成员账户所需的 IAM 策略 - Amazon Detective

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

成员账户所需的 IAM 策略

在成员账户可以查看和管理邀请之前,必须将所需的 IAM 策略附加到其主体。主体可以是现有用户或角色,也可以创建新的用户或角色供 Detective 使用。

理想情况下,管理员账户的 IAM 管理员会附加所需的策略。

成员账户 IAM 策略允许访问 Amazon Detective 中的成员账户操作。行为图的电子邮件邀请包括该 IAM 策略的文本。

要使用此策略,请将<behavior graph ARN>替换为图 ARN。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:DisassociateMembership",
        "detective:RejectInvitation"
      ],
      "Resource": "arn:aws:detective:us-east-1:123456789012:graph/*"
    },
   {
    "Effect":"Allow",
    "Action":[
        "detective:BatchGetMembershipDatasources",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations"
    ],
    "Resource":"*"
   }
 ]
}

请注意,组织行为图中的组织账户不会收到邀请,也无法取消其账户与组织行为图的关联。如果它们不属于其他行为图,则只需获得 ListInvitations 权限。ListInvitations 允许他们查看行为图的管理员账户。管理邀请和取消关联成员资格的权限仅适用于通过邀请获得的成员资格。