Clés de filtre de l’IAM Access Analyzer

Vous pouvez utiliser les clés de filtre ci-dessous pour définir une règle d’archivage (CreateArchiveRule), mettre à jour une règle d’archivage (UpdateArchiveRule), extraire une liste de résultats (ListFindings et ListFindingsV2) ou extraire une liste de résultats de prévisualisation d’accès pour une ressource (ListAccessPreviewFindings). L'utilisation de l'API IAM et celle de CloudFormation conviennent toutes les deux pour configurer les règles d'archivage.

Criterion	AWS Management Console field	Description	Type	Règle d'archivage	Liste des résultats	Liste des résultats de la prévisualisation de l'accès	Types d’analyseurs pris en charge
ressource	Ressource	ARN identifiant de manière unique la ressource à laquelle le principal externe a accès. Pour en savoir plus, veuillez consulter Amazon Resource Names (ARN).	Chaîne	Oui	Oui	Oui	Externe Internal (Interne) Non utilisé
resourceType `AWS::S3::Bucket` \| `AWS::IAM::Role` \| `AWS::SQS::Queue` \| `AWS::Lambda::Function` \| `AWS::Lambda::LayerVersion` \|`AWS::KMS::Key` \| `AWS::SecretsManager::Secret` \| `AWS::EFS::FileSystem` \| `AWS::EC2::Snapshot` \| `AWS::ECR::Repository` \| `AWS::RDS::DBSnapshot` \| `AWS::RDS::DBClusterSnapshot` \| `AWS::SNS::Topic` \| `AWS::S3Express::DirectoryBucket` \| `AWS::DynamoDB::Table` \| `AWS::DynamoDB::Stream` \| `AWS::IAM::User`	Type de ressource	Type de ressource auquel le principal externe a accès. Note Les analyseurs d’accès internes ne prennent pas en charge tous les types de ressources pris en charge par les analyseurs d’accès externes. Les analyseurs d’accès non utilisés ne prennent en charge que les utilisateurs et les rôles IAM. Pour de plus amples informations, consultez Types de ressources prises en charge par l’analyseur d’accès IAM pour l’accès externe et interne.	Chaîne	Oui	Oui	Oui	Externe Internal (Interne) Non utilisé
resourceOwnerAccount	Compte du propriétaire de la ressource	ID à 12 chiffres du compte AWS qui possède la ressource. Pour en savoir plus, consultez Identificants de compte AWS.	Chaîne	Oui	Oui	Oui	Externe Internal (Interne) Non utilisé
isPublic	Accès public	Indique si le résultat signale une ressource dotée d'une politique autorisant l'accès public.	Booléen	Oui	Oui	Oui	Externe
findingType `ExternalAccess` \| `UnusedIAMRole` \| `UnusedIAMUserAccessKey` \| `UnusedIAMUserPassword` \| `UnusedPermission` \| `InternalAccess`	Types de résultats	Type du résultat . Pour les analyseurs d’accès externes, le type est `ExternalAccess`. Pour les analyseurs d’accès non utilisés, le type peut être `UnusedIAMRole`, `UnusedIAMUserAccessKey`, `UnusedIAMUserPassword` ou `UnusedPermission`. Pour les analyseurs d’accès internes, le type est `InternalAccess`.	Chaîne	Oui	Oui	Oui	Externe Internal (Interne) Non utilisé
resourceControlPolicyRestriction `APPLIED` \| `APPLICABLE` \| `FAILED_TO_EVALUATE_RCP` \| `NOT_APPLICABLE`	Restriction des politiques de contrôle des ressources (RCP)	Type de restriction appliqué par le propriétaire de la ressource avec une politique de contrôle des ressources (RCP) Organizations. Pour plus d’informations sur les valeurs de cette clé de filtre, consultez ExternalAccessDetails et InternalAccessDetails dans la référence de l’API de l’analyseur d’accès IAM.	Chaîne	Oui	Oui	Oui	Externe Internal (Interne)
