本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM Access Analyzer 篩選金鑰
您可以使用以下篩選條件索引鍵來定義封存規則 (CreateArchiveRule
)、更新封存規則 ()UpdateArchiveRule
、擷取調查結果清單 (ListFindings
和 ListFindingsV2
),或擷取資源的存取預覽調查結果清單 (ListAccessPreviewFindings
)。使用 IAMAPI和 AWS CloudFormation 設定封存規則之間沒有差異。
Criterion | Description (描述) | 類型 | 封存規則 | 列出問題清單 | 列出存取預覽問題清單 |
---|---|---|---|---|---|
資源 | ARN 唯一識別外部主體可存取的資源。若要進一步了解,請參閱 Amazon 資源名稱 (ARNs)。 | 字串 | |||
resourceType
|
外部主體可存取的資源類型。 | 字串 | |||
resourceOwnerAccount | 擁有 資源的 12 位數 AWS 帳戶 ID。若要進一步了解,請參閱 AWS 帳戶識別碼。 | 字串 | |||
isPublic | 指出問題清單是否回報一具有允許公有存取之政策的資源。 | Boolean | |||
findingType
|
問題清單的類型。您只能依未使用的存取調查結果的調查結果類型進行篩選。 | 字串 | |||
resourceControlPolicy限制
|
資源擁有者使用 Organizations 資源控制政策 () 套用的限制類型RCP。您只能依外部存取調查結果RCP的限制進行篩選。 | 字串 | |||
status
|
問題清單的目前狀態。 | 字串 | |||
error | 指出針對問題清單所報告的錯誤。 | 字串 | |||
主體。AWS | 已授與問題清單 Principal 欄位中資源存取的帳戶。輸入外部 AWS 使用者或角色ARN的 12 位數 AWS 帳戶 ID 或 。若要進一步了解,請參閱 AWS 帳戶識別碼。 |
字串 | |||
principal.Federated | 可存取調查結果中資源ARN的聯合身分的 。若要進一步了解,請參閱身分身分提供者與聯合 | 字串 | |||
condition.aws:PrincipalArn | 委託人 ARN (IAM使用者、角色或群組) 的 表示為資源存取的條件。若要進一步了解,請參閱 AWS 全域條件內容鍵。 | 字串 | |||
condition.aws:PrincipalOrgID | 表示為資源存取條件的主體組織識別碼。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | 字串 | |||
condition.aws:PrincipalOrgPaths | 表示為資源存取條件的組織或組織單位 (OU) ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | 字串 | |||
condition.aws:SourceIp | 使用指定的 IP 地址時,允許主體存取資源的 IP 地址。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | IP 地址 | |||
condition.aws:SourceVpc | 使用指定的 時,允許主體存取 資源的 VPC IDVPC。若要進一步了解,請參閱 AWS 全域條件內容鍵。 | 字串 | |||
condition.aws:UserId | 使用者來自外部帳戶IAM的使用者 ID,指示為存取 資源的條件。若要進一步了解,請參閱 AWS 全域條件內容鍵。 | 字串 | |||
condition.cognito-identity.amazonaws.com:aud | Amazon Cognito 身分集區 ID 指定為調查結果中IAM角色存取的條件。若要進一步了解,請參閱 IAM和 AWS STS 條件內容索引鍵 。 | 字串 | |||
condition.graph.facebook.com:app_id | 指定為允許使用 Facebook 聯合登入存取調查結果中IAM角色的條件的 Facebook 應用程式 ID (或網站 ID)。若要進一步了解,請參閱 IAM和 AWS STS 條件內容索引鍵 。 | 字串 | |||
condition.accounts.google.com:aud | 指定為存取IAM角色條件的 Google 應用程式 ID。若要進一步了解,請參閱 IAM和 AWS STS 條件內容索引鍵 。 | 字串 | |||
condition.kms:CallerAccount | 擁有呼叫 服務所使用的呼叫實體 (IAM使用者、角色或帳戶根使用者) AWS 的帳戶 ID AWS KMS。若要進一步了解,請參閱 的條件金鑰 AWS Key Management Service。 | 字串 | |||
condition.www.amazon.com:app_id | 指定為允許使用 Login with Amazon 聯合存取角色之條件的 Amazon 應用程式 ID (或網站 ID)。如需進一步了解,請參閱 | 字串 | |||
id | 問題清單的 ID。 | 字串 | |||
changeType | 提供存取預覽調查結果與 IAM Access Analyzer 中識別的現有存取相比的情況。 | 字串 | |||
existingFindingId | IAM Access Analyzer 中調查結果的現有 ID,僅適用於存取預覽中的現有調查結果。 | 字串 | |||
existingFindingStatus | Access Analyzer 中問題清單的現有狀態,僅針對存取預覽中現有的問題清單提供。 | 字串 |