本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Detective 的安全最佳实践
<a name="security-best-practices"></a>

Detective 提供了在您开发和实施自己的安全策略时需要考虑的大量安全特征。以下最佳实践是一般指导原则，并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求，请将其视为有用的考虑因素而不是惯例。

对于 Detective 来说，安全最佳实践与在行为图中管理账户关联。

## Detective 管理员帐户的最佳做法
<a name="security-best-practices-admin-accounts"></a>

邀请成员账号加入 Detective 行为图时，请仅邀请您监督的账号。

限制访问行为图。拥有该[AmazonDetectiveFullAccess](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-amazondetectivefullaccess)策略的用户可以授予对所有 Detective 操作的访问权限。拥有这些权限的主体可以管理成员账户，为其行为图添加标签，并使用 Detective 进行调查。当用户有权访问行为图时，他们可以查看成员账户的所有调查发现。这样的调查发现可能会暴露敏感的安全信息。

## 成员账户的最佳实践
<a name="security-best-practices-member-accounts"></a>

当您收到行为图的邀请时，请务必验证邀请的来源。

检查发送邀请的管理员账户的账户标识符。 AWS 确认您知道该账户属于谁，并且邀请账户有正当理由监控您的安全数据。