會員帳戶所需的IAM政策 - Amazon Detective

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

會員帳戶所需的IAM政策

成員帳戶必須先附加必要的IAM原則,才能檢視和管理邀請。主體可以是現有使用者或角色,您也可以建立新使用者或角色以供 Detective 使用。

理想情況下,系統管理員帳戶會讓其IAM管理員附加必要的原則。

會員帳戶IAM政策授予訪問 Amazon Detective 中的會員帳戶操作。提供給行為圖表的電子郵件邀請包含該IAM原則的文字。

若要使用此原則,請<behavior graph ARN>以圖形取代ARN。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "detective:AcceptInvitation",
        "detective:DisassociateMembership",
        "detective:RejectInvitation"
      ],
      "Resource": "<behavior graph ARN>"
    },
   {
    "Effect":"Allow",
    "Action":[
        "detective:BatchGetMembershipDatasources",
        "detective:GetFreeTrialEligibility",
        "detective:GetPricingInformation",
        "detective:GetUsageInformation",
        "detective:ListInvitations"
    ],
    "Resource":"*"
   }
 ]
}

請注意,組織行為圖表中的組織帳戶不會收到邀請,也無法取消其帳戶與組織行為圖表的關聯。如果它們不屬於其他行為圖表,則只需要 ListInvitations 許可即可。透過 ListInvitations,使用者可以查看行為圖表的管理員帳戶。管理邀請和取消成員資格的許可僅適用於透過邀請的成員資格。