As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Amazon Detective
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança.
Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
Para saber mais sobre os programas de conformidade que se aplicam ao Amazon Detective, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Detective. Os tópicos a seguir mostram como configurar o Detective para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos de Detective.
**Topics**
+ [Proteção de dados no Amazon Detective](data-protection.md)
+ [Gerenciamento de identidade e acesso para o Amazon Detective](security-iam.md)
+ [Validação de compatibilidade do Amazon Detective](detective-compliance.md)
+ [Resiliência no Amazon Detective](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura no Amazon Detective](infrastructure-security.md)
+ [Amazon Detective e interface VPC endpoints ()AWS PrivateLink](detective-security-vpc-endpoints-privatelink.md)
+ [Melhores práticas de segurança para Detective](security-best-practices.md)
# Proteção de dados no Amazon Detective
A ferramenta AWS [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon Detective. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todas as Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança do Serviços da AWS que você usa. Para obter mais informações sobre privacidade de dados, consulte [Privacidade de dados FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter informações sobre proteção de dados na Europa, consulte [AWS Modelo de responsabilidade compartilhada e postagem no GDPR ](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) blog sobre o *AWS Blog de segurança*.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use a autenticação multifator (MFA) com cada conta.
+ UseSSL/TLSpara se comunicar com AWS recursos. Exigimos TLS 1,2 e recomendamos TLS 1,3.
+ Configure API e registre as atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte [Trabalhando com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *AWS CloudTrail Guia do usuário*.
+ Use AWS soluções de criptografia, junto com todos os controles de segurança padrão dentro Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de FIPS 140-3 módulos criptográficos validados ao acessar AWS por meio de uma interface de linha de comando ou umaAPI, use um FIPS endpoint. Para obter mais informações sobre os FIPS endpoints disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com Detective ou outro Serviços da AWS usando o consoleAPI, AWS CLI, ou AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é altamente recomendável que você não inclua informações de credenciais no URL para validar sua solicitação para esse servidor.
O Detective criptografa todos os dados que processa e armazena em repouso e em trânsito.
**Topics**
+ [Gerenciamento de chaves do Amazon Detective](key-management.md)
# Gerenciamento de chaves do Amazon Detective
Como o Detective não armazena nenhum dado de identificação pessoal do cliente, ele usa Chaves gerenciadas pela AWS.
Esse tipo de chave KMS pode ser usado em várias contas. Veja a [descrição das chaves AWS próprias no Guia do AWS Key Management Service desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Esse tipo de chave KMS alterna automaticamente a cada ano (aproximadamente 365 dias). Veja a [descrição da rotação de chaves no Guia do AWS Key Management Service desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).
# Gerenciamento de identidade e acesso para o Amazon Detective
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar os recursos do Detective. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciamento do acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Detective funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade do Amazon Detective](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para o Amazon Detective](security-iam-awsmanpol.md)
+ [Usar funções vinculadas ao serviço do Detective](using-service-linked-roles.md)
+ [Solução de problemas de identidade e acesso do Amazon Detective](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Detective](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Detective funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade do Amazon Detective](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Grupos e usuários do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciamento do acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recurso
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon Detective funciona com o IAM
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do Amazon Detective. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador de Detective deve ter políticas AWS Identity and Access Management (IAM) que concedam permissão aos usuários e funções do IAM para realizar operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas às entidades principais que exigem essas permissões.
O Detective usa políticas baseadas em identidade do IAM para conceder permissões para os seguintes tipos de usuários e ações:
+ **Contas de administrador**: a conta de administrador é proprietária de um gráfico de comportamento, que usa dados de sua conta. Uma conta de administrador pode convidar contas-membro para contribuírem com seus dados no gráfico de comportamento. A conta do administrador também pode usar o gráfico de comportamento para triagem e investigação de descobertas e recursos associados a essas contas.
