IAM Access Analyzer 篩選鍵 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM Access Analyzer 篩選鍵

您可以使用下列篩選鍵來定義存檔規則 (CreateArchiveRule)、更新封存規則 (UpdateArchiveRule)、擷取發現項目清單 (ListFindingsListFindingsV2),或擷取資源的存取預覽發現項目清單 (ListAccessPreviewFindings)。使用 IAM API 和 AWS CloudFormation 設定封存規則沒有區別。

Criterion Description (描述) 類型 封存規則 列出問題清單 列出存取預覽問題清單
資源 ARN 唯一識別外部主體可存取的資源。若要進一步了解,請參閱 Amazon 資源名稱 (ARN) 字串
resourceType

AWS::IAM::Role | AWS::KMS::Key | AWS::Lambda::Function | AWS::Lambda::LayerVersion | AWS::S3::Bucket | AWS::S3Express::DirectoryBucket | AWS::SQS::Queue | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::DynamoDB::Stream | AWS::DynamoDB::Table

外部主體可存取的資源類型。 字串
resourceOwnerAccount 擁有資源的 12 位數 AWS 帳號 ID。若要進一步了解,請參閱 AWS 帳戶識別碼 字串
isPublic 指出問題清單是否回報一具有允許公有存取之政策的資源。 Boolean
尋找類型

UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission

問題清單的類型。您只能依尋找未使用存取發現項目的類型進行篩選。 字串
status

ACTIVE | ARCHIVED | RESOLVED

問題清單的目前狀態。 字串
error 指出針對問題清單所報告的錯誤。 字串
principal.AWS 已授與問題清單 Principal 欄位中資源存取的帳戶。輸入 12 位數的 AWS 帳號 ID 或外部 AWS 使用者或角色的 ARN。若要進一步了解,請參閱 AWS 帳戶識別碼 字串
principal.Federated 可存取問題清單中資源的聯合身分 ARN。若要進一步了解,請參閱身分身分提供者與聯合 字串
條件. AWS:PrincipalArn 表示為資源存取條件的主體 (IAM 使用者、角色或群組) 之 ARN。若要進一步了解,請參閱 AWS 全域條件內容鍵 字串
條件. AWS:識別碼 PrincipalOrg 表示為資源存取條件的主體組織識別碼。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串
條件. AWS:PrincipalOrgPaths 表示為資源存取條件的組織或組織單位 (OU) ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串
條件. AWS:SourceIp 使用指定的 IP 地址時,允許主體存取資源的 IP 地址。若要進一步了解,請參閱 AWS 全域條件內容金鑰 IP 地址
條件. AWS:SourceVpc 使用指定 VPC 時,允許主體存取資源的 VPC ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串
條件. AWS:UserId 表示為存取資源條件且來自外部帳戶的 IAM 使用者之使用者 ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串
condition.cognito-identity.amazonaws.com:aud 指定為問題清單中 IAM 角色存取條件的 Amazon Cognito 身分集區 ID。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容金鑰 字串
condition.graph.facebook.com:app_id 指定為允許以 Facebook 聯合身分存取問題清單中 IAM 角色之條件的 Facebook 應用程式 ID (或網站 ID )。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容金鑰 字串
condition.accounts.google.com:aud 指定為存取 IAM 角色之條件的 Google 應用程式 ID。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容金鑰 字串
條件. 公里:CallerAccount 擁有服務呼叫所使用之呼叫實體 (IAM 使用者、角色或帳戶根使用者) 的帳戶 ID AWS KMS。 AWS 若要深入瞭解,請參閱的條件鍵 AWS Key Management Service 字串
condition.www.amazon.com:app_id 指定為允許使用 Login with Amazon 聯合存取角色之條件的 Amazon 應用程式 ID (或網站 ID)。如需進一步了解,請參閱 字串
id 問題清單的 ID。 字串
ChangeType 提供對存取預覽問題清單與 IAM Access Analyzer 中所識別的現有存取進行比較的內容。 字串
existingFindingId IAM Access Analyzer 中問題清單的現有 ID,僅針對存取預覽中現有的問題清單提供。 字串
existingFindingStatus Access Analyzer 中問題清單的現有狀態,僅針對存取預覽中現有的問題清單提供。 字串