本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Amazon Detective 的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略:AmazonDetectiveFullAccess
您可以将 `AmazonDetectiveFullAccess` 策略附加到 IAM 身份。
此策略授予管理权限,允许主体完全访问所有 Amazon Detective 操作。可以在主体为其账户启用 Detective 之前,将该策略附加到主体。它还必须附加到用于运行 Detective Python 脚本以创建和管理行为图的角色。
拥有这些权限的主体可以管理成员账户,为其行为图添加标签,并使用 Detective 进行调查。他们还可以存档 GuardDuty 调查结果。该策略提供了 Detective 控制台显示其中账户的账户名所需的权限 AWS Organizations。
**权限详细信息**
该策略包含以下权限:
+ `detective`— 允许主体完全访问所有 Detective 操作。
+ `organizations`— 允许主体从 AWS Organizations 获取有关组织内账户的信息。如果账户属于某个组织,则这些权限允许 Detective 控制台显示账户名称和账号。
+ `guardduty`— 允许校长从 Detective 内部获取和存档 GuardDuty调查结果。
+ `securityhub`— 允许校长从 Detective 内部获取 Security Hub CSPM 的调查结果。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略:AmazonDetectiveMemberAccess
可以将 `AmazonDetectiveMemberAccess` 策略附加到您的 IAM 实体。
该策略为成员提供对 Amazon Detective 的访问权限并限定对控制台的访问权限。
可以通过此策略:
+ 查看 Detective 图成员资格邀请并接受或拒绝这些邀请。
+ 在**使用情况**页面上查看在 Detective 中的活动如何影响使用该服务的费用。
+ 在图中退出成员资格。
该策略授予只读权限,允许在一定范围内访问 Detective 控制台。
**权限详细信息**
该策略包含以下权限:
+ `detective`— 允许成员访问 Detective。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略:AmazonDetectiveInvestigatorAccess
可以将 `AmazonDetectiveInvestigatorAccess` 策略附加到您的 IAM 实体。
该策略为调查人员提供对 Detective 服务的访问权限并限定对 Detective 控制台 UI 依赖项的访问权限。此策略授予在 Detective 中为 IAM 用户和 IAM 角色启用 Detective 调查的权限。您可以通过调查确定漏洞指标,例如使用调查报告的调查发现,该报告提供有关安全指标的分析和见解。该报告按严重程度进行排序,严重程度是使用 Detective 的行为分析和机器学习确定的。您可以使用该报告来确定资源修复的优先级。
**权限详细信息**
该策略包含以下权限:
+ `detective`:允许主体调查人员访问 Detective 操作,启用 Detective 调查并启用调查发现组摘要。
+ `guardduty`— 允许校长从 Detective 内部获取和存档 GuardDuty调查结果。
+ `securityhub`— 允许校长从 Detective 内部获取 Security Hub CSPM 的调查结果。
+ `organizations`— 允许委托人从 AWS Organizations中检索有关组织中帐户的信息。如果账户属于某个组织,则这些权限允许 Detective 控制台显示账户名称和账号。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonDetectiveOrganizationsAccess
可以将 `AmazonDetectiveOrganizationsAccess` 策略附加到您的 IAM 实体。
该策略授予在组织内启用和管理 Amazon Detective 的权限。可以在整个组织内启用 Detective 并确定 Detective 的授权管理员账户。
**权限详细信息**
该策略包含以下权限:
+ `detective`— 允许主体访问 Detective 操作。
+ `iam`— 指定在 Detective 调用 `EnableOrganizationAdminAccount` 时创建服务相关角色。
+ `organizations`— 允许委托人从 AWS Organizations中检索有关组织中帐户的信息。如果账户属于某个组织,则这些权限允许 Detective 控制台显示账户名称和账号。支持 AWS 服务集成,允许将指定成员账户注册为委托管理员和注销其他 “安全服务”,并允许委托人检索其他安全服务(例如 Amazon Detective、Amazon GuardDuty、Amazon Macie 和)中的委托管理员账户。 AWS Security Hub CSPM
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 托管策略:AmazonDetectiveServiceLinkedRole
无法将 `AmazonDetectiveServiceLinkedRole` 策略附加到 IAM 实体。此附加到服务相关角色的策略允许 Detective 代表您执行操作。有关更多信息,请参阅 [使用 Detective 的服务相关角色](using-service-linked-roles.md)。
该策略授予管理权限,允许服务相关角色检索组织的账户信息。
**权限详细信息**
该策略包含以下权限:
+ `organizations`— 检索组织的账户信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## Detective 对 AWS 托管策略的更新
查看自该服务开始跟踪这些更改以来 Detective AWS 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅[ 文档历史记录页面](doc-history.md)上的 RSS 信息源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy):对现有策略的更新 | 在 `AmazonDetectiveInvestigatorAccess` 策略中新增了 Detective 调查和调查发现组摘要操作。 这些操作允许启动、检索和更新 Detective 调查;以及从 Detective 内部获取调查发现组的摘要。 | 2023 年 11 月 26 日 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) 和 [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) – 现有策略更新 | Detective 在`AmazonDetectiveFullAccess`和`AmazonDetectiveInvestigatorAccess`策略中添加了 Security Hub CSPM `GetFindings` 操作。 这些操作允许从 Detective 内部获取 Security Hub CSPM 的调查结果。 | 2023 年 5 月 16 日 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy):新策略 | Detective 增加了 `AmazonDetectiveOrganizationsAccess` 策略。 该策略授予在组织内启用和管理 Detective 的权限 | 2023 年 3 月 2 日 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess):新策略 | Detective 添加了 `AmazonDetectiveMemberAccess` 策略。 该策略为成员提供对 Detective 的访问权限并限定对控制台 UI 依赖项的访问权限。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) – 对现有策略的更新 | Detective 在`AmazonDetectiveFullAccess`政策中添加了 GuardDuty `GetFindings`行动。 这些操作允许从 Detective 内部获取 GuardDuty 调查结果。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy):新策略 | Detective 添加了 `AmazonDetectiveInvestigatorAccess` 策略。 该策略允许主体在 Detective 中进行调查。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy):新策略 | Detective 为其服务相关角色添加了一项新策略。 该策略允许服务相关角色检索有关组织中账户的信息。 | 2021 年 12 月 16 日 |
| Detective 开始跟踪更改情况 | Detective 开始跟踪其 AWS 托管策略的变化。 | 2021 年 5 月 10 日 |