Você pode configurar políticas para permitir que usuários que não sejam a conta de administrador realizem diferentes tipos de tarefas. Por exemplo, um usuário de uma conta de administrador pode ter permissões apenas para gerenciar contas-membro. Outro usuário pode ter permissão apenas para usar o gráfico de comportamento para investigação.
+ **Contas-membro**: uma conta-membro é uma conta convidada a contribuir com dados em um gráfico de comportamento. A conta-membro responde a um convite. Depois de aceitar um convite, a conta-membro pode remover a própria conta do gráfico de comportamento.
Para ter uma visão geral de como o Detective e Serviços da AWS outros trabalham com o IAM, [consulte Criação de políticas na guia JSON no](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) Guia do usuário *do* IAM.
## Políticas baseadas em identidade do Detective
Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas. O Detective oferece suporte a ações, recursos e chaves de condição específicos.
Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As instruções de política devem incluir um elemento `Action` ou um elemento `NotAction`. O elemento `Action` lista as ações permitidas pela política. O elemento `NotAction` lista as ações que não são permitidas.
As ações definidas para o Detective refletem as tarefas que você pode realizar usando o Detective. As ações das políticas no Detective têm o seguinte prefixo: `detective:`.
Por exemplo, para conceder permissão para usar a operação da API `CreateMembers` e convidar contas-membro para um gráfico de comportamento, inclua a ação `detective:CreateMembers` na política.
Para especificar várias ações em uma única declaração, separe-as com vírgulas. Por exemplo, para uma conta-membro, a política inclui o conjunto de ações relacionadas ao gerenciamento de um convite:
```
"Action": [
"detective:ListInvitations",
"detective:AcceptInvitation",
"detective:RejectInvitation",
"detective:DisassociateMembership
]
```
Você também pode usar curingas (\$1) para especificar várias ações. Por exemplo, para gerenciar os dados usados no gráfico de comportamento, as contas de administrador no Detective devem conseguir realizar as seguintes tarefas:
+ Visualizar a lista de contas-membro (`ListMembers`).
+ Obter informações sobre as contas-membro selecionadas (`GetMembers`).
+ Convidar contas-membro para o gráfico de comportamento (`CreateMembers`).
+ Remover membros do gráfico de comportamento (`DeleteMembers`).
Em vez de listar essas ações separadamente, você pode conceder acesso a todas as ações que terminam com a palavra `Members`. A política para isso pode incluir a seguinte ação:
```
"Action": "detective:*Members"
```
Para ver uma lista das ações do Detective, consulte [Ações definidas pelo Amazon Detective](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions) na *Referência de autorização do serviço*.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Para o Detective, o único tipo de recurso é o gráfico de comportamento. O recurso de gráfico de comportamento do Detective tem o seguinte ARN:
```
arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}
```
Por exemplo, um gráfico de comportamento tem os seguintes valores:
+ A região do gráfico de comportamento é `us-east-1`.
+ A ID de conta da conta de administrador é `111122223333`.
+ A ID de gráfico do gráfico de comportamento é `027c7c4610ea4aacaf0b883093cab899`.
Para identificar esse gráfico de comportamento em uma instrução `Resource`, você deve usar o seguinte ARN:
```
"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
```
Para especificar vários recursos em uma instrução `Resource`, separe-os com vírgulas.
```
"Resource": [
"resource1",
"resource2"
]
```
Por exemplo, a mesma AWS conta pode ser convidada para ser uma conta de membro em mais de um gráfico de comportamento. Na política dessa conta-membro, a instrução `Resource` lista os gráficos de comportamento para os quais foram convidadas.
```
"Resource": [
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
```
Algumas ações do Detective, como criar um gráfico de comportamento, listar gráficos de comportamento e listar convites para gráficos de comportamento, não são executadas em um gráfico de comportamento específico. Para essas ações, a instrução `Resource` deve usar o caractere curinga (\$1).
