Amazon Detective に関する IAM ポリシーのアクションを用途別にまとめてみた
Amazon Detective に関する IAM ポリシーを検討する機会があり、機能または作業別に独自のカテゴリでアクションを整理したため、その時の内容を備忘録も兼ねてブログ化しました。
Amazon Detective のアクション一覧
操作したい機能、または、作業ごとに独自のカテゴリに分けて掲載します。
アクション一覧は次のユーザーガイドのページに掲載されており、API へのリンクも掲載されていることから、併用して確認することをおすすめします。
Amazon Detective のアクション、リソース、および条件キー - サービス認可リファレンス
以降のアクション一覧表において、アクション名がリンクになっていないアクションは対応する API が存在しないアクセス許可です。マネジメントコンソール上の操作に関連する権限となります。
Detective 全体(グラフ)関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListGraphs | Detective の一覧を取得(グラフの一覧を取得) | - |
| リスト | ListHighDegreeEntities | リレーションの保存ができない大量のエンティティの取得を許可 | 大量のエンティティの詳細の表示 |
| 読み取り | SearchGraph | データの検索を許可 | - |
| 書き込み | CreateGraph | Detective を有効化(グラフを作成) | - |
| 書き込み | DeleteGraph | Detective を無効化(グラフを削除) | - |
SearchGraphを Deny した場合のマネジメントコンソール上の見え方です。データの検索ができなくなります。
データソース(ソースパッケージ)関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListDatasourcePackages | データソースの一覧を取得 | - |
| 読み取り | BatchGetMembershipDatasources | データソースの履歴(開始時刻、停止時刻)を取得 | - |
| 読み取り | GetGraphIngestState | データ取り込み状態の取得を許可 | - |
| 書き込み | UpdateDatasourcePackages | データソースの更新(有効化、無効化) | - |
2023.8.13 時点で有効なデータソースの値は次の 3 種類です。AWS セキュリティ検出結果と EKS 監査ログはオプションのソースパッケージです。
- DETECTIVE_CORE
- ASFF_SECURITYHUB_FINDING(AWS セキュリティ検出結果)
- EKS_AUDIT(EKS 監査ログ)
メンバーアカウント関連
このカテゴリだけ、管理者アカウント側の操作とメンバーアカウント側の操作を示す列(実行主体)を追加しています。
| アクセスレベル | アクション | 実行主体 | 概要 | 補足 |
|---|---|---|---|---|
| リスト | ListMembers | 管理者 | 関連付け済みのメンバーアカウントのリストを取得 | - |
| リスト | ListInvitations | メンバー | 招待されているリストを取得 | - |
| 読み取り | GetMembers | 管理者 | メンバーアカウントの情報を取得 | - |
| 読み取り | BatchGetGraphMemberDatasources | 管理者 | メンバーアカウントのデータソースを取得 | - |
| 書き込み | CreateMembers | 管理者 | メンバーアカウントを作成 | - |
| 書き込み | DisassociateMembership | 管理者 | メンバーアカウントの関連付けを解除 | - |
| 書き込み | DeleteMembers | 管理者 | メンバーアカウントを削除 | - |
| 書き込み | AcceptInvitation | メンバー | 招待を承認 | - |
| 書き込み | RejectInvitation | メンバー | 招待を拒否 | - |
| 書き込み | StartMonitoringMember | 管理者 | ACCEPTED_BUT_DISABLED ステータスのメンバーアカウントを有効化 | - |
委任関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListOrganizationAdminAccount | 委任の一覧を取得 | - |
| 書き込み | DisableOrganizationAdminAccount | 委任を有効 | - |
| 書き込み | EnableOrganizationAdminAccount | 委任を無効 | - |
AWS Organizations 連携の自動有効設定関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | DescribeOrganizationConfiguration | 自動有効化設定を取得 | - |
| 書き込み | UpdateOrganizationConfiguration | 自動有効化設定を更新 | - |
料金関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| 読み取り | GetFreeTrialEligibility | 無料トライアルの資格を取得 | 動作グラフの無料トライアル期間について |
| 読み取り | GetPricingInformation | 料金に関する情報を取得 | - |
| 読み取り | GetUsageInformation | 使用状況(データの取り込み量)を取得 | - |
GetFreeTrialEligibilityを Deny した場合のマネジメントコンソール上の見え方です。EKS 監査ログだけ表示されないのですが、無料トライアルとの関係性が分かりませんでした。EKS 監査ログだけ対象となるログが収集されていなかったため、そのことがオプションのソースパッケージの無料トライアルと関係しているのかもしれません。
GetPricingInformationを Deny した場合のマネジメントコンソール上の見え方です。予測コストと料金を確認できません。
GetUsageInformationを Deny した場合のマネジメントコンソール上の見え方です。使用量(取り込み量)と予測コストを確認できません。
タグ関連
| アクセスレベル | アクション | 概要 | 補足 |
|---|---|---|---|
| リスト | ListTagsForResource | タグのリストを取得 | - |
| タグ付け | TagResource | タグを追加 | - |
| タグ付け | UntagResource | タグを削除 | - |
さいごに
Amazon GuardDuty と AWS Security Hub に続き、Amazon Detective についても IAM ポリシーを検討しやすいように機能または作業別に独自のカテゴリに整理してみました。
以上、このブログがどなたかのご参考になれば幸いです。
![[アップデート]Amazon Detectiveがラジアルレイアウトによる可視化に対応しました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-61221a9ccf019476e553d2ad553dff40/69cf7b9e68a8154464c2ad2d726d8d6b/amazon-detective)
![[レポート]IAM Roleの一時的な認証情報におけるアイデンティティフォレンジック #TDR444 #AWSreInforce](https://devio2023-media.developers.io/wp-content/uploads/2024/06/eyecatch_awsreinforce2024_1200x630.png)
