Chaves de filtro do IAM Access Analyzer - AWS Identity and Access Management

Chaves de filtro do IAM Access Analyzer

É possível usar as chaves de filtro abaixo para definir uma regra de arquivamento (CreateArchiveRule), atualizar uma regra de arquivamento (UpdateArchiveRule), recuperar uma lista de descobertas (ListFindings e ListFindingsV2) ou recuperar uma lista de descobertas de pré-visualização de acesso para um recurso (ListAccessPreviewFindings). Não há diferença entre usar a API do IAM e o AWS CloudFormation para configurar regras de arquivamento.

Criterion Descrição Tipo Regra de arquivamento Listar descobertas Listar descobertas de pré-visualização de acesso
recurso O ARN identifica exclusivamente o recurso ao qual o principal externo tem acesso. Para saber mais, consulte Nomes de recursos da Amazon (ARNs). String Sim Yes (Sim) Sim
resourceType

AWS::IAM::Role | AWS::KMS::Key | AWS::Lambda::Function | AWS::Lambda::LayerVersion | AWS::S3::Bucket | AWS::S3Express::DirectoryBucket | AWS::SQS::Queue | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::DynamoDB::Stream | AWS::DynamoDB::Table

 O tipo de recurso ao qual o principal externo tem acesso. String Sim Yes (Sim) Sim
resourceOwnerAccount O ID de 12 dígitos da conta da AWS que possui o recurso. Para saber mais, consulte Identificadores de conta da AWS. String Sim Yes (Sim) Sim
isPublic Indica se a descoberta relata um recurso que tem uma política que permite o acesso público. Booleano Sim Yes (Sim) Sim
findingType

UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission

 O tipo da descoberta do . É possível filtrar por tipo de descoberta somente para descobertas de acesso não utilizadas. String Sim Yes (Sim) Sim
status

ACTIVE | ARCHIVED | RESOLVED

 O status atual da descoberta. String No (Não) Yes (Sim) Sim
error Indica o erro relatado para a descoberta. String Sim Yes (Sim) Sim
principal.AWS A conta que recebeu acesso ao recurso no campo Principal da descoberta. Insira o ID de 12 dígitos da conta AWS ou o ARN do usuário ou função externa da AWS. Para saber mais, consulte Identificadores de conta da AWS. String Sim Yes (Sim) Sim
principal.Federated O ARN da identidade federada que tem acesso ao recurso na descoberta. Para saber mais, consulte Federação e provedores de identidade String Sim Yes (Sim) Sim
condition.aws:PrincipalArn O ARN da entidade de segurança (usuário, função ou grupo do IAM) indicado como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim
condition.aws:PrincipalOrgID O identificador da organização do principal indicado como a condição para o acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim
condition.aws:PrincipalOrgPaths O ID da organização ou da unidade organizacional (UO) indicada como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim
condition.aws:SourceIp O endereço IP que permite ao principal acesso ao recurso ao usar o endereço IP especificado. Para saber mais, consulte Chaves de contexto de condição globais da AWS. Endereço IP Sim Yes (Sim) Sim
condition.aws:SourceVpc O ID da VPC que permite ao principal acesso ao recurso ao usar a VPC especificada. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim
condition.aws:UserId O ID do usuário do IAM de uma conta externa indicada como a condição de acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim
condition.cognito-identity.amazonaws.com:aud O ID do grupo de identidades do Amazon Cognito especificado como uma condição para o acesso à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Yes (Sim) Sim
condition.graph.facebook.com:app_id O ID da aplicação do Facebook (ou o ID do site) especificado como uma condição para permitir o acesso à federação do Login with Facebook à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Yes (Sim) Sim
condition.accounts.google.com:aud O ID da aplicação do Google especificado como uma condição para o acesso à função do IAM. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Yes (Sim) Sim
condition.kms:CallerAccount O ID da conta da AWS que possui a entidade que faz a chamada (usuário, função ou usuário raiz da conta do IAM) usada por serviços que chamam o AWS KMS. Para saber mais, consulte Chaves de condição para AWS Key Management Service. String Sim Yes (Sim) Sim
condition.www.amazon.com:app_id O ID da aplicação da Amazon (ou o ID do site) especificada como uma condição para permitir o acesso à federação do Login with Amazon à função. Para saber mais, consulte String Sim Yes (Sim) Sim
id O ID da descoberta. String No (Não) Yes (Sim) Sim
changeType Fornece contexto sobre como a descoberta de pré-visualização de acesso se compara ao acesso existente identificado no IAM Access Analyzer. String No (Não) No (Não) Sim
existingFindingId O ID existente da descoberta no IAM Access Analyzer, fornecido apenas para descobertas existentes na pré-visualização de acesso. String No (Não) No (Não) Sim
existingFindingStatus O status existente da descoberta, fornecido apenas para descobertas existentes na pré-visualização de acesso. String No (Não) No (Não) Sim