会员账户必需的IAM政策 - Amazon Detective

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

会员账户必需的IAM政策

在成员账户可以查看和管理邀请之前,必须将所需的IAM政策附加到其委托人身上。主体可以是现有用户或角色,也可以创建新的用户或角色供 Detective 使用。

理想情况下,管理员帐户会让其IAM管理员附加所需的策略。

会员账户IAM政策允许访问成员在 Amazon Detective 中进行账户操作。为行为图做出贡献的电子邮件邀请包括该IAM政策的文本。

要使用此策略,请<behavior graph ARN>替换为图表ARN。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:DisassociateMembership",
        "detective:RejectInvitation"
      ],
      "Resource": "<behavior graph ARN>"
    },
   {
    "Effect":"Allow",
    "Action":[
        "detective:BatchGetMembershipDatasources",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations"
    ],
    "Resource":"*"
   }
 ]
}

请注意,组织行为图中的组织账户不会收到邀请,也无法取消其账户与组织行为图的关联。如果它们不属于其他行为图,则只需获得 ListInvitations 权限。ListInvitations 允许他们查看行为图的管理员账户。管理邀请和取消关联成员资格的权限仅适用于通过邀请获得的成员资格。