本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Detective 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策。
AWS 受管政策: AmazonDetectiveFullAccess
您可將 AmazonDetectiveFullAccess 政策連接到 IAM 身分。
此政策會授予管理許可,允許主體完整存取所有 Amazon Detective 動作。您可以將此政策附加到主體,然後再針對帳戶啟用 Detective。它還必須附加到用於執行 Detective Python 指令碼以建立和管理行為圖表的角色。
具有此類許可的主體可以管理成員帳戶、將標籤新增至其行為圖表,以及使用 Detective 進行調查。他們還可以封存 GuardDuty 調查結果。此政策提供 Detective 主控台顯示所在帳戶的帳戶名稱所需的許可 AWS Organizations。
許可詳細資訊
此政策包含以下許可:
-
detective:允許主體完整存取所有 Detective 動作。 -
organizations:允許主體從組織中擷取針對帳戶的 AWS Organizations 資訊。如果帳戶屬於某個組織,除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。 -
guardduty:允許主體從 Detective 內部取得和封存 GuardDuty 調查結果。 -
securityhub:允許主體從 Detective 中取得 Security Hub 調查結果。
AWS 受管政策: AmazonDetectiveMemberAccess
您可將 AmazonDetectiveMemberAccess 政策附加至 IAM 實體。
此政策會向成員提供 Amazon Detective 的存取,以及主控台的特定範圍存取。
使用此政策,您可以:
-
檢視向 Detective 圖表成員發出的邀請,並接受或拒絕邀請。
-
在用量頁面查看您在 Detective 中的活動如何影響使用此服務的成本。
-
放棄圖表中的成員資格。
此政策授予唯讀許可,允許在一定範圍内存取 Detective 主控台。
許可詳細資訊
此政策包含以下許可:
-
detective:允許成員存取 Detective。
AWS 受管政策:AmazonDetectiveInvestigatorAccess
您可將 AmazonDetectiveInvestigatorAccess 政策附加至 IAM 實體。
此政策向調查人員提供對 Detective 服務的存取,以及 Detective 主控台 UI 相依性的特定範圍存取。此政策授予在 Detective 中對 IAM 使用者和 IAM 角色啟用 Detective 調查的許可。您可以使用調查報告來調查以識別調查結果等入侵指標,該報告提供有關安全指標的分析和見解。該報告按嚴重性進行排名,由 Detective 的行為分析和機器學習決定。您可以使用報告來排定資源修補的優先順序。
許可詳細資訊
此政策包含以下許可:
-
detective:允許主體調查者存取 Detective 動作,以啟用 Detective 調查,以及啟用調查結果群組摘要。 -
guardduty:允許主體從 Detective 內部取得和封存 GuardDuty 調查結果。 -
securityhub:允許主體從 Detective 中取得 Security Hub 調查結果。 -
organizations– 允許主體從中擷取組織中帳戶的相關資訊 AWS Organizations。如果帳戶屬於某個組織,則除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。
AWS 受管政策:AmazonDetectiveOrganizationsAccess
您可將 AmazonDetectiveOrganizationsAccess 政策附加至 IAM 實體。
此政策授予在組織內啟用和管理 Amazon Detective 的許可。您可以在整個組織中啟用 Detective,並決定 Detective 的委派管理員帳戶。
許可詳細資訊
此政策包含以下許可:
-
detective:允許主體存取 Detective 動作。 -
iam:指定在 Detective 呼叫EnableOrganizationAdminAccount時建立服務連結角色。 -
organizations– 允許主體從中擷取組織中帳戶的相關資訊 AWS Organizations。如果帳戶屬於某個組織,則除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。啟用 AWS 服務的整合,允許以委派管理員身分註冊和取消註冊指定的成員帳戶,並允許主體擷取其他安全服務中的委派管理員帳戶,例如 Amazon Detective、Amazon GuardDuty、Amazon Macie 和 AWS Security Hub CSPM。
AWS 受管政策:AmazonDetectiveServiceLinkedRole
您無法將 AmazonDetectiveServiceLinkedRole 政策附加至 IAM 實體。此政策會附加到服務連結角色,透過該角色,Detective 可代表您執行動作。如需詳細資訊,請參閱 使用 Detective 的服務連結角色。
此政策會授予管理許可,允許服務連結角色擷取組織的帳戶資訊。
許可詳細資訊
此政策包含以下許可:
-
organizations:擷取組織的帳戶資訊。
AWS 受管政策的偵測更新
檢視自此服務開始追蹤這些變更以來,Detective AWS 受管政策更新的詳細資訊。如需自動收到有關此頁面變更的提醒,請前往 文件歷史記錄頁面上訂閱 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| 在 此類動作允許啟動,擷取和更新 Detective 調查結果並從 Detective 內部獲得調查結果群組的摘要。 |
2023 年 11 月 26 日 | |
|
AmazonDetectiveFullAccess 和 AmazonDetectiveInvestigatorAccess – 對現有政策的更新 |
Detective 將 Security Hub 透過此類動作,可從 Detective 內部取得 Security Hub 調查結果。 |
2023 年 5 月 16 日 |
| Detective 新增了 此政策授予在組織內啟用和管理 Detective 的許可 |
2023 年 3 月 2 日 | |
|
Detective 新增了 此政策會向成員提供 Detective 的存取,以及主控台 UI 依存關系的特定範圍存取。 |
2023 年 1 月 17 日 |
|
|
AmazonDetectiveFullAccess:現有政策的更新 |
Detective 向 透過此類動作,可從 Detective 內部取得 GuardDuty 調查結果。 |
2023 年 1 月 17 日 |
Detective 新增了 透過此類政策,主體可在 Detective 中進行調查。 |
2023 年 1 月 17 日 | |
|
Detective 為其服務連結角色新增了新政策。 透過政策,服務連結角色可以擷取組織中帳戶的相關資訊。 |
2021 年 12 月 16 日 | |
|
Detective 開始追蹤變更 |
Detective 開始追蹤其 AWS 受管政策的變更。 |
2021 年 5 月 10 日 |
