Claves de filtro del Analizador de acceso de IAM

Puede utilizar las siguientes claves de filtro para definir una regla de archivo (CreateArchiveRule), actualizar una regla de archivo (UpdateArchiveRule), recuperar una lista de resultados (ListFindings y ListFindingsV2) o recuperar una lista de resultados de vista previa para un recurso (ListAccessPreviewFindings). No hay diferencia entre el uso de la API de IAM y AWS CloudFormation para configurar reglas de archivo.

Criterion	Descripción	Tipo	Regla de archivo	Lista de resultados	Detallar resultados de vista previa de acceso
recurso	El ARN identifica de forma única el recurso al que tiene acceso la entidad principal externa. Para obtener más información, consulte los nombres de recursos de Amazon (ARN).	Cadena	Sí	Sí	Sí
resourceType `AWS::IAM::Role` \| `AWS::KMS::Key` \| `AWS::Lambda::Function` \| `AWS::Lambda::LayerVersion` \| `AWS::S3::Bucket` \| `AWS::S3Express::DirectoryBucket` \| `AWS::SQS::Queue` \| `AWS::SecretsManager::Secret` \| `AWS::EFS::FileSystem` \| `AWS::EC2::Snapshot` \| `AWS::ECR::Repository` \| `AWS::RDS::DBSnapshot` \| `AWS::RDS::DBClusterSnapshot` \| `AWS::SNS::Topic` \| `AWS::DynamoDB::Stream` \| `AWS::DynamoDB::Table`	Tipo de recurso al que tiene acceso la entidad principal externa.	Cadena	Sí	Sí	Sí
resourceOwnerAccount	El ID de 12 dígitos de la cuenta de AWS que posee el recurso. Para obtener más información, consulte Identificadores de la cuenta de AWS.	Cadena	Sí	Sí	Sí
isPublic	Indica si la búsqueda informa de un recurso que tiene una política que permite el acceso público.	Booleano	Sí	Sí	Sí
findingType `UnusedIAMRole` \| `UnusedIAMUserAccessKey` \| `UnusedIAMUserPassword` \| `UnusedPermission`	El tipo del resultado. Solo puede filtrar por tipo de resultado los resultados de acceso no utilizados.	Cadena	Sí	Sí	Sí
estado `ACTIVE` \| `ARCHIVED` \| `RESOLVED`	El estado actual de la tarea.	Cadena	No	Sí	Sí
error	Indica el error notificado para la búsqueda.	Cadena	Sí	Sí	Sí
principal.AWS	La cuenta concedió acceso al recurso en el campo `Principal` del resultado. Introduzca el ID de la cuenta de AWS de 12 dígitos o el ARN del usuario de AWS o rol externo. Para obtener más información, consulte Identificadores de la cuenta de AWS.	Cadena	Sí	Sí	Sí
principal.Federated	El ARN de la identidad federada que tiene acceso al recurso en el resultado. Para obtener más información, consulte Federación y proveedores de identidades.	Cadena	Sí	Sí	Sí
condition.aws:PrincipalArn	El ARN de la entidad principal (usuario, rol o grupo de IAM) indicado como condición para el acceso a los recursos. Para obtener más información, consulte Claves de contexto de condición global de AWS.	Cadena	Sí	Sí	Sí
condition.aws:PrincipalOrgID	El identificador de organización de la entidad principal indicado como condición para el acceso a los recursos. Para obtener más información, consulte Claves de contexto de condición global de AWS.	Cadena	Sí	Sí	Sí
condition.aws:PrincipalOrgPaths	El identificador de organización o unidad organizativa (OU) indicado como condición para el acceso a los recursos. Para obtener más información, consulte Claves de contexto de condición global de AWS.	Cadena	Sí	Sí	Sí
condition.aws:SourceIp	La dirección IP que permite el acceso de la entidad principal al recurso cuando se utiliza la dirección IP especificada. Para obtener más información, consulte Claves de contexto de condición global de AWS.	Dirección IP	Sí	Sí	Sí
condition.aws:SourceVpc	El ID de la VPC que permite el acceso de la entidad principal al recurso cuando se utiliza la VPC especificada. Para obtener más información, consulte Claves de contexto de condición global de AWS.	Cadena	Sí	Sí	Sí
condition.aws:UserId	El ID de usuario del usuario de IAM de una cuenta externa indicada como condición para acceder al recurso. Para obtener más información, consulte Claves de contexto de condición global de AWS.	Cadena	Sí	Sí	Sí
condition.cognito-identity.amazonaws.com:aud	El ID del grupo de identidades de Amazon Cognito especificado como condición para el acceso a roles de IAM en la búsqueda. Para obtener más información, consulte Claves de contexto de condición de AWS STS y de IAM.	Cadena	Sí	Sí	Sí
condition.graph.facebook.com:app_id	El ID de la aplicación de Facebook (o ID del sitio) especificado como condición para permitir el acceso de la federación de Facebook al rol de IAM en el resultado. Para obtener más información, consulte Claves de contexto de condición de AWS STS y de IAM.	Cadena	Sí	Sí	Sí
condition.accounts.google.com:aud	El ID de aplicación de Google especificado como condición para acceder al rol de IAM. Para obtener más información, consulte Claves de contexto de condición de AWS STS y de IAM.	Cadena	Sí	Sí	Sí
condition.kms:CallerAccount	El ID de la cuenta de AWS que posee la entidad que llama (usuario, rol de IAM o usuario raíz de la cuenta) utilizada por los servicios que llaman a AWS KMS. Para obtener más información, consulte Claves de condición de AWS Key Management Service.	Cadena	Sí	Sí	Sí
condition.www.amazon.com:app_id	El ID de la aplicación de Amazon (o ID de sitio) especificado como condición para permitir el acceso de la federación de Login with Amazon al rol. Para obtener más información, consulte	Cadena	Sí	Sí	Sí
id	El ID del resultado.	Cadena	No	Sí	Sí
changeType	Proporciona contexto sobre cómo se compara la búsqueda de vista previa de acceso con el acceso existente identificado en el Analizador de acceso de IAM.	Cadena	No	No	Sí
existingFindingId	El ID existente de la búsqueda en el Analizador de acceso de IAM, proporcionado solo para los resultados existentes en la vista previa de acceso.	Cadena	No	No	Sí
existingFindingStatus	El estado existente de la búsqueda, proporcionado solo para los resultados existentes en la vista previa de acceso.	Cadena	No	No	Sí

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registro con CloudTrail

Uso de roles vinculados a servicios