AWS::AccessAnalyzer::Analyzer - AWS CloudFormation

AWS::AccessAnalyzer::Analyzer

AWS::AccessAnalyzer::Analyzer リソースは、新しいアナライザーを指定します。アナライザーは、IAM Access Analyzer 機能を表すオブジェクトです。Access Analyzer が動作可能になるには、アナライザーが必要です。

構文

AWS CloudFormation テンプレートでこのエンティティを宣言するには、次の構文を使用します。

JSON

{ "Type" : "AWS::AccessAnalyzer::Analyzer", "Properties" : { "AnalyzerName" : String, "ArchiveRules" : [ ArchiveRule, ... ], "Tags" : [ Tag, ... ], "Type" : String } }

YAML

Type: AWS::AccessAnalyzer::Analyzer Properties: AnalyzerName: String ArchiveRules: - ArchiveRule Tags: - Tag Type: String

プロパティ

AnalyzerName

アナライザーの名前。

必須: いいえ

タイプ: 文字列

Update requires: Replacement

ArchiveRules

アナライザー用に追加するアーカイブルールを指定します。

必須: いいえ

タイプ: ArchiveRule のリスト

Update requires: No interruption

Tags

アナライザーに適用するタグ。

必須: いいえ

タイプ: Tag のリスト

Update requires: No interruption

Type

タイプは、アナライザーの信頼ゾーンを表します。

許可された値: ACCOUNT | ORGANIZATION

必須: はい

タイプ: 文字列

Update requires: Replacement

戻り値

参照番号

このリソースの論理 ID を組み込みの Ref 関数に渡すと、Ref は次を返します: 作成されたアナライザーの ARN。

For more information about using the Ref function, see Ref.

アナライザーリソースを宣言します。

次の例では、IAM Access Analyzer の Analyzer リソースを宣言する方法を示しています。

JSON

{ "AWSTemplateFormatVersion": "2010-09-09", "Resources": { "Analyzer": { "Properties": { "AnalyzerName": "DevAccountAnalyzer", "ArchiveRules": [ { "Filter": [ { "Eq": [ "123456789012" ], "Property": "principal.AWS" } ], "RuleName": "ArchiveTrustedAccountAccess" }, { "Filter": [ { "Contains": [ "arn:aws:s3:::docs-bucket", "arn:aws:s3:::clients-bucket" ], "Property": "resource" } ], "RuleName": "ArchivePublicS3BucketsAccess" } ], "Tags": [ { "Key": "Kind", "Value": "Dev" } ], "Type": "ACCOUNT" }, "Type": "AWS::AccessAnalyzer::Analyzer" } } }

YAML

AWSTemplateFormatVersion: 2010-09-09 Resources: Analyzer: Type: 'AWS::AccessAnalyzer::Analyzer' Properties: AnalyzerName: MyAccountAnalyzer Type: ACCOUNT Tags: - Key: Kind Value: Dev ArchiveRules: - # Archive findings for a trusted AWS account RuleName: ArchiveTrustedAccountAccess Filter: - Property: 'principal.AWS' Eq: - '123456789012' - # Archive findings for known public S3 buckets RuleName: ArchivePublicS3BucketsAccess Filter: - Property: 'resource' Contains: - 'arn:aws:s3:::docs-bucket' - 'arn:aws:s3:::clients-bucket'