Filterschlüssel für IAM Access Analyzer
Mit den folgenden Filterschlüsseln können Sie eine Archivierungsregel definieren (CreateArchiveRule), eine Archivierungsregel aktualisieren (UpdateArchiveRule), eine Liste mit Ergebnissen abrufen (ListFindings und ListFindingsV2) oder eine Liste mit Zugriffsvorschau-Ergebnissen für eine Ressource abrufen (ListAccessPreviewFindings). Es gibt keinen Unterschied zwischen der Verwendung von IAM API und CloudFormation für die Konfiguration von Archivregeln.
| Kriterium | AWS-Managementkonsole field | Beschreibung | Geben Sie ein | Archivierungsregel | Liste der Ergebnisse | Auflistung der Ergebnisse der Zugriffsvorschau | Arten von unterstützten Analysatoren |
|---|---|---|---|---|---|---|---|
| Ressource | Ressource | Der ARN, der die Ressource eindeutig identifiziert, auf die der externe Auftraggeber Zugriff hat. Weitere Informationen finden Sie unter Amazon-Ressourcennamen (ARNs). | String | Extern Intern Nicht verwendet |
|||
| resourceType
|
Ressourcentyp | Der Typ der Ressource, auf die der externe Auftraggeber Zugriff hat. AnmerkungAnalysatoren für internen Zugriff unterstützen nicht alle Ressourcentypen, die Analysatoren für externen Zugriff unterstützen. Analysatoren für ungenutzten Zugriff unterstützen nur IAM-Benutzer und -Rollen. Weitere Informationen finden Sie unter Unterstützte Ressourcentypen für IAM Access Analyzer für externen und internen Zugriff. |
String | Extern Intern Nicht verwendet |
|||
| resourceOwnerAccount | Ressourcenbesitzerkonto | Die 12-stellige AWS-Konto-ID, die Eigentümer der Ressource ist. Weitere Informationen finden Sie unter AWS-Kontenkennungen. | String | Extern Intern Nicht verwendet |
|||
| isPublic | Öffentlicher Zugriff | Gibt an, ob das Ergebnis eine Ressource meldet, die über eine Richtlinie verfügt, die öffentlichen Zugriff zulässt. | Boolesch | Extern |
|||
| findingType
|
Erkenntnistypen | Der Typ des -Ergebnisses. Für Analysatoren für externen Zugriff ist der Typ ExternalAccess. Für Analysatoren für ungenutzten Zugriff kann der Typ UnusedIAMRole, UnusedIAMUserAccessKey, UnusedIAMUserPassword oder UnusedPermission sein. Für Analysatoren für internen Zugriff ist der Typ InternalAccess. |
String | Extern Intern Nicht verwendet |
|||
| resourceControlPolicyRestriction
|
Einschränkung der Ressourcen-Kontrollrichtlinie (RCP) | Die Art der Einschränkung, die vom Ressourcenbesitzer mit einer Ressourcenkontrollrichtlinie (RCP) einer Organisation angewendet wird. Weitere Informationen zu den Werten für diesen Filterschlüssel finden Sie unter ExternalAccessDetails und InternalAccessDetails in der IAM-Access-Analyzer-API-Referenz. | String | Extern Intern |
|||
| ServiceControlPolicyRestriction
|
Einschränkung der Service-Kontrollrichtlinie (SCP) | Art der Einschränkung, die durch eine Service-Kontrollrichtlinie (SCP) von Organizations angewendet wird. Weitere Informationen zu den Werten für diesen Filterschlüssel finden Sie unter InternalAccessDetails in der IAM-Access-Analyzer-API-Referenz. | String | Intern |
|||
| Status
|
Status | Der aktuelle Status der Aufgabenausführung. | String | Extern Intern Nicht verwendet |
|||
| Fehler | Fehler | Gibt den Fehler an, der für das Ergebnis gemeldet wurde. | String | Extern Intern |
|||
| principal.AWS | AWS Konto | Das Konto gewährte Zugriff auf die Ressource im Feld Principal des Ergebnisses. Geben Sie die 12-stellige AWS-Konto-ID oder den ARN des externen AWS-Benutzers oder der externen Rolle ein. Weitere Informationen finden Sie unter AWS-Kontenkennungen. |
String | Extern |
|||
| principal.Federated | Verbundbenutzer | Der ARN der Verbundidentität, die Zugriff auf die Ressource im Ergebnis hat. Weitere Informationen finden Sie unter Identitätsanbieter und Verbund. | String | Extern |
|||
| condition.aws:PrincipalArn | Prinzipal-ARN | Der ARN des Auftraggebers (IAM-Benutzer, -Rolle oder -Gruppe), der als Bedingung für den Ressourcenzugriff angegeben wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | String | Extern |
