本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
账户的可用操作
管理员和成员账户可以访问以下 Detective 操作。表中的数值具有以下含义:
-
任何——该账户可对同一 Detective 管理员账户下的所有账户执行操作。
-
自身——该账户只能对自身的账户执行操作。
-
破折号 (-)——该账户不能执行操作。
在组织行为图中,Detective 管理员账户决定将哪些组织账户启用为成员账户。他们可以配置 Detective 将新组织账户自动启用为成员账户,也可以手动启用组织账户。
管理员账户可以邀请账户成为行为图中的成员账户。当成员账户接受邀请并启用后,Amazon Detective 就会开始采集成员账户的数据并将其提取到行为图中。
对于组织行为图以外的行为图,所有成员账户都是受邀账户。
下表列出了管理员和成员账户的默认权限。您可以使用自定义IAM策略进一步限制对 Detective 特性和功能的访问。
|
操作 |
管理员账户(组织) |
管理员账户(邀请) |
成员(组织) |
成员(邀请) |
|---|---|---|---|---|
|
查看账户 |
任何 |
任何 |
自身(查看管理员账户) |
自身(查看管理员账户) |
|
删除成员账户 |
任何 已删除受邀账户 已解除组织账户关联 |
任何 |
– |
自身 |
|
添加或删除可选的数据来源包 |
任何(设置适用于所有成员账户) |
任何(设置适用于所有成员账户) |
– |
– |
|
禁用 Detective |
自身 |
自身 |
– |
– |
|
查看行为图数据 |
任何 |
任何 |
– |
– |
|
启用或禁用可选的数据来源包 |
全部 |
全部 |
– |
– |
