기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Amazon Detective에 대한 관리형 정책
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AmazonDetectiveFullAccess
`AmazonDetectiveFullAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 모든 Amazon Detective 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다. 이 정책은 보안 주체가 해당 계정에 대해 Detective를 활성화하기 전에 보안 주체에게 연결할 수 있습니다. 또한 동작 그래프를 생성하고 관리하기 위해 Detective Python 스크립트를 실행하는 데 사용되는 역할에 연결되어야 합니다.
이러한 권한이 있는 보안 주체는 멤버 계정을 관리하고, 동작 그래프에 태그를 추가하고, Detective를 사용하여 조사할 수 있습니다. 또한 GuardDuty 조사 결과를 보관할 수도 있습니다. 이 정책은 Detective 콘솔에 있는 계정의 계정 이름을 표시하는 데 필요한 권한을 제공합니다 AWS Organizations.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `detective` – 보안 주체가 Detective 작업에 대한 모든 액세스 권한을 가질 수 있습니다.
+ `organizations` – 보안 주체가 조직의 계정에 대한 AWS Organizations 정보를 검색할 수 있습니다. 계정이 조직에 속한 경우 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.
+ `guardduty` - 보안 주체가 Detective 내에서 GuardDuty 조사 결과를 가져오고 보관할 수 있습니다.
+ `securityhub` - 보안 주체가 Detective 내에서 Security Hub CSPM 조사 결과를 가져올 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AmazonDetectiveMemberAccess
`AmazonDetectiveMemberAccess` 정책을 IAM 엔터티에 연결할 수 있습니다.
이 정책은 Amazon Detective에 대한 멤버 액세스 권한과 콘솔에 대한 범위 지정 액세스를 제공합니다.
이 정책을 통해 다음을 수행할 수 있습니다.
+ Detective 그래프 멤버십 초대를 확인하고 해당 초대를 수락하거나 거부할 수 있습니다.
+ **사용** 페이지에서 Detective에서의 활동이 이 서비스 사용 비용에 어떻게 기여하는지 확인합니다.
+ 그래프로 멤버십에서 탈퇴합니다.
이 정책은 Detective
콘솔에 대한 범위 지정 액세스를 허용하는 읽기 전용 권한을 부여합니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `detective` - 멤버가 Detective에 액세스할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AmazonDetectiveInvestigatorAccess
`AmazonDetectiveInvestigatorAccess` 정책을 IAM 엔터티에 연결할 수 있습니다.
이 정책은 Detective 서비스에 대한 조사자 액세스 권한과 콘솔 UI 종속성에 대한 범위 지정 액세스 권한을 제공합니다. 이 정책은 IAM 사용자 및 IAM 역할에 대해 Detective에서 Detective 조사를 활성화할 수 있는 권한을 부여합니다. 보안 지표에 대한 분석 및 통찰력을 제공하는 조사 보고서를 사용하여 조사 결과와 같은 손상 지표를 식별할 수 있습니다. 보고서는 Detective의 동작 분석 및 기계 학습을 사용하여 결정되는 심각도에 따라 순위가 매겨집니다. 보고서를 사용하여 리소스 문제 해결의 우선 순위를 정할 수 있습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `detective` - 보안 주체 조사자가 Detective 작업에 액세스하여 Detective 조사를 활성화하고 조사 결과 그룹 요약을 활성화할 수 있도록 합니다.
+ `guardduty` - 보안 주체가 Detective 내에서 GuardDuty 조사 결과를 가져오고 보관할 수 있습니다.
+ `securityhub` - 보안 주체가 Detective 내에서 Security Hub CSPM 조사 결과를 가져올 수 있도록 허용합니다.
+ `organizations` - 보안 주체가 조직의 계정에 대한 정보를 검색할 수 있도록 허용합니다 AWS Organizations. 계정이 조직에 속하면 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AmazonDetectiveOrganizationsAccess
`AmazonDetectiveOrganizationsAccess` 정책을 IAM 엔터티에 연결할 수 있습니다.
