Política do IAM necessária para uma conta-membro - Amazon Detective

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Política do IAM necessária para uma conta-membro

Antes que uma conta-membro possa visualizar e gerenciar convites, a política do IAM necessária deve ser anexada à entidade principal. A entidade principal pode ser um usuário ou uma função existente, ou você pode criar um novo usuário ou função para usar no Detective.

O ideal é que a conta de administrador faça com que o administrador do IAM anexe a política necessária.

A política do IAM da conta-membro concede acesso às ações da conta-membro no Amazon Detective. O convite por e-mail para contribuir em um gráfico de comportamento inclui o texto dessa política do IAM.

Para usar essa política, substitua <behavior graph ARN> pelo ARN do gráfico.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:DisassociateMembership",
        "detective:RejectInvitation"
      ],
      "Resource": "arn:aws:detective:us-east-1:123456789012:graph/*"
    },
   {
    "Effect":"Allow",
    "Action":[
        "detective:BatchGetMembershipDatasources",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations"
    ],
    "Resource":"*"
   }
 ]
}

Observe que as contas da organização no gráfico de comportamento da organização não recebem convites e não podem desassociar suas contas do gráfico de comportamento da organização. Se não pertencerem a outros gráficos de comportamento, precisarão somente da permissão ListInvitations. ListInvitations permite que essas contas vejam a conta de administrador do gráfico de comportamento. As permissões para gerenciar convites e desassociar associações se aplicam somente às associações por convite.