篩選問題清單 - AWS Identity and Access Management

篩選問題清單

預設的篩選頁面會顯示所有作用中問題清單。若要檢視已存檔的問題清單,請選擇 Archived (已存檔) 分頁。首次使用 Access Analyzer 不會有已封存的問題清單。

使用篩選條件來顯示特定資源、帳戶、委託人或其他值的相關問題清單。若要建立篩選條件,請選取要篩選的屬性,然後選擇要篩選的屬性值。例如,若要建立只顯示特定 AWS 帳戶相關問題清單的篩選條件,屬性請選擇 AWS Account (AWS 帳戶),然後輸入欲檢視相關問題清單的 AWS 帳戶號碼。若要建立僅顯示允許公用存取之資源的問題清單,您可以選擇 Public access (公用存取) 屬性,然後選擇 Public access: true (公用存取:true)

如需可用來建立或更新封存規則的篩選碼清單,請參閱Access Analyzer 篩選鍵

篩選所顯示的問題清單

  1. 選擇 Filter active findings (篩選作用中問題清單) 欄位。

  2. 選擇要用來篩選所顯示之問題清單的屬性。

  3. 選擇該屬性須符合的值。將會顯示具備該值的問題清單。

    例如,若屬性選擇 Resource (資源),接著輸入某儲存貯體的部分或完整名稱,然後按 Enter 鍵。將顯示該儲存貯體符合篩選標準的相關問題清單。

您可新增其他屬性,進一步篩選所顯示的問題清單。新增其他屬性時,只會顯示符合所有篩選條件的問題清單。問題清單的篩選條件,不支援符合單一屬性「或」另一屬性的這類定義。

只有在您檢視以組織做為信任區域的分析器問題清單時,某些欄位才會顯示。

下列屬性可用於定義篩選條件:

  • Public access (公有存取) – 若要依允許公有存取之資源的問題清單篩選,請依 Public access (公有存取) 篩選,然後選擇 Public access: true (公有存取:true)

  • Resource (資源) – 輸入資源的完整或部分名稱,即可依資源篩選。

  • Resource Type (資源類型) – 從所顯示的清單內選擇類型,即可依資源類型篩選。

  • AWS Account (AWS 帳戶) – 可使用此屬性來依政策陳述式 Principal (委託人) 區段中獲授存取權的 AWS 帳戶篩選。輸入完整或部分的 12 位數 AWS 帳戶 ID,或是外部 AWS 使用者或目前帳戶中有權存取資源之角色的完整或部分帳戶 ARN,即可依 AWS 帳戶篩選。

  • Canonical User (正式使用者) – 輸入為 S3 儲存貯體定義的正是使用者 ID,即可依正式使用者篩選。若要進一步了解,請參閱 AWS 帳戶識別碼

  • Federated User (聯合身分使用者) – 輸入聯合身分的完整或部分 ARN,即可依聯合身分使用者篩選。若要進一步了解,請參閱身分提供者與聯合

  • Principal ARN (委託人 ARN) – 可使用此屬性來依 aws:PrincipalArn 條件金鑰中使用的委託人 (IAM 使用者、角色或群組) ARN 篩選。輸入問題清單回報之外部 AWS 帳戶的 IAM 使用者、角色或群組的完整或部分 ARN,即可依委託人 ARN 篩選。

  • Principal OrgID (委託人組織 ID) – 針對問題清單列為條件之 AWS 組織的外部委託人,輸入與其相關聯的完整或部分組織 ID,即可依委託人組織 ID 篩選。若要進一步了解,請參閱 AWS 全域條件內容金鑰

  • Principal Org Paths (委託人組織路徑) – 針對在政策中列為條件的特定組織或組織單位 (OU) 所有外部委託人帳戶成員,輸入允許其存取權的 AWS 組織或 OU 完整或部分 ID,即可依委託人組織路徑篩選。若要進一步了解,請參閱 AWS 全域條件內容金鑰

  • Source Account (來源帳戶) – 輸入與資源相關聯的 AWS 帳戶完整或部分 ID,即可依來源帳戶篩選,如同使用 AWS 部分跨服務許可。

  • Source ARN (來源 ARN) – 輸入問題清單內列為條件的完整或部分 ARN,即可依來源 ARN 篩選。若要進一步了解,請參閱依委託人組織路徑篩選一節:針對在政策中列為條件的特定組織或組織單位 (OU) 所有外部委託人帳戶成員,輸入允許其存取權的 AWS 組織或 OU 完整或部分 ID,即可依委託人組織路徑篩選。若要進一步了解,請參閱 AWS 全域條件內容金鑰

  • Source IP (來源 IP) – 輸入允許外部實體在使用特定 IP 地址時即可存取目前帳戶內資源的完整或部分 IP 地址,即可依來源 IP 篩選。若要進一步了解,請參閱 AWS 全域條件內容金鑰

  • Source VPC (來源 VPC) – 輸入允許外部實體在使用特定 VPC 時即可存取目前帳戶內資源的完整或部分 VPC ID,即可依來源 VPC 篩選。若要進一步了解,請參閱 AWS 全域條件內容金鑰

  • Source VPCE (來源 VPCE) – 輸入允許外部實體在使用特定 VPC 端點時即可存取目前帳戶內資源的完整或部分 VPC 端點 ID,即可依來源 VPCE 篩選。若要進一步了解,請參閱 AWS 全域條件內容金鑰

  • User ID (使用者 ID) – 輸入允許存取目前帳戶內資源的外部 AWS 帳戶之 IAM 使用者的完整或部分使用者 ID,即可依使用者 ID 篩選。若要進一步了解,請參閱 AWS 全域條件內容金鑰

  • KMS Key ID (KMS 金鑰 ID) – 輸入目前帳戶內 KMS 加密 S3 物件存取指定為條件的 KMS 金鑰完整或部分金鑰 ID,即可依 KMS 金鑰 ID 篩選。

  • Google Audience (Google 對象) – 輸入目前帳戶內 IAM 角色存取指定為條件的完整或部分 Google 應用程式 ID,即可依 Google 對象篩選。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容金鑰

  • Cognito Audience (Cognito 對象) – 輸入目前帳戶內 IAM 角色存取指定為條件的完整或部分 Amazon Cognito 身分集區 ID,即可依 Cognito 對象篩選。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容金鑰

  • Caller Account (呼叫者帳戶) – 此 AWS 帳戶 ID 擁有或包含呼叫實體 (如 IAM 角色、使用者或帳戶根使用者),並用於會呼叫 KMS 的服務。輸入該 AWS 帳戶完整或部分 ID,即可依呼叫者帳戶篩選。

  • Facebook App ID (Facebook 應用程式 ID) – 關於允許存取目前帳戶內 IAM 角色的 Login with Facebook (使用 Facebook 登入) 聯合身分,輸入列為其條件的完整或部分 Facebook 應用程式 ID (或網站 ID),即可依 Facebook 應用程式 ID 篩選。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容金鑰

  • Amazon App ID (Amazon 應用程式 ID) – 關於允許存取目前帳戶內 IAM 角色的 Login with Amazon 聯合身分,輸入列為其條件的完整或部分 Amazon 應用程式 ID (或網站 ID),即可依 Amazon 應用程式 ID 篩選。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容金鑰

  • Lambda Event Source Token (Lambda 事件來源字符) – 輸入完整或部分字符字串,即可依使用 Alexa 整合傳入的 Lambda 事件來源字符篩選。