```
"Resource": "*"
```
Para ações da conta de administrador, o Detective sempre verifica se o usuário que fez a solicitação pertence à conta de administrador do gráfico de comportamento afetado. Para ações da conta-membro, o Detective sempre verifica se o usuário que fez a solicitação pertence à conta-membro. Mesmo que uma política do IAM conceda acesso a um gráfico de comportamento, se o usuário não pertencer à conta correta, ele não poderá realizar a ação.
Para todas as ações executadas em um gráfico de comportamento específico, a política do IAM deve incluir o ARN do gráfico. O ARN do gráfico pode ser adicionado posteriormente. Por exemplo, quando uma conta habilita o Detective pela primeira vez, a política inicial do IAM fornece acesso a todas as ações do Detective usando o caractere curinga para o ARN do gráfico. Isso permite que o usuário comece imediatamente a gerenciar as contas-membro e conduzir investigações em seu gráfico de comportamento. Depois que o gráfico de comportamento for criado, você poderá atualizar a política para adicionar o ARN do gráfico.
### Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
O Detective não define seu próprio conjunto de chaves de condição. Ele oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para saber com quais ações e recursos é possível usar a chave de condição, consulte [Ações definidas pelo Amazon Detective](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondetective.html#amazondetective-actions-as-permissions).
### Exemplos
Para visualizar exemplos de políticas baseadas em identidade do Detective, consulte [Exemplos de políticas baseadas em identidade do Amazon Detective](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recurso do Detective (não compatíveis)
O Detective não oferece suporte a políticas baseadas em recurso.
## Autorização baseada em tags dos gráficos de comportamento do Detective
Cada gráfico de comportamento pode receber valores de tag. Você pode usar esses valores de tag em instruções condicionais para gerenciar o acesso ao gráfico de comportamento.
A instrução condicional para um valor de tag usa o formato a seguir.
```
{"StringEquals"{"aws:ResourceTag/": ""}}
```
Por exemplo, use o código a seguir para permitir ou negar uma ação quando o valor da tag `Department` for `Finance`.
```
{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}
```
Para ver exemplos de políticas que usam valores de tag de recurso, consulte [Conta de administrador: restringir o acesso com base em valores de tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-graph-tags).
## Perfis do IAM no Detective
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usar credenciais temporárias com o Detective
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
O Detective oferece suporte ao uso de credenciais temporárias.
### Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
Para obter detalhes sobre como criar ou gerenciar funções vinculadas ao serviço do Detective, consulte [Usar funções vinculadas ao serviço do Detective](using-service-linked-roles.md).
### Perfis de serviço (não compatíveis)
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
O Detective não é compatível com perfis de serviço.
# Exemplos de políticas baseadas em identidade do Amazon Detective
Por padrão, os usuários e perfis do IAM não têm permissão para criar ou modificar recursos do Detective. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou.
Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usar o console do Detective](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Conta de administrador: gerenciar as contas-membro em um gráfico de comportamento](#security_iam_id-based-policy-examples-admin-account-mgmt)
+ [Conta de administrador: usar um gráfico de comportamento para investigação](#security_iam_id-based-policy-examples-admin-investigate)
+ [Contas-membro: gerenciar convites e associações a gráficos de comportamento](#security_iam_id-based-policy-examples-member-account)
+ [Conta de administrador: restringir o acesso com base em valores de tag](#security_iam_id-based-policy-examples-graph-tags)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Detective em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** para seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usar o console do Detective
Para usar o console do Amazon Detective, o usuário ou a função devem ter acesso às ações relevantes, que se igualam às ações correspondentes na API.
Para habilitar o Detective e se tornar uma conta de administrador de um gráfico de comportamento, o usuário ou a função deve ter permissão para a ação `CreateGraph`.
Para usar o console do Detective para realizar qualquer ação na conta de administrador, o usuário ou a função deve ter permissão para a ação `ListGraphs`. Isso concede permissão para recuperar os gráficos de comportamento dos quais sua conta é uma conta de administrador. Também devem receber permissão para realizar ações específicas da conta de administrador.
