Filter IAM Access Analyzer 調查結果 - AWS Identity and Access Management
篩選外部存取權調查結果篩選未使用的存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Filter IAM Access Analyzer 調查結果

調查結果頁面的預設篩選結果會顯示所有調查結果。若要檢視作用中調查結果,請從狀態下拉式清單選擇作用中。若要檢視已封存的調查結果,請從狀態下拉式清單中選擇已封存。當您第一次開始使用 IAM Access Analyzer 時,沒有封存的調查結果。

使用篩選器只顯示符合指定屬性條件的調查結果。若要建立篩選條件,請選取要篩選的屬性,然後選擇屬性是等於還是包含值,然後輸入或選擇要篩選的屬性值。例如,若要建立僅顯示特定 調查結果的篩選條件 AWS 帳戶,請選擇 屬性AWS 的帳戶,然後選擇AWS 帳戶 =,然後輸入您要檢視調查結果之 AWS 帳戶 的 帳戶號碼。

如需可用來建立或更新存檔規則的篩選鍵清單,請參閱 IAM Access Analyzer 篩選鍵

篩選外部存取權調查結果

篩選外部存取權調查結果

  1. 選擇外部存取權,然後從檢視分析器下拉式清單中選擇分析器。

  2. 選擇搜尋方塊以顯示可用屬性清單。

  3. 選擇要用來篩選所顯示之問題清單的屬性。

  4. 選擇該屬性須符合的值。將會顯示具備該值的問題清單。

    例如,屬性選擇資源,選擇資源:,接著輸入某儲存貯體的部分或完整名稱,然後按 Enter 鍵。僅顯示符合篩選條件的儲存貯體相關調查結果。若要建立僅顯示允許公開存取權之資源的調查結果,您可以選擇公開存取權屬性,選擇公開存取權 =,然後選擇公開存取權 = true

您可新增其他屬性,進一步篩選所顯示的問題清單。新增其他屬性時,只會顯示符合所有篩選條件的問題清單。問題清單的篩選條件,不支援符合單一屬性「或」另一屬性的這類定義。選擇清除篩選條件以清除已定義的任何篩選條件,並顯示具有指定分析器狀態的所有調查結果。

只有在您檢視以組織做為信任區域的分析器問題清單時,某些欄位才會顯示。

下列屬性可用於定義篩選條件:

  • Public access (公有存取) – 若要依允許公有存取之資源的問題清單篩選,請依 Public access (公有存取) 篩選,然後選擇 Public access: true (公有存取:true)

  • Resource (資源) – 輸入資源的完整或部分名稱,即可依資源篩選。

  • Resource Type (資源類型) – 從所顯示的清單內選擇類型,即可依資源類型篩選。

  • 資源擁有者帳戶:使用此屬性可篩選組織中擁有調查結果所報告資源的帳戶。

  • AWS 帳戶 – 使用此屬性來篩選政策陳述式主體區段中 AWS 帳戶 授予存取權的 。若要依 篩選 AWS 帳戶,請輸入 12 位數 AWS 帳戶 ID 的全部或部分,或可存取目前帳戶中資源ARN的外部 AWS 使用者或角色的全部或部分完整帳戶。

  • 正式使用者:輸入為 Amazon S3 儲存貯體定義的正式使用者 ID,即可依正式使用者篩選。若要進一步了解,請參閱 AWS 帳戶識別碼

  • 聯合使用者 – 若要依聯合使用者篩選,請輸入聯合身分ARN的全部或部分。若要進一步了解,請參閱身分提供者與聯合

  • 調查結果 ID:請輸入全部或部分調查結果 ID,即可依調查結果 ID 篩選。

  • 錯誤 – 若要依錯誤類型篩選,請選擇存取遭拒內部錯誤

  • 主體 ARN – 使用此屬性來篩選 aws:PrincipalArn 條件索引鍵中使用的主體 ARN (IAM使用者、角色或群組) 的 。若要依主體 篩選ARN,請從調查結果中 AWS 帳戶 報告的外部 輸入IAM使用者、角色或群組ARN的全部或部分 。

