截至 2025 年 11 月 7 日，亚马逊 Fraud Detector 不再向新客户开放。要获得与 Amazon Fraud Detector 类似的功能 SageMaker，请浏览亚马逊 AutoGluon、和 AWS WAF。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Fraud Detector 如何与 IAM 协作
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理对 Amazon Fraud Detector 的访问权限之前，您应该了解哪些可用于 Amazon Fraud Detector 的 IAM 功能。要全面了解 Amazon Fraud Detector 和其他 AWS 服务如何与 IAM 配合使用，请参阅 [IAM *用户指南中的与 IAM* 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

**Topics**
+ [Amazon Fraud Detector 基于身份的政策](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Fraud Detector 基于资源的政策](#security_iam_service-with-iam-resource-based-policies)
+ [基于亚马逊 Fraud Detector 标签的授权](#security_iam_service-with-iam-tags)
+ [亚马逊 Fraud Detector IAM 角色](#security_iam_service-with-iam-roles)

## Amazon Fraud Detector 基于身份的政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon Fraud Detector 支持特定的操作、资源和条件密钥。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

要开始使用 Amazon Fraud Detector，我们建议创建一个只能访问亚马逊 Fraud Detector 操作并具有所需权限的用户。您可以根据需要添加其他权限。以下政策提供了使用 Amazon Fraud Detector 所需的权限：`AmazonFraudDetectorFullAccessPolicy`和`AmazonS3FullAccess`。有关使用这些政策设置 Amazon Fraud Detector 的更多信息，请参阅[为 Amazon Fraud Detector 做好准备](set-up.md)。

### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

Amazon Fraud Detector 中的策略操作在操作前使用以下前缀:`frauddetector:`. 例如，要使用 Amazon Fraud Detecto `CreateRule` r API 操作创建规则，您需要在策略中包含该`frauddetector:CreateRule`操作。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon Fraud Detector 定义了自己的一组操作，这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "frauddetector:action1",
      "frauddetector:action2"
```

您也可以使用通配符 （\*) 指定多个操作。例如，要指定以单词 `Describe` 开头的所有操作，包括以下操作：

```
"Action": "frauddetector:Describe*"
```



要查看 Amazon Fraud Detector 操作列表，请参阅 *IAM 用户指南*中的 A [mazon Fraud Detector 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonfrauddetector.html#amazonfrauddetector-actions-as-permissions)。

### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符 (\*) 指示语句应用于所有资源。

```
"Resource": "*"
```



[Amazon Fraud Detector 定义的资源类型](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonfrauddetector.html#amazonfrauddetector-resources-for-iam-policies)列出了所有 Amazon Fraud Detector 资源 ARN。

例如，要在语句中指定`my_detector`检测器，请使用以下 ARN：

```
"Resource": "arn:aws:frauddetector:us-east-1:123456789012:detector/my_detector"
```

有关 ARN 格式的更多信息，请参阅 A [mazon 资源名称 (ARN) 和 AWS 服务](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)命名空间。

要指定属于特定账户的所有探测器，请使用通配符 (\*)：

```
"Resource": "arn:aws:frauddetector:us-east-1:123456789012:detector/*"
```

某些 Amazon Fraud Detector 操作，例如用于创建资源的操作，无法对特定资源执行。在这些情况下，您必须使用通配符（\*)。

```
"Resource": "*"
```

要查看 Amazon Fraud Detector 资源类型及其 ARN 的列表，请参阅 *IAM 用户指南*中的 A [mazon Fraud Detector 定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonfrauddetector.html#amazonfrauddetector-resources-for-iam-policies)。要了解您可以为每种资源指定哪些操作的 ARN，请参阅 A [mazon Fraud Detector 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonfrauddetector.html#amazonfrauddetector-actions-as-permissions)。

### 条件键
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

Amazon Fraud Detector 定义了自己的一组条件键，还支持使用一些全局条件键。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

要查看 Amazon Fraud Detector 条件密钥列表，请参阅 *IAM 用户指南*中的 A [mazon Fraud Detector 条件密](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonfrauddetector.html#amazonfrauddetector-policy-keys)钥。要了解您可以使用条件键的操作和资源，请参阅 [Amazon Fraud Detector 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonfrauddetector.html#amazonfrauddetector-actions-as-permissions)。

### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



要查看 Amazon Fraud Detector 基于身份的政策示例，请参阅。[Amazon Fraud Detector 基于身份的策略示例](security_iam_id-based-policy-examples.md)

## Amazon Fraud Detector 基于资源的政策
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Amazon Fraud Detector 不支持基于资源的政策。

## 基于亚马逊 Fraud Detector 标签的授权
<a name="security_iam_service-with-iam-tags"></a>

您可以将标签附加到亚马逊 Fraud Detector 资源，也可以在请求中将标签传递给亚马逊 Fraud Detector。要基于标签控制访问，您需要使用 `aws:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。

## 亚马逊 Fraud Detector IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。

### 在 Amazon Fraud Detector 中使用临时证书
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

可以使用临时凭证进行联合身份验证登录，分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。

Amazon Fraud Detector 支持使用临时证书。

### Service-linked 角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Service-linked 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。 Service-linked 角色出现在您的 IAM 账户中并归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。

Amazon Fraud Detector 不支持与服务相关的角色。

### 服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 账户中，并由该账户拥有。这意味着管理员可以更改此角色的权限。但是，这样做可能会中断服务的功能。

Amazon Fraud Detector 支持服务角色。