IAM Access Analyzer フィルターキーにアクセスする
以下のフィルタキーを使用して、アーカイブルールの定義 (CreateArchiveRule
)、アーカイブルールの更新 (UpdateArchiveRule
)、検出結果の一覧の取得 (ListFindings
および ListFindingsV2
)、またはリソースのアクセスプレビューの一覧の取得 (ListAccessPreviewFindings
) を行うことができます。アーカイブルールを構成するための IAM API と AWS CloudFormation の使用に違いはありません。
Criterion | 説明 | [Type] (タイプ) | アーカイブルール | 結果の一覧表示 | アクセスプレビューの結果を一覧表示 |
---|---|---|---|---|---|
リソース | 外部プリンシパルがアクセスできるリソースを一意に識別する ARN。詳細については、「Amazon リソースネーム (ARN)」を参照してください。 | 文字列 | |||
resourceType
|
外部プリンシパルがアクセスできるリソースのタイプ。 | 文字列 | |||
resourceOwnerAccount | リソースを所有する 12 桁の AWS アカウント ID。詳細については、「AWS アカウント識別子」を参照してください。 | 文字列 | |||
isPublic | パブリックアクセスを許可するポリシーを持つリソースが結果によって報告されるかどうかを示します。 | ブール値 | |||
findingType
|
結果のタイプ。未使用のアクセスの検出結果については、検出結果タイプでのフィルターのみ可能です。 | 文字列 | |||
status
|
結果の現在のステータス。 | 文字列 | |||
error | 結果に対して報告されたエラーを示します。 | 文字列 | |||
principal.AWS | 検出結果の Principal フィールドのリソースへのアクセスが付与されたアカウント。外部の AWS ユーザーまたはロールの 12 桁の AWS アカウント ID または ARN を入力します。詳細については、「AWS アカウント識別子」を参照してください。 |
文字列 | |||
principal.Federated | 結果でリソースにアクセスできるフェデレーション ID の ARN。詳細については、「ID プロバイダーとフェデレーション」を参照してください。 | 文字列 | |||
condition.aws:PrincipalArn | リソースアクセスの条件として示されたプリンシパル (IAM ユーザー、ロール、またはグループ) の ARN。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | 文字列 | |||
condition.aws:PrincipalOrgID | リソースアクセスの条件として示されるプリンシパルの組織 ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | 文字列 | |||
condition.aws:PrincipalOrgPaths | リソースアクセスの条件として示される組織または組織単位 (OU) ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | 文字列 | |||
condition.aws:SourceIp | 指定した IP アドレスを使用するときに、リソースへのプリンシパルアクセスを許可する IP アドレス。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | IP アドレス | |||
condition.aws:SourceVpc | 指定された VPC を使用するときにリソースへのプリンシパルアクセスを許可する VPC ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | 文字列 | |||
condition.aws:UserId | リソースへのアクセス条件として示された外部アカウントからの IAM ユーザーのユーザー ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | 文字列 | |||
condition.cognito-identity.amazonaws.com:aud | 検索で IAM ロールアクセスの条件として指定された Amazon Cognito ID プールの ID。詳細については、「 IAM および AWS STS の条件コンテキストキー」を参照してください。 | 文字列 | |||
condition.graph.facebook.com:app_id | [Login with Facebook (Facebook でログイン)] フェデレーションが結果の IAM ロールにアクセスできるようにするための条件として指定された Facebook アプリケーション ID (またはサイト ID)。詳細については、「IAM および AWS STS の条件コンテキストキー」を参照してください。 | 文字列 | |||
condition.accounts.google.com:aud | IAM ロールへのアクセス条件として指定された Google アプリケーション ID。詳細については、「IAM および AWS STS の条件コンテキストキー」を参照してください。 | 文字列 | |||
condition.kms:CallerAccount | AWS を呼び出すサービスにより使用される呼び出し元エンティティ (IAM ユーザー、ロール、またはアカウントルートユーザー) を所有する AWS KMS アカウント ID。詳細については、「AWS Key Management Service の条件キー」を参照してください。 | 文字列 | |||
condition.www.amazon.com:app_id | [Login with Amazon (Amazon でログイン)] フェデレーションにロールへのアクセスを許可するための条件として指定された Amazon アプリケーション ID (またはサイト ID)。詳細については、次を参照してください。 | 文字列 | |||
id | 結果の ID。 | 文字列 | |||
cchangeType | アクセスプレビューの結果と IAM Access Analyzer で識別された既存のアクセスとの比較に関するコンテキストを提供します。 | 文字列 | |||
既存の検索Id | IAM Access Analyzer での結果の既存の ID。アクセスプレビューの既存の結果に対してのみ提供されます。 | 文字列 | |||
既存の検索ステータス | アクセスプレビューの既存の調査結果に対してのみ提供される、検索結果の既存のステータス。 | 文字列 |