Verwenden von serviceverknüpften Rollen für Detective - Amazon Detective
Berechtigungen von serviceverknüpften Rollen für DetectiveErstellen einer serviceverknüpften Rolle für DetectiveBearbeiten einer serviceverknüpften Rolle für DetectiveLöschen einer serviceverknüpften Rolle für DetectiveUnterstützte Regionen für serviceverknüpfte Detective-Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Detective

Amazon Detective verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Detective verknüpft ist. Dienstbezogene Rollen sind von Detective vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle macht die Einrichtung von Amazon Detective einfacher, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Detective definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Detective-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für Detective

Detective verwendet die dienstbezogene Rolle mit dem Namen AWSServiceRoleForDetective— Erlaubt Detective, in Ihrem Namen auf AWS Organizations Informationen zuzugreifen.

Die AWSServiceRoleForDetective dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • detective.amazonaws.com

Die AWSServiceRoleForDetective dienstverknüpfte Rolle verwendet die verwaltete Richtlinie. AmazonDetectiveServiceLinkedRolePolicy

Einzelheiten zu Aktualisierungen der AmazonDetectiveServiceLinkedRolePolicy Richtlinie finden Sie unter Amazon Detective Updates to AWS Managed Policies. Abonnieren Sie den RSS-Feed auf der Seite mit dem Dokumentenverlauf von Detective, um automatische Benachrichtigungen über Änderungen an dieser Richtlinie zu erhalten.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für Detective

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie das Detective-Administratorkonto für eine Organisation in der AWS Management Console, der oder der AWS API festlegen AWS CLI, erstellt Detective die dienstbezogene Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie das Detective-Administratorkonto für eine Organisation festlegen, erstellt Detective die serviceverknüpfte Rolle wieder für Sie.

Bearbeiten einer serviceverknüpften Rolle für Detective

Detective erlaubt Ihnen nicht, die AWSServiceRoleForDetective serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Detective

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Detective-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es dann erneut.

Um Detective-Ressourcen zu löschen, die von AWSServiceRoleForDetective

  1. Entfernen Sie das Detective-Administratorkonto. Siehe Den Detective-Administrator für eine Organisation benennen.

  2. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Detective-Administratorkonto festgelegt haben.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForDetective serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.

Unterstützte Regionen für serviceverknüpfte Detective-Rollen

Detective unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der -Service verfügbar ist. Weitere Informationen finden Sie unter AWS Regionen und Endpunkte.