|||
| condition.aws:PrincipalOrgID | Prinzipal-OrgID | Die Organisations-ID des Auftraggebers, die als Bedingung für den Ressourcenzugriff angegeben wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | String | Extern |
|||
| condition.aws:PrincipalOrgPaths | Prinzipal-OrgPaths | Die Organisations- oder Organisationseinheits(OU)-ID, die als Bedingung für den Ressourcenzugriff angegeben wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | String | Extern |
|||
| condition.aws:SourceIp | Quell-IP | Die IP-Adresse, die dem Auftraggeber Zugriff auf die Ressource ermöglicht, wenn die angegebene IP-Adresse verwendet wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | IP-Adresse | Extern |
|||
| condition.aws:SourceVpc | Quell-VPC | Die VPC-ID, die dem Auftraggeber Zugriff auf die Ressource ermöglicht, wenn die angegebene VPC verwendet wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | String | Extern |
|||
| condition.aws:UserId | Benutzer-ID | Die Benutzer-ID des IAM-Benutzers von einem externen Konto, die als Bedingung für den Zugriff auf die Ressource angegeben wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | String | Extern |
|||
| condition.aws:VpceAccount | VPCE-Konto | Konto-ID des VPC-Endpunkts, der dem Prinzipal Zugriff auf die Ressource ermöglicht. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | String | Extern Intern |
|||
| condition.aws:VpceOrgID | VPCE-OrgID | Organisations-ID für den VPC-Endpunkt, der dem Prinzipal Zugriff auf die Ressource ermöglicht. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | String | Extern Intern |
|||
| condition.aws:VpceOrgPaths | VPCE-OrgPaths | Organisationseinheit (OU) für den VPC-Endpunkt, die dem Prinzipal Zugriff auf die Ressource ermöglicht. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel. | Zeichenfolge (Liste) | Extern Intern |
|||
| condition.cognito-identity.amazonaws.com:aud | Cognito Audience | Die Amazon Cognito-Identitätspool-ID, die als Bedingung für den IAM-Rollenzugriff bei der Suche angegeben wurde. Weitere Informationen finden Sie unter IAM- und AWS STS-Bedingungskontextschlüssel. | String | Extern |
|||
| condition.graph.facebook.com:app_id | Facebook-App-ID | Die Facebook-Anwendungs-ID (oder Site-ID), die als Bedingung angegeben wird, um eine Anmeldung mit Facebook-Verbundzugriff auf die IAM-Rolle im Ergebnis zu ermöglichen. Weitere Informationen finden Sie unter IAM- und AWS STS-Bedingungskontextschlüssel. | String | Extern |
|||
| condition.accounts.google.com:aud | Google Audience | Die Google-Anwendungs-ID, die als Bedingung für den Zugriff auf die IAM-Rolle angegeben wurde. Weitere Informationen finden Sie unter IAM- und AWS STS-Bedingungskontextschlüssel. | String | Extern |
|||
| condition.kms:CallerAccount | KMS-Schlüssel-ID | Die AWS-Konto-ID im Besitz der aufrufenden Entität (IAM-Benutzer, -Rolle oder -Kontostammbenutzer), die von Services verwendet wird, die AWS KMS aufrufen. Weitere Informationen finden Sie unter Bedingungsschlüssel für AWS Key Management Service. | String | Extern |
|||
| condition.www.amazon.com:app_id | Amazon-App-ID | Die Amazon-Anwendungs-ID (oder Site-ID), die als Bedingung angegeben wird, um eine Login with Amazon-Verbundzugriff auf die Rolle zu ermöglichen. Weitere Informationen hierzu finden Sie unter | String | Extern |
|||
| id | Die ID des Ergebnisses | Die ID des Ergebnisses. | String | Extern Intern Nicht verwendet |
|||
| ChangeType (Typ der Änderung
|
Stellt Kontext dazu bereit, wie das Ergebnis der Zugriffsvorschau im Vergleich zu dem in IAM Access Analyzer identifizierten vorhandenen Zugriff abschneidet. | String | Extern |
||||
| ExistingFindingId | Die vorhandene ID des Ergebnisses in IAM Access Analyzer, die nur für vorhandene Ergebnisse in der Zugriffsvorschau bereitgestellt wird. | String | Extern |
||||
| ExistingFindingStatus | Der vorhandene Status der Suche, der nur für vorhandene Ergebnisse in der Zugriffsvorschau bereitgestellt wird. | String | Extern |
