IAM Access Analyzer 篩選金鑰 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM Access Analyzer 篩選金鑰

您可以使用以下篩選條件索引鍵來定義封存規則 (CreateArchiveRule)、更新封存規則 ()UpdateArchiveRule、擷取調查結果清單 (ListFindingsListFindingsV2),或擷取資源的存取預覽調查結果清單 (ListAccessPreviewFindings)。使用 IAMAPI和 AWS CloudFormation 設定封存規則之間沒有差異。

Criterion Description (描述) 類型 封存規則 列出問題清單 列出存取預覽問題清單
資源 ARN 唯一識別外部主體可存取的資源。若要進一步了解,請參閱 Amazon 資源名稱 (ARNs) 字串
resourceType

AWS::S3::Bucket | AWS::IAM::Role | AWS::SQS::Queue | AWS::Lambda::Function | AWS::Lambda::LayerVersion |AWS::KMS::Key | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::S3Express::DirectoryBucket | AWS::DynamoDB::Table | AWS::DynamoDB::Stream | AWS::IAM::User

外部主體可存取的資源類型。 字串
resourceOwnerAccount 擁有 資源的 12 位數 AWS 帳戶 ID。若要進一步了解,請參閱 AWS 帳戶識別碼 字串
isPublic 指出問題清單是否回報一具有允許公有存取之政策的資源。 Boolean
findingType

UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission

問題清單的類型。您只能依未使用的存取調查結果的調查結果類型進行篩選。 字串
resourceControlPolicy限制

APPLICABLE | FAILED_TO_EVALUATE_RCP | NOT_APPLICABLE

資源擁有者使用 Organizations 資源控制政策 () 套用的限制類型RCP。您只能依外部存取調查結果RCP的限制進行篩選。 字串
status

ACTIVE | ARCHIVED | RESOLVED

問題清單的目前狀態。 字串
error 指出針對問題清單所報告的錯誤。 字串
主體。AWS 已授與問題清單 Principal 欄位中資源存取的帳戶。輸入外部 AWS 使用者或角色ARN的 12 位數 AWS 帳戶 ID 或 。若要進一步了解,請參閱 AWS 帳戶識別碼 字串
principal.Federated 可存取調查結果中資源ARN的聯合身分的 。若要進一步了解,請參閱身分身分提供者與聯合 字串
condition.aws:PrincipalArn 委託人 ARN (IAM使用者、角色或群組) 的 表示為資源存取的條件。若要進一步了解,請參閱 AWS 全域條件內容鍵 字串
condition.aws:PrincipalOrgID 表示為資源存取條件的主體組織識別碼。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串
condition.aws:PrincipalOrgPaths 表示為資源存取條件的組織或組織單位 (OU) ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串
condition.aws:SourceIp 使用指定的 IP 地址時,允許主體存取資源的 IP 地址。若要進一步了解,請參閱 AWS 全域條件內容金鑰 IP 地址
condition.aws:SourceVpc 使用指定的 時,允許主體存取 資源的 VPC IDVPC。若要進一步了解,請參閱 AWS 全域條件內容鍵 字串
condition.aws:UserId 使用者來自外部帳戶IAM的使用者 ID,指示為存取 資源的條件。若要進一步了解,請參閱 AWS 全域條件內容鍵 字串
condition.cognito-identity.amazonaws.com:aud Amazon Cognito 身分集區 ID 指定為調查結果中IAM角色存取的條件。若要進一步了解,請參閱 IAM和 AWS STS 條件內容索引鍵 字串
condition.graph.facebook.com:app_id 指定為允許使用 Facebook 聯合登入存取調查結果中IAM角色的條件的 Facebook 應用程式 ID (或網站 ID)。若要進一步了解,請參閱 IAM和 AWS STS 條件內容索引鍵 字串
condition.accounts.google.com:aud 指定為存取IAM角色條件的 Google 應用程式 ID。若要進一步了解,請參閱 IAM和 AWS STS 條件內容索引鍵 字串
condition.kms:CallerAccount 擁有呼叫 服務所使用的呼叫實體 (IAM使用者、角色或帳戶根使用者) AWS 的帳戶 ID AWS KMS。若要進一步了解,請參閱 的條件金鑰 AWS Key Management Service 字串
condition.www.amazon.com:app_id 指定為允許使用 Login with Amazon 聯合存取角色之條件的 Amazon 應用程式 ID (或網站 ID)。如需進一步了解,請參閱 字串
id 問題清單的 ID。 字串
changeType 提供存取預覽調查結果與 IAM Access Analyzer 中識別的現有存取相比的情況。 字串
existingFindingId IAM Access Analyzer 中調查結果的現有 ID,僅適用於存取預覽中的現有調查結果。 字串
existingFindingStatus Access Analyzer 中問題清單的現有狀態,僅針對存取預覽中現有的問題清單提供。 字串