As ações mais básicas da conta de administrador são visualizar uma lista de contas-membro em um gráfico de comportamento e usar o gráfico de comportamento para investigação.
+ Para visualizar a lista de contas-membro em um gráfico de comportamento, a entidade principal deve ter permissão para a ação `ListMembers`.
+ Para conduzir uma investigação em um gráfico de comportamento, a entidade principal deve ter permissão para a ação `SearchGraph`.
Para usar o console do Detective para realizar qualquer ação em uma conta-membro, o usuário ou a função deve ter permissão para a ação `ListInvitations`. Isso concede permissão para visualizar convites para gráficos de comportamento. Em seguida, podem receber permissão para ações específicas da conta-membro.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Conta de administrador: gerenciar as contas-membro em um gráfico de comportamento
Este exemplo de política é destinado a usuários de contas de administrador que são responsáveis somente pelo gerenciamento das contas-membro usadas no gráfico de comportamento. A política também permite que o usuário visualize as informações de uso e desabilite o Detective. A política não concede permissão para usar o gráfico de comportamento para investigação.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:ListMembers","detective:CreateMembers","detective:DeleteMembers","detective:DeleteGraph","detective:Get*","detective:StartMonitoringMember"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:CreateGraph","detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## Conta de administrador: usar um gráfico de comportamento para investigação
Este exemplo de política é destinado a usuários de contas de administrador que usam o gráfico de comportamento somente para investigação. Eles não podem visualizar ou editar a lista de contas-membro no gráfico de comportamento.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"
},
{
"Effect":"Allow",
"Action":["detective:ListGraphs"],
"Resource":"*"
}
]
}
```
------
## Contas-membro: gerenciar convites e associações a gráficos de comportamento
Este exemplo de política é destinado a usuários pertencentes a uma conta-membro. No exemplo, a conta-membro pertence a dois gráficos de comportamento. A política concede permissão para responder aos convites e remover a conta-membro do gráfico de comportamento.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["detective:AcceptInvitation","detective:RejectInvitation","detective:DisassociateMembership"],
"Resource":[
"arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
"arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]
},
{
"Effect":"Allow",
"Action":["detective:ListInvitations"],
"Resource":"*"
}
]
}
```
------
## Conta de administrador: restringir o acesso com base em valores de tag
A política a seguir permite que o usuário use um gráfico de comportamento para investigação se a tag `SecurityDomain` do gráfico de comportamento corresponder à tag `SecurityDomain` do usuário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:SearchGraph"
],
"Resource": "arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SecurityDomain": "aws:PrincipalTag/SecurityDomain"
}
}
},
{
"Effect": "Allow",
"Action": [
"detective:ListGraphs"
],
"Resource": "*"
}
]
}
```
------
A política a seguir permite que os usuários usem um gráfico de comportamento para investigação se o valor da tag `SecurityDomain` do gráfico de comportamento for `Finance`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[ {
"Effect":"Deny",
"Action":["detective:SearchGraph"],
"Resource":"arn:aws:detective:*:*:graph:*",
"Condition": {
"StringEquals": {"aws:ResourceTag/SecurityDomain": "Finance"}
}
} ]
}
```
------
# AWS políticas gerenciadas para o Amazon Detective
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonDetectiveFullAccess
É possível anexar a política `AmazonDetectiveFullAccess` às suas identidades do IAM.
Essa política concede permissões administrativas que permitem que a entidade principal tenha acesso total a todas as ações do Amazon Detective. É possível anexar essa política à entidade principal antes que o Detective seja habilitado na conta. Também deve ser anexado à função usada para executar os scripts do Python do Detective para criar e gerenciar um gráfico de comportamento.
