Chaves de filtro do Access Analyzer - AWS Identity and Access Management

Chaves de filtro do Access Analyzer

Você pode usar as chaves de filtro abaixo para definir uma regra de arquivamento CreateArchiveRule, atualizar uma regra de arquivamento UpdateArchiveRule, recuperar uma lista de descobertas ListFindings ou recuperar uma lista de descobertas de pré-visualização de acesso para um recurso ListAccessPreviewFindings. Não há diferença entre usar a API do IAM e o AWS CloudFormation para configurar regras de arquivamento.

Criterion Descrição Type Regra de arquivamento Listar descobertas Listar descobertas de pré-visualização de acesso
recurso O ARN identifica exclusivamente o recurso ao qual o principal externo tem acesso. Para saber mais, consulte Nomes de recursos da Amazon (ARNs). String Yes (Sim) Yes (Sim) Yes (Sim)
resourceType

AWS::IAM::Role | AWS::KMS::Key | AWS::Lambda::Function | AWS::Lambda::LayerVersion | AWS::S3::Bucket | AWS::SQS::Queue | AWS::SecretsManager::Secret

O tipo de recurso ao qual o principal externo tem acesso. String Yes (Sim) Yes (Sim) Yes (Sim)
resourceOwnerAccount O ID de 12 dígitos da conta da AWS que possui o recurso. Para saber mais, consulte Identificadores de conta da AWS. String Yes (Sim) Yes (Sim) Yes (Sim)
isPublic Indica se a descoberta relata um recurso que tem uma política que permite o acesso público. Booliano Yes (Sim) Yes (Sim) Yes (Sim)
status

ACTIVE | ARCHIVED | RESOLVED

O status atual da descoberta. String No (Não) Yes (Sim) Yes (Sim)
error Indica o erro relatado para a descoberta. String Yes (Sim) Yes (Sim) Yes (Sim)
principal.AWS O ARN de da conta que recebeu acesso ao recurso no campo Principal da descoberta. Para saber mais, consulte Identificadores de conta da AWS. String Yes (Sim) Yes (Sim) Yes (Sim)
principal.Federated O ARN da identidade federada que tem acesso ao recurso na descoberta. Para saber mais, consulte Federação e provedores de identidade String Yes (Sim) Yes (Sim) Yes (Sim)
condition.aws:PrincipalArn O ARN da entidade de segurança (usuário, função ou grupo do IAM) indicado como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.aws:PrincipalOrgID O identificador da organização do principal indicado como a condição para o acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.aws:PrincipalOrgPaths O ID da organização ou da unidade organizacional (UO) indicada como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.aws:SourceIp O endereço IP que permite ao principal acesso ao recurso ao usar o endereço IP especificado. Para saber mais, consulte Chaves de contexto de condição globais da AWS. IP address Yes (Sim) Yes (Sim) Yes (Sim)
condition.aws:SourceVpc O ID da VPC que permite ao principal acesso ao recurso ao usar a VPC especificada. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.aws:UserId O ID do usuário do IAM de uma conta externa indicada como a condição de acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.cognito-identity.amazonaws.com:aud O ID do grupo de identidades do Amazon Cognito especificado como uma condição para o acesso à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.graph.facebook.com:app_id O ID da aplicação do Facebook (ou o ID do site) especificado como uma condição para permitir o acesso à federação do Login with Facebook à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.accounts.google.com:aud O ID da aplicação do Google especificado como uma condição para o acesso à função do IAM. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.kms:CallerAccount O ID da conta da AWS que possui a entidade que faz a chamada (usuário, função ou usuário raiz da conta do IAM) usada por serviços que chamam o AWS KMS. Para saber mais, consulte Chaves de condição para AWS Key Management Service. String Yes (Sim) Yes (Sim) Yes (Sim)
condition.www.amazon.com:app_id O ID da aplicação da Amazon (ou o ID do site) especificada como uma condição para permitir o acesso à federação do Login with Amazon à função. Para saber mais, consulte String Yes (Sim) Yes (Sim) Yes (Sim)
id O ID da descoberta. String No (Não) Yes (Sim) Yes (Sim)
changeType Fornece contexto sobre como a descoberta de pré-visualização de acesso se compara ao acesso existente identificado no Access Analyzer. String No (Não) No (Não) Yes (Sim)
existingFindingId O ID existente da descoberta no Access Analyzer, fornecido apenas para descobertas existentes na pré-visualização de acesso. String No (Não) No (Não) Yes (Sim)
existingFindingStatus O status existente da descoberta, fornecido apenas para descobertas existentes na pré-visualização de acesso. String No (Não) No (Não) Yes (Sim)