 따라 순위가 매겨집니다. 보고서를 사용하여 리소스 문제 해결의 우선 순위를 정할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • detective - 보안 주체 조사자가 Detective 작업에 액세스하여 Detective 조사를 활성화하고 조사 결과 그룹 요약을 활성화할 수 있도록 합니다.

  • guardduty - 보안 주체가 Detective 내에서 GuardDuty 조사 결과를 가져오고 보관할 수 있습니다.

  • securityhub - 보안 주체가 Detective 내에서 Security Hub CSPM 조사 결과를 가져올 수 있도록 허용합니다.

  • organizations - 보안 주체가 조직의 계정에 대한 정보를 검색할 수 있도록 허용합니다AWS Organizations. 계정이 조직에 속하면 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DetectivePermissions",
      "Effect": "Allow",
      "Action": [ 
        "detective:BatchGetGraphMemberDatasources",
        "detective:BatchGetMembershipDatasources",
        "detective:DescribeOrganizationConfiguration",
        "detective:GetFreeTrialEligibility",
        "detective:GetGraphIngestState",
        "detective:GetMembers",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListDatasourcePackages",
        "detective:ListGraphs",
        "detective:ListHighDegreeEntities",
        "detective:ListInvitations",
        "detective:ListMembers",
        "detective:ListOrganizationAdminAccount",
        "detective:ListTagsForResource",
        "detective:SearchGraph",
        "detective:StartInvestigation",
        "detective:GetInvestigation",
        "detective:ListInvestigations",
        "detective:UpdateInvestigationState",
        "detective:ListIndicators",
        "detective:InvokeAssistant"
      ],
      "Resource": "*"
    },
    {
      "Sid": "OrganizationsPermissions",
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GuardDutyPermissions",
      "Effect": "Allow",
      "Action": [
        "guardduty:ArchiveFindings",
        "guardduty:GetFindings",
        "guardduty:ListDetectors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecurityHubPermissions",
      "Effect": "Allow",
      "Action": [
        "securityHub:GetFindings"
      ],
      "Resource": "*"
    }
  ]
}

AWS관리형 정책: AmazonDetectiveOrganizationsAccess

AmazonDetectiveOrganizationsAccess 정책을 IAM 엔터티에 연결할 수 있습니다.

이 정책은 조직 내에서 Amazon Detective를 활성화하고 관리할 권한을 부여합니다. 조직 전체에서 Detective를 활성화하고 Detective의 위임된 관리자 계정을 결정할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • detective – 보안 주체가 Detective 작업에 대한 액세스 권한을 가질 수 있습니다.

  • iam - Detective가 EnableOrganizationAdminAccount를 호출할 때 서비스 연결 역할이 생성되도록 지정합니다.

  • organizations - 보안 주체가 조직의 계정에 대한 정보를 검색할 수 있도록 허용합니다AWS Organizations. 계정이 조직에 속하면 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.AWS서비스 통합을 활성화하고, 지정된 멤버 계정을 위임된 관리자로 등록 및 등록 취소할 수 있으며, 보안 주체가 Amazon Detective, Amazon GuardDuty, Amazon Macie, 등의 다른 보안 서비스에서 위임된 관리자 계정을 검색할 수 있습니다AWS Security Hub CSPM.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:DisableOrganizationAdminAccount",
        "detective:EnableOrganizationAdminAccount",
        "detective:ListOrganizationAdminAccount"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "detective.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:ListDelegatedAdministrators"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "detective.amazonaws.com",
            "guardduty.amazonaws.com",
            "macie.amazonaws.com",
            "securityhub.amazonaws.com"
          ]
        }
      }
    }
  ]
}

AWS관리형 정책: AmazonDetectiveServiceLinkedRole

AmazonDetectiveServiceLinkedRole 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Detective에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 Detective에 서비스 연결 역할 사용 단원을 참조하십시오.

이 정책은 서비스 연결 역할이 조직의 계정 정보를 검색할 수 있도록 하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • organizations - 조직의 계정 정보를 검색합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "organizations:DescribeAccount",
              "organizations:ListAccounts"
            ],
            "Resource": "*"
        }
    ]
}

AWS관리형 정책에 대한 Detective 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Detective의AWS관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 설명 Date

AmazonDetectiveInvestigatorAccess - 기존 정책에 대한 업데이트

Detective 조사 및 조사 결과 그룹 요약 작업을 AmazonDetectiveInvestigatorAccess 정책에 추가했습니다.

이러한 작업을 통해 Detective 조사를 시작, 검색 및 업데이트하고 Detective 내에서 조사 결과 그룹 요약을 얻을 수 있습니다.

 2023년 11월 26일

AmazonDetectiveFullAccessAmazonDetectiveInvestigatorAccess - 기존 정책 업데이트

Detective는 Security Hub CSPM GetFindings 작업을 AmazonDetectiveFullAccessAmazonDetectiveInvestigatorAccess 정책에 추가했습니다.

이러한 작업을 통해 Detective 내에서 Security Hub CSPM 조사 결과를 가져올 수 있습니다.

 2023년 5월 16일

AmazonDetectiveOrganizationsAccess - 새 정책

Detective는 AmazonDetectiveOrganizationsAccess 정책을 추가했습니다.

이 정책은 조직 내에서 Detective를 활성화하고 관리할 권한을 부여합니다.

 2023년 3월 2일

AmazonDetectiveMemberAccess - 새 정책

Detective는 AmazonDetectiveMemberAccess 정책을 추가했습니다.

이 정책은 멤버에게 Detective에 대한 액세스 권한과 콘솔 UI 종속성에 대한 범위 지정 액세스 권한을 제공합니다.

2023년 1월 17일

AmazonDetectiveFullAccess - 기존 정책에 대한 업데이트

Detective는 GuardDuty GetFindings 작업을 AmazonDetectiveFullAccess 정책에 추가했습니다.

이러한 작업을 통해 Detective 내에서 GuardDuty 조사 결과를 가져올 수 있습니다.

 2023년 1월 17일

AmazonDetectiveInvestigatorAccess - 새 정책

Detective는 AmazonDetectiveInvestigatorAccess 정책을 추가했습니다.

이 정책을 통해 보안 주체가 Detective에서 조사를 수행할 수 있습니다.

 2023년 1월 17일

AmazonDetectiveServiceLinkedRole - 새 정책

Detective는 해당 서비스 연결 역할에 대한 새 정책을 추가했습니다.

이 정책은 서비스 연결 역할이 조직의 계정에 대한 정보를 검색할 수 있도록 허용합니다.

 2021년 12월 16일

Detective가 변경 사항 추적하기 시작

Detective는AWS관리형 정책에 대한 변경 사항을 추적하기 시작했습니다.

 2021년 5월 10일