As entidades principais com essas permissões podem gerenciar as contas-membro, adicionar tags ao gráfico de comportamento e usar o Detective para investigar. Eles também podem arquivar GuardDuty as descobertas. A política fornece as permissões que o console do Detective precisa para exibir os nomes das contas que estão inseridas. AWS Organizations
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `detective`: permite acesso total das entidades principais a todas as ações do Detective.
+ `organizations`: permite que as entidades principais recuperem do AWS Organizations informações sobre as contas em uma organização. Se uma conta pertencer a uma organização, essas permissões permitem que o console do Detective exiba os nomes das contas, além dos números das contas.
+ `guardduty`— Permite que os diretores obtenham e arquivem GuardDuty as descobertas de dentro do Detective.
+ `securityhub`— Permite que os diretores obtenham as descobertas do CSPM do Security Hub de dentro do Detective.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonDetectiveMemberAccess
Também é possível anexar a política `AmazonDetectiveMemberAccess` às suas entidades do IAM.
Essa política fornece acesso de membro ao Amazon Detective e acesso limitado ao console.
Com essa política, você pode:
+ Visualizar os convites de associação ao gráfico do Detective e aceitar ou rejeitar esses convites.
+ Visualizar como sua atividade no Detective contribui para o custo de uso desse serviço na página **Uso**.
+ Renunciar de sua associação a um gráfico.
Esta política concede permissões somente leitura que oferecem acesso limitado ao console do Detective.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `detective`: permite que os membros acessem o Detective.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonDetectiveInvestigatorAccess
Também é possível anexar a política `AmazonDetectiveInvestigatorAccess` às suas entidades do IAM.
Esta política fornece ao investigador acesso ao serviço do Detective e acesso limitado às dependências da interface do usuário do console do Detective. Esta política também concede aos usuários e perfis do IAM permissões para habilitar as investigações do Detective no Detective. Você pode realizar investigações para identificar indicadores de comprometimento, como descobertas, usando um relatório de investigação, que fornece análises e insights sobre indicadores de segurança. O relatório é classificado por gravidade, que é determinada usando a análise comportamental e o machine learning do Detective. Você pode usar o relatório para priorizar a correção de recursos.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `detective`: permite que as entidades principais tenham acesso de investigador às ações do Detective, habilitem as investigações do Detective e habilitem resumos de grupos de descobertas.
+ `guardduty`— Permite que os diretores obtenham e arquivem GuardDuty as descobertas de dentro do Detective.
+ `securityhub`— Permite que os diretores obtenham as descobertas do CSPM do Security Hub de dentro do Detective.
+ `organizations`— permite que os diretores recuperem informações sobre as contas em uma organização de. AWS Organizations Se uma conta pertencer a uma organização, essas permissões permitem que o console do Detective exiba os nomes das contas, além dos números das contas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonDetectiveOrganizationsAccess
Também é possível anexar a política `AmazonDetectiveOrganizationsAccess` às suas entidades do IAM.
Esta política concede permissão para habilitar e gerenciar o Amazon Detective dentro de uma organização. Você pode habilitar o Detective em toda a organização e determinar a conta de administrador delegado do Detective.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `detective`: permite que as entidades principais tenham acesso às ações do Detective.
+ `iam`: especifica que uma função vinculada ao serviço é criada quando o Detective acionar `EnableOrganizationAdminAccount`.
+ `organizations`— permite que os diretores recuperem informações sobre as contas em uma organização de. AWS Organizations Se uma conta pertencer a uma organização, essas permissões permitem que o console do Detective exiba os nomes das contas, além dos números das contas. Permite a integração de um AWS serviço, permite registrar e cancelar o registro da conta de membro especificada como administrador delegado e permite que os diretores recuperem contas de administrador delegado em outros serviços de segurança, como Amazon Detective, Amazon, Amazon Macie e. GuardDuty AWS Security Hub CSPM
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonDetectiveServiceLinkedRole
Não é possível anexar a política `AmazonDetectiveServiceLinkedRole` às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite que o Detective realize ações em seu nome. Para obter mais informações, consulte [Usar funções vinculadas ao serviço do Detective](using-service-linked-roles.md).
