Access Analyzer 篩選鍵
您可以使用下列篩選鍵來定義封存規則 CreateArchiveRule
、更新封存規則 UpdateArchiveRule
、擷取問題清單列表 ListFindings
或擷取資源的存取預覽問題清單列表 ListAccessPreviewFindings
。配置封存規則使用 IAM API 和使用 AWS CloudFormation 之間並無差異。
Criterion | Description (描述) | 類型 | 封存規則 | 列出問題清單 | 列出存取預覽問題清單 |
---|---|---|---|---|---|
資源 | ARN 唯一識別外部委託人可存取的資源。若要進一步了解,請參閱 Amazon 資源名稱 (ARN)。 | :字串 | |||
resourceType
|
外部委託人可存取的資源類型。 | :字串 | |||
resourceOwnerAccount | 擁有資源的 12 位數 AWS 帳戶 ID。若要進一步了解,請參閱 AWS 帳戶識別碼。 | :字串 | |||
isPublic | 指出問題清單是否回報一具有允許公有存取之政策的資源。 | :布林值 | |||
status
|
問題清單的目前狀態。 | :字串 | |||
error | 指出針對問題清單所報告的錯誤。 | :字串 | |||
principal.AWS | 已授與問題清單 Principal 欄位中資源存取之帳戶的 ARN。若要進一步了解,請參閱 AWS 帳戶識別碼。 |
:字串 | |||
principal.Federated | 可存取問題清單中資源的聯合身份 ARN。若要進一步了解,請參閱身份提供者與聯合 | :字串 | |||
condition.aws:PrincipalArn | 表示為資源存取條件的委託人 (IAM 使用者、角色或群組) 之 ARN。若要進一步了解,請參閱 AWS 全域條件內容鍵。 | :字串 | |||
condition.aws:PrincipalOrgID | 表示為資源存取條件的委託人組織識別碼。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | :字串 | |||
condition.aws:PrincipalOrgPaths | 表示為資源存取條件的組織或組織單位 (OU) ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | :字串 | |||
condition.aws:SourceIp | 使用指定的 IP 地址時,允許委託人存取資源的 IP 地址。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | IP 地址 | |||
condition.aws:SourceVpc | 使用指定 VPC 時,允許委託人存取資源的 VPC ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | :字串 | |||
condition.aws:UserId | 表示為存取資源條件且來自外部帳戶的 IAM 使用者之使用者 ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | :字串 | |||
condition.cognito-identity.amazonaws.com:aud | 指定為問題清單中 IAM 角色存取條件的 Amazon Cognito 身分集區 ID。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容鍵。 | :字串 | |||
condition.graph.facebook.com:app_id | 指定為允許以 Facebook 聯合身份存取問題清單中 IAM 角色之條件的 Facebook 應用程式 ID (或網站 ID )。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容鍵。 | :字串 | |||
condition.accounts.google.com:aud | 指定為存取 IAM 角色之條件的 Google 應用程式 ID。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容鍵。 | :字串 | |||
condition.kms:CallerAccount | 擁有呼叫 AWS KMS 的服務所使用之呼叫實體 ( IAM 使用者、角色或帳戶根使用者) 的 AWS 帳戶 ID。若要進一步了解,請參閱適用於 AWS Key Management Service 的條件金鑰。 | :字串 | |||
condition.www.amazon.com:app_id | 指定為允許使用 Login with Amazon 聯合存取角色之條件的 Amazon 應用程式 ID (或網站 ID)。如需進一步了解,請參閱 | :字串 | |||
id | 問題清單的 ID。 | :字串 | |||
ChangeType | 提供對存取預覽問題清單與 Access Analyzer 中所識別的現有存取進行比較的內容。 | :字串 | |||
existingFindingId | Access Analyzer 中問題清單的現有 ID,僅針對存取預覽中現有的問題清單提供。 | :字串 | |||
existingFindingStatus | Access Analyzer 中問題清單的現有狀態,僅針對存取預覽中現有的問題清單提供。 | :字串 |