Claves de filtro del Analizador de acceso de IAM
Puede utilizar las siguientes claves de filtro para definir una regla de archivo (CreateArchiveRule), actualizar una regla de archivo (UpdateArchiveRule), recuperar una lista de resultados (ListFindings y ListFindingsV2) o recuperar una lista de resultados de vista previa para un recurso (ListAccessPreviewFindings). No hay diferencia entre el uso de la API de IAM y AWS CloudFormation para configurar reglas de archivo.
| Criterion | Campo de AWS Management Console | Descripción | Tipo | Regla de archivo | Lista de resultados | Detallar resultados de vista previa de acceso | Tipos de analizadores admitidos |
|---|---|---|---|---|---|---|---|
| recurso | Resource | El ARN identifica de forma única el recurso al que tiene acceso la entidad principal externa. Para obtener más información, consulte los nombres de recursos de Amazon (ARN). | Cadena | Externo Internal No utilizado |
|||
| resourceType
|
Tipo de recurso | Tipo de recurso al que tiene acceso la entidad principal externa. notaLos analizadores de acceso interno no admiten todos los tipos de recursos que admiten los analizadores de acceso externos. Los analizadores de acceso no utilizado solo admiten roles y usuarios de IAM. Para obtener más información, consulte Tipos de recursos del Analizador de acceso de IAM admitidos para acceso externo e interno. |
Cadena | Externo Internal No utilizado |
|||
| resourceOwnerAccount | Cuenta del propietario del recurso | El ID de 12 dígitos de la cuenta de AWS que posee el recurso. Para obtener más información, consulte Identificadores de la cuenta de AWS. | Cadena | Externo Internal No utilizado |
|||
| isPublic | Acceso público | Indica si la búsqueda informa de un recurso que tiene una política que permite el acceso público. | Booleano | Externo |
|||
| findingType
|
Tipos de resultados | El tipo del resultado. Para los analizadores de acceso externo, el tipo es ExternalAccess. Para los analizadores de acceso no utilizado, el tipo puede ser UnusedIAMRole, UnusedIAMUserAccessKey, UnusedIAMUserPassword o UnusedPermission. Para los analizadores de acceso interno, el tipo es InternalAccess. |
Cadena | Externo Internal No utilizado |
|||
| resourceControlPolicyRestriction
|
Restricción de la política de control de recursos (RCP) | El tipo de restricción que aplica el propietario del recurso con una política de control de recursos (RCP) de Organizations. Para obtener más información sobre los valores de esta clave de filtro, consulte ExternalAccessDetails e InternalAccessDetails en la referencia de la API del Analizador de acceso de IAM. | Cadena | Externo Internal |
|||
| serviceControlPolicyRestriction
|
Restricción de la política de control de servicio (SCP) | El tipo de restricción aplicada por una política de control de servicio (SCP) de una organización. Para obtener más información sobre los valores de esta clave de filtro, consulte InternalAccessDetails en la Referencia de la API del Analizador de acceso de IAM. | Cadena | Internal |
|||
| estado
|
Estado | El estado actual de la tarea. | Cadena | Externo Internal No utilizado |
|||
| error | Error | Indica el error notificado para la búsqueda. | Cadena | Externo Internal |
|||
| principal.AWS | Cuenta de AWS | La cuenta concedió acceso al recurso en el campo Principal del resultado. Introduzca el ID de la cuenta de AWS de 12 dígitos o el ARN del usuario de AWS o rol externo. Para obtener más información, consulte Identificadores de la cuenta de AWS. |
Cadena | Externo |
|||
| principal.Federated | Usuario federado | El ARN de la identidad federada que tiene acceso al recurso en el resultado. Para obtener más información, consulte Federación y proveedores de identidades. | Cadena | Externo |
|||
| condition.aws:PrincipalArn | ARN de la entidad principal | El ARN de la entidad principal (usuario, rol o grupo de IAM) indicado como condición para el acceso a los recursos. Para obtener más información, consulte Claves de contexto de condición global de AWS. | Cadena | Externo |
|||
| condition.aws:PrincipalOrgID | ID de organización de entidad principal | El identificador de organización de la entidad principal indicado como condición para el acceso a los recursos. Para obtener más información, consulte Claves de contexto de condición global de AWS. | Cadena | Externo |
|||
| condition.aws:PrincipalOrgPaths | Rutas de la organización de entidad principal | El identificador de organización o unidad organizativa (OU) indicado como condición para el acceso a los recursos. Para obtener más información, consulte Claves de contexto de condición global de AWS. | Cadena | Externo |
|||
| condition.aws:SourceIp | IP de origen | La dirección IP que permite el acceso de la entidad principal al recurso cuando se utiliza la dirección IP especificada. Para obtener más información, consulte Claves de contexto de condición global de AWS. | Dirección IP | Externo |
|||
| condition.aws:SourceVpc | Origen de VPC | El ID de la VPC que permite el acceso de la entidad principal al recurso cuando se utiliza la VPC especificada. Para obtener más información, consulte Claves de contexto de condición global de AWS. | Cadena | Externo |
|||
| condition.aws:UserId | ID de usuario | El ID de usuario del usuario de IAM de una cuenta externa indicada como condición para acceder al recurso. Para obtener más información, consulte Claves de contexto de condición global de AWS. | Cadena | Externo |
|||
| condition.cognito-identity.amazonaws.com:aud | Audiencia de Cognito | El ID del grupo de identidades de Amazon Cognito especificado como condición para el acceso a roles de IAM en la búsqueda. Para obtener más información, consulte Claves de contexto de condición de AWS STS y de IAM. | Cadena | Externo |
|||
| condition.graph.facebook.com:app_id | ID de aplicación de Facebook | El ID de la aplicación de Facebook (o ID del sitio) especificado como condición para permitir el acceso de la federación de Facebook al rol de IAM en el resultado. Para obtener más información, consulte Claves de contexto de condición de AWS STS y de IAM. | Cadena | Externo |
|||
| condition.accounts.google.com:aud | Audiencia de Google | El ID de aplicación de Google especificado como condición para acceder al rol de IAM. Para obtener más información, consulte Claves de contexto de condición de AWS STS y de IAM. | Cadena | Externo |
|||
| condition.kms:CallerAccount | ID de clave de KMS | El ID de la cuenta de AWS que posee la entidad que llama (usuario, rol de IAM o usuario raíz de la cuenta) utilizada por los servicios que llaman a AWS KMS. Para obtener más información, consulte Claves de condición de AWS Key Management Service. | Cadena | Externo |
|||
| condition.www.amazon.com:app_id | ID de aplicación de Amazon | El ID de la aplicación de Amazon (o ID de sitio) especificado como condición para permitir el acceso de la federación de Login with Amazon al rol. Para obtener más información, consulte | Cadena | Externo |
|||
| id | ID del resultado | El ID del resultado. | Cadena | Externo Internal No utilizado |
|||
| changeType
|
Proporciona contexto sobre cómo se compara la búsqueda de vista previa de acceso con el acceso existente identificado en el Analizador de acceso de IAM. | Cadena | Externo |
||||
| existingFindingId | El ID existente de la búsqueda en el Analizador de acceso de IAM, proporcionado solo para los resultados existentes en la vista previa de acceso. | Cadena | Externo |
||||
| existingFindingStatus | El estado existente de la búsqueda, proporcionado solo para los resultados existentes en la vista previa de acceso. | Cadena | Externo |