Esta política concede permissões administrativas que permitem que a função vinculada ao serviço recupere informações da conta em uma organização.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `organizations`: recupera as informações da conta de uma organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## Detective atualizações em políticas gerenciadas AWS
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Detective desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, assine o feed RSS na [página de histórico do documento do ](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy): atualizações em políticas existentes | Foram adicionadas investigações do Detective e ações resumidas de grupos de descobertas à política do `AmazonDetectiveInvestigatorAccess`. Essas ações permitem iniciar, recuperar e atualizar as investigações do Detective e obter um resumo de grupos de descobertas de dentro do Detective. | 26 de novembro de 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) e [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy): atualizações em políticas existentes | Detective adicionou `GetFindings` ações CSPM do Security Hub às políticas e. `AmazonDetectiveFullAccess` `AmazonDetectiveInvestigatorAccess` Essas ações permitem obter as descobertas do CSPM do Security Hub de dentro do Detective. | 16 de maio de 2023 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) – Nova política | O Detective adicionou a política `AmazonDetectiveOrganizationsAccess`. Esta política concede permissão para habilitar e gerenciar o Detective dentro de uma organização | 2 de março de 2023 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess) – Nova política | O Detective adicionou a política `AmazonDetectiveMemberAccess`. Esta política fornece acesso de membro ao Detective e acesso limitado à dependências da interface do usuário do console. | 17 de janeiro de 2023 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess): atualizações a uma política existente | Detective adicionou GuardDuty `GetFindings` ações à política. `AmazonDetectiveFullAccess` Essas ações permitem obter GuardDuty descobertas de dentro do Detective. | 17 de janeiro de 2023 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) – Nova política | O Detective adicionou a política `AmazonDetectiveInvestigatorAccess`. Esta política permite que a entidade principal conduza investigações no Detective. | 17 de janeiro de 2023 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy) – Nova política | O Detective adicionou uma nova política para sua função vinculada ao serviço. A política permite que a função vinculada ao serviço recupere informações sobre as contas na organização. | 16 de dezembro de 2021 |
| O Detective começou a rastrear as alterações | Detective começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 10 de maio de 2021 |
# Usar funções vinculadas ao serviço do Detective
O Amazon Detective usa funções vinculadas a [serviços AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). A função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculada diretamente ao Detective. As funções vinculadas ao serviço são predefinidas pelo Detective e incluem todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.
Uma função vinculada a serviço facilita a configuração do Detective porque você não precisa adicionar as permissões necessárias manualmente. O Detective define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Detective pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Detective, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte às funções vinculadas a serviços, consulte [serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que apresentam **Sim** na coluna **Função vinculada a serviços**. Escolha um **Sim** com um link para exibir a documentação da função vinculada a serviço desse serviço.
## Permissões da função vinculada ao serviço do Detective
O Detective usa a função vinculada ao serviço chamada — **AWSServiceRoleForDetective**Permite que o Detective acesse informações em seu nome. AWS Organizations
A função AWSService RoleForDetective vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `detective.amazonaws.com`
A função AWSService RoleForDetective vinculada ao serviço usa a política gerenciada. [`AmazonDetectiveServiceLinkedRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy)
Para obter detalhes sobre as atualizações da `AmazonDetectiveServiceLinkedRolePolicy` política, consulte as [atualizações do Amazon Detective para políticas AWS gerenciadas](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates). Para receber alertas automáticos sobre alterações nessa política, assine o feed RSS na página de histórico de [documentos do Detective](https://docs.aws.amazon.com//detective/latest/userguide/doc-history.html).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de função vinculada a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criar uma função vinculada ao serviço do Detective
Você não precisa criar manualmente uma função vinculada a serviço. Quando você designa a conta de administrador do Detective para uma organização na, na ou Console de gerenciamento da AWS na API, AWS CLI o Detective cria AWS a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você designa a conta de administrador do Detective para uma organização, o Detective cria novamente a função vinculada ao serviço para você.
