本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
InternalAccessDetails
包含有关内部访问发现的信息。这包括有关在您的 AWS 组织或账户中识别的访问权限的详细信息。
内容
- accessType
-
调查结果中确定的内部访问类型。这表明在您的 AWS 环境中是如何授予访问权限的。
类型:字符串
有效值:
INTRA_ACCOUNT | INTRA_ORG必需:否
- action
-
分析后的策略声明中具有内部访问权限的操作。
类型:字符串数组
必需:否
- condition
-
分析后的策略声明中导致内部访问发现的情况。
类型:字符串到字符串映射
必需:否
- principal
-
有权访问内部环境中资源的委托人。
类型:字符串到字符串映射
必需:否
- principalOwnerAccount
-
拥有内部访问调查结果中确定的委托人的 AWS 账户 ID。
类型:字符串
必需:否
- principalType
-
内部访问调查结果中确定的委托人类型,例如 IAM 角色或 IAM 用户。
类型:字符串
有效值:
IAM_ROLE | IAM_USER必需:否
- resourceControlPolicyRestriction
-
使用资源控制策略 (RCP) 的资源所有者对 AWS Organizations 调查结果应用的限制类型。
-
APPLICABLE:组织中存在一个 RCP,但是 IAM Access Analyzer 在有效权限的评估中不包括它。例如,如果s3:DeleteObject被 RCP 屏蔽而限制为APPLICABLE,则仍s3:DeleteObject将包含在查找结果的操作列表中。仅适用于以账户为信任区的内部访问发现。 -
FAILED_TO_EVALUATE_RCP: 评估 RCP 时出错。 -
NOT_APPLICABLE: 该组织中没有区域合作方案。对于以账户为信任区的内部访问结果,也NOT_APPLICABLE可能表明没有适用于该资源的 RCP。 -
APPLIED:组织中存在 RCP,IAM Access Analyzer 将其包含在有效权限的评估中。例如,如果s3:DeleteObject被 RCP 屏蔽而限制为APPLIED,则s3:DeleteObject不会包含在查找结果的操作列表中。仅适用于以组织为信任区的内部访问调查结果。
类型:字符串
有效值:
APPLICABLE | FAILED_TO_EVALUATE_RCP | NOT_APPLICABLE | APPLIED必需:否
-
- serviceControlPolicyRestriction
-
AWS Organizations 服务控制策略 (SCP) 对调查结果应用的限制类型。
-
APPLICABLE:组织中存在一个 SCP,但是 IAM Access Analyzer 在有效权限的评估中不包括它。仅适用于以账户为信任区的内部访问发现。 -
FAILED_TO_EVALUATE_SCP: 评估 SCP 时出错。 -
NOT_APPLICABLE: 该组织中没有 SCP。对于以账户为信任区的内部访问结果,也NOT_APPLICABLE可能表明没有适用于委托人的SCP。 -
APPLIED:组织中有 SCP,IAM Access Analyzer 将其包含在有效权限的评估中。仅适用于以组织为信任区的内部访问调查结果。
类型:字符串
有效值:
APPLICABLE | FAILED_TO_EVALUATE_SCP | NOT_APPLICABLE | APPLIED必需:否
-
- sources
-
内部访问发现的来源。这表示如何在您的 AWS 环境中授予生成调查结果的访问权限。
类型:FindingSource 对象数组
必需:否
另请参阅
有关以特定语言之一使用此 API 的更多信息 AWS SDKs,请参阅以下内容:
