本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Detective 如何与 IAM 协同工作

默认情况下，用户和角色没有创建或修改 Amazon Detective 资源的权限。他们也无法使用 AWS 管理控制台 AWS CLI、或 AWS API 执行任务。Detective 管理员必须拥有 AWS Identity and Access Management (IAM) 策略，授予 IAM 用户和角色对他们所需的指定资源执行特定 API 操作的权限。然后，管理员必须将这些策略附加到需要这些权限的主体。

Detective 使用基于 IAM 身份的策略为以下类型的用户和操作授予权限：

要全面了解 Detective 和其他人如何 AWS 服务 使用 IAM，请参阅 IA M 用户指南中的 “在 JSON” 选项卡上创建策略。

Detective 基于身份的策略

通过使用 IAM 基于身份的策略，可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Detective 支持特定的操作、资源和条件键。

要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》中的 IAM JSON 策略元素参考。

操作

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个主体可以对什么资源执行操作，以及在什么条件下执行。

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

策略语句必须包含 Action 或 NotAction 元素。Action 元素列出了策略允许的操作。NotAction 元素列出了不允许的操作。

为 Detective 定义的操作反映了可以使用 Detective 执行的任务。Detective 中的策略操作具有以下前缀：detective:。

例如，要授予使用 CreateMembers API 操作邀请成员账户访问行为图的权限，应将 detective:CreateMembers 操作纳入其策略中。

要在单个语句中指定多项操作，请使用逗号将它们隔开。例如，对于成员账户，该策略包括一组与管理邀请相关的操作：

"Action": [
      "detective:ListInvitations",
      "detective:AcceptInvitation",
      "detective:RejectInvitation",
      "detective:DisassociateMembership
]

可以使用通配符 (*) 指定多个操作。例如，要管理行为图中使用的数据，Detective 中的管理员账户必须能够执行以下任务：

可以授予对所有以 Members 词结尾的操作的访问权限，而不必单独列出这些操作。这方面的政策可能包括以下操作：

"Action": "detective:*Members"

要查看 Detective 操作的列表，请参阅《服务授权参考》中的 Amazon Detective 定义的操作。

资源

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个主体可以对什么资源执行操作，以及在什么条件下执行。

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 Amazon 资源名称（ARN）指定资源。对于不支持资源级权限的操作，请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

有关格式的更多信息 ARNs，请参阅 Amazon 资源名称 (ARNs) 和 AWS 服务命名空间。

对于 Detective，唯一的资源类型是行为图。Detective 中的行为图资源拥有以下 ARN：

arn:aws:detective:${Region}:${AccountId}:graph:${GraphId}

例如，行为图具有以下值：

要在 Resource 语句中识别此行为图，可以使用以下 ARN：

"Resource": "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899"

要在 Resource 语句中指定多个资源，请使用逗号分隔它们。

"Resource": [
      "resource1",
      "resource2"
]

例如，在多个行为图中，可能会邀请同 AWS 一个账户成为成员账户。在该成员账户的政策中，Resource 语句将列出他们受邀访问的行为图。

"Resource": [
      "arn:aws:detective:us-east-1:111122223333:graph:027c7c4610ea4aacaf0b883093cab899",
      "arn:aws:detective:us-east-1:444455556666:graph:056d2a9521xi2bbluw1d164680eby416"
]

某些 Detective 操作（例如创建行为图、列出行为图和列出行为图邀请）不会在特定行为图上执行。要执行这些操作，Resource 语句必须使用通配符 (*)。

"Resource": "*"

对于管理员账户操作，Detective 始终会验证发出请求的用户是否属于受影响行为图的管理员账户。对于成员账户操作，Detective 始终会验证提出请求的用户是否属于成员账户。即使 IAM 策略授予对行为图的访问权限，但如果用户不属于正确的账户，也无法执行操作。

对于在特定行为图上执行的所有操作，IAM 策略应包括图的 ARN。图 ARN 可稍后添加。例如，当一个账户首次启用 Detective 时，初始 IAM 策略会使用图 ARN 的通配符提供对所有 Detective 操作的访问权限。这样，用户就可以立即开始管理成员账户，并在其行为图中进行调查。创建行为图后，可以更新策略以添加图 ARN。

条件键

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个主体可以对什么资源执行操作，以及在什么条件下执行。

Condition 元素根据定义的条件指定语句何时执行。您可以创建使用条件运算符（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键，请参阅 IAM 用户指南中的AWS 全局条件上下文密钥。

Detective 不定义自己的一组条件键。它确实支持使用全局条件键。要查看所有 AWS 全局条件键，请参阅 IAM 用户指南中的AWS 全局条件上下文密钥。

要了解可以对哪些操作和资源使用条件键，请参阅 Amazon Detective 定义的操作。

示例

要查看 Detective 基于身份的策略的示例，请参阅Amazon Detective 基于身份的策略示例。

Detective 基于资源的策略（不受支持）

Detective 不支持基于资源的策略。

基于 Detective 行为图标签的授权

可以为每个行为图分配标签值。可以在条件语句中使用这些标签值来管理对行为图的访问。

标签值的条件语句使用以下格式。

{"StringEquals"{"aws:ResourceTag/<tagName>": "<tagValue>"}}

例如，当 Department 标签的值为 Finance 时，使用以下代码来允许或拒绝操作。

{"StringEquals"{"aws:ResourceTag/Department": "Finance"}}

有关使用资源标签值的策略示例，请参阅管理员账户：根据标签值限制访问。

Detective IAM 角色

I AM 角色是您的 AWS 账户中具有特定权限的实体。

使用 Detective 的临时凭证

可以使用临时凭证进行联合身份验证登录，代入 IAM 角色或代入跨账户角色。您可以通过调用AssumeRole或之类的 AWS STS API 操作来获取临时安全证书GetFederationToken。

Detective 支持使用临时凭证。

服务关联角色

服务相关角色允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中，并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。

有关创建或管理 Detective 服务相关角色的详细信息，请参阅使用 Detective 的服务相关角色。

服务角色（不支持）

此特征允许服务代表您代入服务角色。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中，并归该账户所有。这意味着，IAM 管理员可以更改该角色的权限。但是，这样做可能会中断服务的功能。

Detective 不支持服务角色。