## Editar uma função vinculada ao serviço do Detective
Detective não permite que você edite a função vinculada ao AWSService RoleForDetective serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir uma função vinculada ao serviço do Detective
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o serviço do Detective estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do Detective usados pelo AWSService RoleForDetective**
1. Remova a conta de administrador do Detective. Consulte [Designando o administrador do Detective para uma organização](accounts-designate-admin.md).
1. Repita o processo em cada região em que você designou a conta de administrador do Detective.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForDetective vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões compatíveis com funções vinculadas ao serviço do Detective
O Detective oferece suporte a funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Solução de problemas de identidade e acesso do Amazon Detective
Use as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o Detective e o IAM. Se você encontrar problemas de acesso negado ou dificuldades semelhantes ao trabalhar com o AWS Identity and Access Management(IAM), consulte os tópicos de [solução de problemas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html) no *Guia do usuário do IAM*.
## Não tenho autorização para executar uma ação no Detective
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu o seu nome de usuário e senha.
O exemplo de erro a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para aceitar um convite para se tornar uma conta-membro de um gráfico de comportamento, mas não tem as permissões `detective:AcceptInvitation`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: detective:AcceptInvitation on resource: arn:aws:detective:us-east-1:444455556666:graph:567856785678
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `arn:aws:detective:us-east-1:444455556666:graph:567856785678` usando a ação `detective:AcceptInvitation`.
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não tem autorização para executar a ação `iam:PassRole`, as suas políticas deverão ser atualizadas para permitir a passagem de um perfil para o Detective.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta usar o console para executar uma ação no Detective. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meus recursos de Detective
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Detective oferece suporte a esses recursos, consulte [Como o Amazon Detective funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Validação de compatibilidade do Amazon Detective
O Amazon Detective está no escopo do programa de AWS garantia. Para obter mais informações, consulte [Health Information Trust Alliance Common Security Framework (HITRUST) CSF](https://aws.amazon.com/compliance/services-in-scope/HITRUST-CSF/) .
Para obter uma lista de AWS serviços no escopo de programas de conformidade específicos, consulte [AWSServiços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) . Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixando relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
AWS fornece os seguintes recursos para ajudar na conformidade:
+ [Guias de início rápido](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) sobre de segurança e conformidade discutem considerações arquitetônicas e fornecem etapas para a implantação de ambientes básicos focados em segurança e conformidade em. AWS
+ [Avaliação de recursos com as regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) do *Guia do AWS Config Desenvolvedor* — O AWS Config serviço avalia se suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes e os regulamentos do setor.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Esse AWS serviço fornece uma visão abrangente do seu estado de segurança interno, AWS que ajuda você a verificar sua conformidade com os padrões e as melhores práticas do setor de segurança.
# Resiliência no Amazon Detective
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Além da infraestrutura AWS global, o Detective usa a resiliência incorporada ao Amazon DynamoDB e ao Amazon Simple Storage Service (Amazon S3). Para obter mais informações, consulte [resiliência e recuperação de desastres no Amazon](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/disaster-recovery-resiliency.html) [DynamoDB e Resiliência no](https://docs.aws.amazon.com//AmazonS3/latest/userguide/disaster-recovery-resiliency.html) Amazon Simple Storage Service.
A arquitetura do Detective também é resistente às falhas de uma única zona de disponibilidade. Essa resiliência é incorporada ao Detective e não requer nenhuma configuração.
