IAM Access Analyzer フィルターキーにアクセスする - AWS Identity and Access Management

IAM Access Analyzer フィルターキーにアクセスする

以下のフィルタキーを使用して、アーカイブルールの定義 (CreateArchiveRule)、アーカイブルールの更新 (UpdateArchiveRule)、検出結果の一覧の取得 (ListFindings および ListFindingsV2)、またはリソースのアクセスプレビューの一覧の取得 (ListAccessPreviewFindings) を行うことができます。アーカイブルールを構成するための IAM API と AWS CloudFormation の使用に違いはありません。

Criterion 説明 [Type] (タイプ) アーカイブルール 結果の一覧表示 アクセスプレビューの結果を一覧表示
リソース 外部プリンシパルがアクセスできるリソースを一意に識別する ARN。詳細については、「Amazon リソースネーム (ARN)」を参照してください。 文字列 はい はい はい
resourceType

AWS::IAM::Role | AWS::KMS::Key | AWS::Lambda::Function | AWS::Lambda::LayerVersion | AWS::S3::Bucket | AWS::S3Express::DirectoryBucket | AWS::SQS::Queue | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::DynamoDB::Stream | AWS::DynamoDB::Table

 外部プリンシパルがアクセスできるリソースのタイプ。 文字列 はい はい はい
resourceOwnerAccount リソースを所有する 12 桁の AWS アカウント ID。詳細については、「AWS アカウント識別子」を参照してください。 文字列 はい はい はい
isPublic パブリックアクセスを許可するポリシーを持つリソースが結果によって報告されるかどうかを示します。 ブール値 はい はい はい
findingType

UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission

 結果のタイプ。未使用のアクセスの検出結果については、検出結果タイプでのフィルターのみ可能です。 文字列 はい はい はい
status

ACTIVE | ARCHIVED | RESOLVED

 結果の現在のステータス。 文字列 いいえ はい はい
error 結果に対して報告されたエラーを示します。 文字列 はい はい はい
principal.AWS 検出結果の Principal フィールドのリソースへのアクセスが付与されたアカウント。外部の AWS ユーザーまたはロールの 12 桁の AWS アカウント ID または ARN を入力します。詳細については、「AWS アカウント識別子」を参照してください。 文字列 はい はい はい
principal.Federated 結果でリソースにアクセスできるフェデレーション ID の ARN。詳細については、「ID プロバイダーとフェデレーション」を参照してください。 文字列 はい はい はい
condition.aws:PrincipalArn リソースアクセスの条件として示されたプリンシパル (IAM ユーザー、ロール、またはグループ) の ARN。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 文字列 はい はい はい
condition.aws:PrincipalOrgID リソースアクセスの条件として示されるプリンシパルの組織 ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 文字列 はい はい はい
condition.aws:PrincipalOrgPaths リソースアクセスの条件として示される組織または組織単位 (OU) ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 文字列 はい はい はい
condition.aws:SourceIp 指定した IP アドレスを使用するときに、リソースへのプリンシパルアクセスを許可する IP アドレス。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 IP アドレス はい はい はい
condition.aws:SourceVpc 指定された VPC を使用するときにリソースへのプリンシパルアクセスを許可する VPC ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 文字列 はい はい はい
condition.aws:UserId リソースへのアクセス条件として示された外部アカウントからの IAM ユーザーのユーザー ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 文字列 はい はい はい
condition.cognito-identity.amazonaws.com:aud 検索で IAM ロールアクセスの条件として指定された Amazon Cognito ID プールの ID。詳細については、「 IAM および AWS STS の条件コンテキストキー」を参照してください。 文字列 はい はい はい
condition.graph.facebook.com:app_id [Login with Facebook (Facebook でログイン)] フェデレーションが結果の IAM ロールにアクセスできるようにするための条件として指定された Facebook アプリケーション ID (またはサイト ID)。詳細については、「IAM および AWS STS の条件コンテキストキー」を参照してください。 文字列 はい はい はい
condition.accounts.google.com:aud IAM ロールへのアクセス条件として指定された Google アプリケーション ID。詳細については、「IAM および AWS STS の条件コンテキストキー」を参照してください。 文字列 はい はい はい
condition.kms:CallerAccount AWS を呼び出すサービスにより使用される呼び出し元エンティティ (IAM ユーザー、ロール、またはアカウントルートユーザー) を所有する AWS KMS アカウント ID。詳細については、「AWS Key Management Service の条件キー」を参照してください。 文字列 はい はい はい
condition.www.amazon.com:app_id [Login with Amazon (Amazon でログイン)] フェデレーションにロールへのアクセスを許可するための条件として指定された Amazon アプリケーション ID (またはサイト ID)。詳細については、次を参照してください。 文字列 はい はい はい
id 結果の ID。 文字列 いいえ はい はい
cchangeType アクセスプレビューの結果と IAM Access Analyzer で識別された既存のアクセスとの比較に関するコンテキストを提供します。 文字列 いいえ いいえ はい
既存の検索Id IAM Access Analyzer での結果の既存の ID。アクセスプレビューの既存の結果に対してのみ提供されます。 文字列 いいえ いいえ はい
既存の検索ステータス アクセスプレビューの既存の調査結果に対してのみ提供される、検索結果の既存のステータス。 文字列 いいえ いいえ はい