メンバーアカウントに必要な IAM ポリシー - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

メンバーアカウントに必要な IAM ポリシー

メンバーアカウントが招待を表示および管理するためには、まず必要な IAM ポリシーをプリンシパルにアタッチする必要があります。プリンシパルは、既存のユーザーまたはロールにすることができるほか、Detective で使用するために新しいユーザーまたはロールを作成することもできます。

理想的には、管理者アカウントが IAM 管理者に必要なポリシーをアタッチするよう依頼します。

メンバーアカウント IAM ポリシーは、Amazon Detective のメンバーアカウントのアクションに対するアクセス権を付与します。動作グラフにデータを提供するよう招待する E メールには、その IAM ポリシーのテキストが含まれています。

このポリシーを使用するには、<behavior graph ARN> をグラフ ARN に置き換えます。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:DisassociateMembership",
        "detective:RejectInvitation"
      ],
      "Resource": "arn:aws:detective:us-east-1:123456789012:graph/*"
    },
   {
    "Effect":"Allow",
    "Action":[
        "detective:BatchGetMembershipDatasources",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations"
    ],
    "Resource":"*"
   }
 ]
}

組織動作グラフ内の組織アカウントは招待を送信されず、そのアカウントと組織動作グラフとの関連付けを解除できないことに注意してください。他の動作グラフに属していない組織アカウントは、ListInvitations へのアクセス許可のみが必要です。ListInvitations により、動作グラフの管理者アカウントを確認できます。招待を管理したり、メンバーシップの関連付けを解除したりするアクセス許可は、招待されたメンバーにのみ適用されます。