本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon Detective 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策: AmazonDetectiveFullAccess
您可將 `AmazonDetectiveFullAccess` 政策連接到 IAM 身分。
此政策會授予管理許可,允許主體完整存取所有 Amazon Detective 動作。您可以將此政策附加到主體,然後再針對帳戶啟用 Detective。它還必須附加到用於執行 Detective Python 指令碼以建立和管理行為圖表的角色。
具有此類許可的主體可以管理成員帳戶、將標籤新增至其行為圖表,以及使用 Detective 進行調查。他們還可以封存 GuardDuty 調查結果。政策提供 Detective 主控台顯示所在帳戶的帳戶名稱所需的許可 AWS Organizations。
**許可詳細資訊**
此政策包含以下許可:
+ `detective`:允許主體完整存取所有 Detective 動作。
+ `organizations`:允許主體從組織中擷取針對帳戶的 AWS Organizations 資訊。如果帳戶屬於某個組織,除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。
+ `guardduty`:允許主體從 Detective 內部取得和封存 GuardDuty 調查結果。
+ `securityhub` – 允許主體從 Detective 中取得 Security Hub CSPM 問題清單。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:*",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings"
],
"Resource": "arn:aws:guardduty:*:*:detector/*"
},
{
"Effect": "Allow",
"Action": [
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策: AmazonDetectiveMemberAccess
您可將 `AmazonDetectiveMemberAccess` 政策附加至 IAM 實體。
此政策會向成員提供 Amazon Detective 的存取,以及主控台的特定範圍存取。
使用此政策,您可以:
+ 檢視向 Detective 圖表成員發出的邀請,並接受或拒絕邀請。
+ 在**用量**頁面查看您在 Detective 中的活動如何影響使用此服務的成本。
+ 放棄圖表中的成員資格。
此政策授予唯讀許可,允許在一定範圍内存取 Detective 主控台。
**許可詳細資訊**
此政策包含以下許可:
+ `detective`:允許成員存取 Detective。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:BatchGetMembershipDatasources",
"detective:DisassociateMembership",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations",
"detective:RejectInvitation"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策: AmazonDetectiveInvestigatorAccess
您可將 `AmazonDetectiveInvestigatorAccess` 政策附加至 IAM 實體。
此政策向調查人員提供對 Detective 服務的存取,以及 Detective 主控台 UI 相依性的特定範圍存取。此政策授予在 Detective 中對 IAM 使用者和 IAM 角色啟用 Detective 調查的許可。您可以使用調查報告來調查以識別調查結果等入侵指標,該報告提供有關安全指標的分析和見解。該報告按嚴重性進行排名,由 Detective 的行為分析和機器學習決定。您可以使用報告來排定資源修補的優先順序。
**許可詳細資訊**
此政策包含以下許可:
+ `detective`:允許主體調查者存取 Detective 動作,以啟用 Detective 調查,以及啟用調查結果群組摘要。
+ `guardduty`:允許主體從 Detective 內部取得和封存 GuardDuty 調查結果。
+ `securityhub` – 允許主體從 Detective 中取得 Security Hub CSPM 問題清單。
+ `organizations` – 允許主體從中擷取組織中帳戶的相關資訊 AWS Organizations。如果帳戶屬於某個組織,則除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DetectivePermissions",
"Effect": "Allow",
"Action": [
"detective:BatchGetGraphMemberDatasources",
"detective:BatchGetMembershipDatasources",
"detective:DescribeOrganizationConfiguration",
"detective:GetFreeTrialEligibility",
"detective:GetGraphIngestState",
"detective:GetMembers",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListDatasourcePackages",
"detective:ListGraphs",
"detective:ListHighDegreeEntities",
"detective:ListInvitations",
"detective:ListMembers",
"detective:ListOrganizationAdminAccount",
"detective:ListTagsForResource",
"detective:SearchGraph",
"detective:StartInvestigation",
"detective:GetInvestigation",
"detective:ListInvestigations",
"detective:UpdateInvestigationState",
"detective:ListIndicators",
"detective:InvokeAssistant"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPermissions",
"Effect": "Allow",
"Action": [
"guardduty:ArchiveFindings",
"guardduty:GetFindings",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SecurityHubPermissions",