  • 主體OrgID – 若要依主體OrgID進行篩選,請輸入與屬於調查結果中指定為條件之組織的外部主體相關聯的全部或部分 AWS 組織 ID。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 主體 OrgPaths – 若要依主體 篩選 OrgPaths,請輸入 AWS 組織或組織單位 (OU) 的全部或部分 ID,以允許存取作為指定組織或 OU 帳戶成員的所有外部主體,作為政策中的條件。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源帳戶 – 若要篩選來源帳戶,請輸入與資源相關聯的全部或部分 AWS 帳戶 ID,如 中的某些跨服務許可中所使用 AWS。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源 ARN – 若要依來源 篩選ARN,請在調查結果中輸入全部或部分ARN指定為條件的 。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Source IP (來源 IP) – 輸入允許外部實體在使用特定 IP 地址時即可存取目前帳戶內資源的完整或部分 IP 地址,即可依來源 IP 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源 VPC – 若要依來源 篩選VPC,請輸入全部或部分 VPC ID,允許外部實體在使用指定的 時存取目前帳戶中的資源VPC。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Source OrgID – 若要依 Source OrgID 進行篩選,請輸入與 資源相關聯的全部或部分組織 ID,如 中的某些跨服務許可中所使用 AWS。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源 OrgPaths – 若要依來源 篩選 OrgPaths,請輸入與 資源相關聯的組織單位 (OU) 的全部或部分,如 中的某些跨服務許可中所使用 AWS。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 使用者 ID – 若要依使用者 ID 篩選,請輸入使用者 ID 的全部或部分使用者 ID, AWS 帳戶 該IAM使用者 ID 來自允許存取目前帳戶中資源的外部。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • KMS 金鑰 ID – 若要依KMS金鑰 ID 篩選,請為目前帳戶中指定為 AWS KMS Amazon S3 物件存取條件的KMS金鑰輸入全部或部分金鑰 ID。

  • Google Audience – 若要依 Google Audience 篩選,請輸入指定為目前帳戶中IAM角色存取條件的全部或部分 Google 應用程式 ID。若要進一步了解,請參閱 IAM和 AWS STS 條件內容索引鍵

  • Cognito Audience – 若要依 Amazon Cognito 受眾篩選,請輸入指定為目前帳戶中IAM角色存取條件的全部或部分 Amazon Cognito 身分集區 ID。若要進一步了解,請參閱 IAM和 AWS STS 條件內容索引鍵

  • 呼叫者帳戶 – 擁有或包含呼叫實體的帳戶 AWS 帳戶 ID,例如IAM角色、使用者或帳戶根使用者。這由呼叫 的服務使用 AWS KMS。若要依來電者帳戶篩選,請輸入全部或部分 AWS 帳戶 ID。

  • Facebook 應用程式 ID – 若要依 Facebook 應用程式 ID 篩選,請輸入全部或部分指定為允許使用 Facebook 聯合登入存取目前帳戶中IAM角色的條件的 Facebook 應用程式 ID (或網站 ID)。若要進一步了解,請參閱 和 條件內容索引鍵 中的 ID 區段。 IAM AWS STS

  • Amazon App ID – 若要依 Amazon App ID 篩選,請輸入全部或部分 Amazon 應用程式 ID (或網站 ID) 指定為允許使用 Amazon 聯合登入存取目前帳戶中IAM角色的條件。若要進一步了解,請參閱 中的 ID 區段IAM和 AWS STS 條件內容索引鍵

  • Lambda Event Source Token (Lambda 事件來源字符) – 輸入完整或部分字符字串,即可依使用 Alexa 整合傳入的 Lambda 事件來源字符篩選。

篩選未使用的存取權

篩選未使用的存取權調查結果

  1. 選擇未使用的存取權,然後從檢視分析器下拉式清單中選擇分析器。

  2. 選擇搜尋方塊以顯示可用屬性清單。

  3. 選擇要用來篩選所顯示之問題清單的屬性。

  4. 選擇該屬性須符合的值。將會顯示具備該值的問題清單。

    例如,選擇調查結果類型作為屬性,然後選擇調查結果類型 =,然後選擇調查結果類型 = U,nusedIAMRole僅顯示具有 UnusedIAMRole 類型的調查結果。

您可新增其他屬性,進一步篩選所顯示的問題清單。新增其他屬性時,只會顯示符合所有篩選條件的問題清單。問題清單的篩選條件,不支援符合單一屬性「或」另一屬性的這類定義。選擇清除篩選條件以清除已定義的任何篩選條件,並顯示具有指定分析器狀態的所有調查結果。

下列欄位只會在您檢視監控未使用存取之分析器的調查結果時顯示:

  • 調查結果類型 – 若要依調查結果類型篩選,請依調查結果類型篩選,然後選擇調查結果類型。

  • Resource (資源) – 輸入資源的完整或部分名稱,即可依資源篩選。

  • Resource Type (資源類型) – 從所顯示的清單內選擇類型,即可依資源類型篩選。

  • 資源擁有者帳戶:使用此屬性可篩選組織中擁有調查結果所報告資源的帳戶。

  • 調查結果 ID – 若要依調查結果 ID 進行篩選,請輸入調查結果 ID 的全部或部分。