이 정책은 조직 내에서 Amazon Detective를 활성화하고 관리할 권한을 부여합니다. 조직 전체에서 Detective를 활성화하고 Detective의 위임된 관리자 계정을 결정할 수 있습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `detective` – 보안 주체가 Detective 작업에 대한 액세스 권한을 가질 수 있습니다.
+ `iam` - Detective가 `EnableOrganizationAdminAccount`를 호출할 때 서비스 연결 역할이 생성되도록 지정합니다.
+ `organizations` - 보안 주체가 조직의 계정에 대한 정보를 검색할 수 있도록 허용합니다 AWS Organizations. 계정이 조직에 속하면 이러한 권한을 통해 Detective 콘솔은 계정 번호 외에도 계정 이름을 표시할 수 있습니다. AWS 서비스 통합을 활성화하고, 지정된 멤버 계정을 위임된 관리자로 등록 및 등록 취소할 수 있으며, 보안 주체가 Amazon Detective, Amazon GuardDuty, Amazon Macie, 등의 다른 보안 서비스에서 위임된 관리자 계정을 검색할 수 있습니다 AWS Security Hub CSPM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 관리형 정책: AmazonDetectiveServiceLinkedRole
`AmazonDetectiveServiceLinkedRole` 정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책은 Detective에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [Detective에 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오.
이 정책은 서비스 연결 역할이 조직의 계정 정보를 검색할 수 있도록 하는 관리 권한을 부여합니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `organizations` - 조직의 계정 정보를 검색합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책에 대한 Detective 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Detective의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 [ 문서 기록 페이지](doc-history.md)에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) - 기존 정책에 대한 업데이트 | Detective 조사 및 조사 결과 그룹 요약 작업을 `AmazonDetectiveInvestigatorAccess` 정책에 추가했습니다. 이러한 작업을 통해 Detective 조사를 시작, 검색 및 업데이트하고 Detective 내에서 조사 결과 그룹 요약을 얻을 수 있습니다. | 2023년 11월 26일 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) 및 [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) - 기존 정책 업데이트 | Detective는 Security Hub CSPM `GetFindings` 작업을 `AmazonDetectiveFullAccess` 및 `AmazonDetectiveInvestigatorAccess` 정책에 추가했습니다. 이러한 작업을 통해 Detective 내에서 Security Hub CSPM 조사 결과를 가져올 수 있습니다. | 2023년 5월 16일 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) - 새 정책 | Detective는 `AmazonDetectiveOrganizationsAccess` 정책을 추가했습니다. 이 정책은 조직 내에서 Detective를 활성화하고 관리할 권한을 부여합니다. | 2023년 3월 2일 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess) - 새 정책 | Detective는 `AmazonDetectiveMemberAccess` 정책을 추가했습니다. 이 정책은 멤버에게 Detective에 대한 액세스 권한과 콘솔 UI 종속성에 대한 범위 지정 액세스 권한을 제공합니다. | 2023년 1월 17일 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) - 기존 정책에 대한 업데이트 | Detective는 GuardDuty `GetFindings` 작업을 `AmazonDetectiveFullAccess` 정책에 추가했습니다. 이러한 작업을 통해 Detective 내에서 GuardDuty 조사 결과를 가져올 수 있습니다. | 2023년 1월 17일 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) - 새 정책 | Detective는 `AmazonDetectiveInvestigatorAccess` 정책을 추가했습니다. 이 정책을 통해 보안 주체가 Detective에서 조사를 수행할 수 있습니다. | 2023년 1월 17일 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy) - 새 정책 | Detective는 해당 서비스 연결 역할에 대한 새 정책을 추가했습니다. 이 정책은 서비스 연결 역할이 조직의 계정에 대한 정보를 검색할 수 있도록 허용합니다. | 2021년 12월 16일 |
| Detective가 변경 사항 추적하기 시작 | Detective는 AWS 관리형 정책에 대한 변경 사항을 추적하기 시작했습니다. | 2021년 5월 10일 |