# Segurança da infraestrutura no Amazon Detective
Como um serviço gerenciado, o Amazon Detective; é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar o Detective; por meio da rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# Amazon Detective e interface VPC endpoints ()AWS PrivateLink
*Você pode estabelecer uma conexão privada entre sua VPC e o Amazon Detective criando uma interface VPC endpoint.* Os endpoints de interface são alimentados por [AWS PrivateLink](https://aws.amazon.com/privatelink)uma tecnologia que permite acessar o Detective de forma privada APIs sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão Direct Connect. AWS As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar com o Detective. APIs O tráfego entre sua VPC e o Detective não sai da rede Amazon.
Cada endpoint de interface é representado por uma ou mais [Interfaces de Rede Elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nas sub-redes.
Para mais informações, consulte [Endpoints da VPC de interface(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no *Guia AWS PrivateLink *.
## Considerações sobre endpoints Detective VPC
*Antes de configurar uma interface VPC endpoint para Detective, certifique-se de revisar as [propriedades e limitações do endpoint da interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) no Guia.AWS PrivateLink *
Detective oferece suporte para fazer chamadas para todas as suas ações de API a partir de sua VPC.
Detective suporta FIPS nas seguintes regiões:
+ Leste dos EUA (Norte da Virgínia)
+ Leste dos EUA (Ohio)
+ Oeste dos EUA (N. da Califórnia)
+ Oeste dos EUA (Oregon)
+ Canadá (Central)
## Criação de uma interface VPC endpoint para Detective
Você pode criar um VPC endpoint para o serviço Detective usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) no *Guia do usuário do AWS PrivateLink *.
Crie um VPC endpoint para Detective usando o seguinte nome de serviço:
+ com.amazonaws. *region*.detetive
+ com.amazonaws. *region*.detective-fips
Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API ao Detective usando seu nome DNS padrão para a região, por exemplo,. `api.detective.us-east-1.amazonaws.com` Para obter mais informações, consulte os [endpoints do Amazon Detective](https://docs.aws.amazon.com/general/latest/gr/detective.html) no. *Referência geral da Amazon Web Services*
Para mais informações, consulte [Acessar um serviço por meio de um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) no *Guia do AWS PrivateLink *.
## Criação de uma política de VPC endpoint para Detective
Você pode anexar uma política de endpoint ao seu VPC endpoint que controla o acesso ao Detective. Essa política especifica as seguintes informações:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para mais informações, consulte [Controlar o acesso a serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia AWS PrivateLink *.
**Exemplo: política de VPC endpoint para ações de Detective**
Veja a seguir um exemplo de uma política de endpoint para Detective. Quando anexada a um endpoint, essa política concede acesso às ações de Detective listadas para todos os diretores em todos os recursos.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"detective:ListGraphs",
"detective:ListMembers"
],
"Resource":"*"
}
]
}
```
## Sub-redes compartilhadas
Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, é possível usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre o compartilhamento da VPC, consulte [Compartilhar sua VPC com outras contas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) no *Guia do usuário da Amazon VPC*.
# Melhores práticas de segurança para Detective
O Detective oferece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
Para o Detective, as melhores práticas de segurança estão associadas ao gerenciamento das contas em um gráfico de comportamento.
## Práticas recomendadas para contas de administrador do Detective
Ao convidar contas de membros para seu gráfico de comportamento de Detective, convide somente contas que você supervisiona.
Limite o acesso ao gráfico de comportamento. Os usuários com a [AmazonDetectiveFullAccess](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-amazondetectivefullaccess)política podem conceder acesso a todas as ações do Detective. As entidades principais com essas permissões podem gerenciar as contas-membro, adicionar tags ao gráfico de comportamento e usar o Detective para investigar. Quando um usuário tem acesso a um gráfico de comportamento, ele pode ver todas as descobertas das contas-membro. Essas descobertas podem expor informações confidenciais de segurança.
## Best practices for member accounts
Ao receber um convite para um gráfico de comportamento, certifique-se de validar a origem do convite.
Verifique o identificador da AWS conta do administrador que enviou o convite. Verifique se você sabe a quem pertence a conta e se a conta que fez o convite tem um motivo legítimo para monitorar seus dados de segurança.