"Effect": "Allow",
"Action": [
"securityHub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AmazonDetectiveOrganizationsAccess
您可將 `AmazonDetectiveOrganizationsAccess` 政策附加至 IAM 實體。
此政策授予在組織內啟用和管理 Amazon Detective 的許可。您可以在整個組織中啟用 Detective,並決定 Detective 的委派管理員帳戶。
**許可詳細資訊**
此政策包含以下許可:
+ `detective`:允許主體存取 Detective 動作。
+ `iam`:指定在 Detective 呼叫 `EnableOrganizationAdminAccount` 時建立服務連結角色。
+ `organizations` – 允許主體從中擷取組織中帳戶的相關資訊 AWS Organizations。如果帳戶屬於某個組織,則除了帳號之外,此類許可還允許 Detective 主控台顯示帳戶名稱。啟用 AWS 服務的整合、允許以委派管理員身分註冊和取消註冊指定的成員帳戶,以及允許委託人擷取 Amazon Detective、Amazon GuardDuty、Amazon Macie 和 等其他安全服務中的委派管理員帳戶 AWS Security Hub CSPM。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:DisableOrganizationAdminAccount",
"detective:EnableOrganizationAdminAccount",
"detective:ListOrganizationAdminAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "detective.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"detective.amazonaws.com",
"guardduty.amazonaws.com",
"macie.amazonaws.com",
"securityhub.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 受管政策: AmazonDetectiveServiceLinkedRole
您無法將 `AmazonDetectiveServiceLinkedRole` 政策附加至 IAM 實體。此政策會附加到服務連結角色,透過該角色,Detective 可代表您執行動作。如需詳細資訊,請參閱 [使用 Detective 的服務連結角色](using-service-linked-roles.md)。
此政策會授予管理許可,允許服務連結角色擷取組織的帳戶資訊。
**許可詳細資訊**
此政策包含以下許可:
+ `organizations`:擷取組織的帳戶資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策的偵測更新
檢視自此服務開始追蹤這些變更以來 Detective AWS 受管政策更新的詳細資訊。如需自動收到有關此頁面變更的提醒,請前往 [ 文件歷史記錄頁面](doc-history.md)上訂閱 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy):現有政策的更新 | 在 `AmazonDetectiveInvestigatorAccess` 政策中新增了 Detective 調查和調查結果群組摘要動作。 此類動作允許啟動,擷取和更新 Detective 調查結果並從 Detective 內部獲得調查結果群組的摘要。 | 2023 年 11 月 26 日 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess) 和 [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) – 對現有政策的更新 | Detective 已將 Security Hub CSPM `GetFindings`動作新增至 `AmazonDetectiveFullAccess`和 `AmazonDetectiveInvestigatorAccess`政策。 這些動作允許從 Detective 內取得 Security Hub CSPM 調查結果。 | 2023 年 5 月 16 日 |
| [AmazonDetectiveOrganizationsAccess](#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) – 新政策 | Detective 新增了 `AmazonDetectiveOrganizationsAccess` 政策。 此政策授予在組織內啟用和管理 Detective 的許可 | 2023 年 3 月 2 日 |
| [AmazonDetectiveMemberAccess](#security-iam-awsmanpol-amazondetectivememberaccess) – 新政策 | Detective 新增了 `AmazonDetectiveMemberAccess` 政策。 此政策會向成員提供 Detective 的存取,以及主控台 UI 依存關系的特定範圍存取。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveFullAccess](#security-iam-awsmanpol-amazondetectivefullaccess):現有政策的更新 | Detective 向 `AmazonDetectiveFullAccess` 政策新增了 GuardDuty `GetFindings` 動作。 透過此類動作,可從 Detective 內部取得 GuardDuty 調查結果。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveInvestigatorAccess](#security-iam-awsmanpol-amazondetectiveinvestigatoraccesspolicy) – 新政策 | Detective 新增了 `AmazonDetectiveInvestigatorAccess` 政策。 透過此類政策,主體可在 Detective 中進行調查。 | 2023 年 1 月 17 日 |
| [AmazonDetectiveServiceLinkedRole](#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy) – 新政策 | Detective 為其服務連結角色新增了新政策。 透過政策,服務連結角色可以擷取組織中帳戶的相關資訊。 | 2021 年 12 月 16 日 |
| Detective 開始追蹤變更 | Detective 開始追蹤其 AWS 受管政策的變更。 | 2021 年 5 月 10 日 |