serviceControlPolicyRestriction `APPLIED` \| `APPLICABLE` \| `FAILED_TO_EVALUATE_SCP` \| `NOT_APPLICABLE`	Politique de contrôle des services (SCP)	Type de restriction appliqué par une politique de contrôle des services (SCP) Organizations. Pour plus d’informations sur les valeurs de cette clé de filtre, consultez InternalAccessDetails dans la référence de l’API de l’analyseur d’accès IAM.	Chaîne	Oui	Oui	Oui	Internal (Interne)
status `ACTIVE` \| `ARCHIVED` \| `RESOLVED`	Statut	Statut actuel du résultat.	Chaîne	Non	Oui	Oui	Externe Internal (Interne) Non utilisé
erreur	Erreur	Indique l'erreur signalée pour le résultat.	Chaîne	Oui	Oui	Oui	Externe Internal (Interne)
principal.AWS	AWS Compte	Le compte a accordé l'accès à la ressource dans le champ `Principal` du résultat. Saisissez l'ID de compte AWS à 12 chiffres ou l'ARN de l'utilisateur ou du rôle AWS externe. Pour en savoir plus, consultez Identificants de compte AWS.	Chaîne	Oui	Oui	Oui	Externe
principal.Federated	Utilisateur fédéré	ARN de l'identité fédérée qui a accès à la ressource dans le résultat. Pour en savoir plus, veuillez consulter Fournisseurs d'identité et fédération.	Chaîne	Oui	Oui	Oui	Externe
condition.aws:PrincipalArn	ARN principal	ARN du principal (utilisateur, rôle ou groupe IAM) indiquée comme condition d'accès aux ressources. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Chaîne	Oui	Oui	Oui	Externe
condition.aws:PrincipalOrgID	OrgID principal	Identifiant de l'organisation du principal indiqué comme condition d'accès aux ressources. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Chaîne	Oui	Oui	Oui	Externe
condition.aws:PrincipalOrgPaths	Principaux OrgPaths	ID de l'organisation ou de l'unité organisationnelle (UO) indiqué comme condition d'accès aux ressources. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Chaîne	Oui	Oui	Oui	Externe
condition.aws:SourceIP	IP Source	Adresse IP qui autorise l'accès du principal à la ressource lors de l'utilisation de l'adresse IP spécifiée. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Adresse IP	Oui	Oui	Oui	Externe
condition.aws:SourceVpc	Source VPC	ID de VPC qui autorise l'accès du principal à la ressource lors de l'utilisation du VPC spécifié. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Chaîne	Oui	Oui	Oui	Externe
condition.aws:UserId	ID de l'utilisateur	ID de l'utilisateur IAM à partir d'un compte externe indiqué comme condition d'accès à la ressource. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Chaîne	Oui	Oui	Oui	Externe
condition.aws:VpceAccount	Compte VPCE	ID du compte du point de terminaison d’un VPC qui permet au principal d’accéder à la ressource. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Chaîne	Oui	Oui	Oui	Externe Internal (Interne)
condition.aws:VpceOrgID	OrgID VPCE	ID organisationnel du point de terminaison d’un VPC qui permet au principal d’accéder à la ressource. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Chaîne	Oui	Oui	Oui	Externe Internal (Interne)
condition.aws:VpceOrgPaths	OrgPaths VPCE	Unité organisationnelle (UO) du point de terminaison d’un VPC qui permet au principal d’accéder à la ressource. Pour en savoir plus, consultez Clés de contexte de condition globale AWS.	Chaîne (liste)	Oui	Oui	Oui	Externe Internal (Interne)
condition.cognito-identity.amazonaws.com:aud	Audience Cognito	ID de pool d'identités Amazon Cognito spécifié comme condition d'accès au rôle IAM dans le résultat. Pour en savoir plus, veuillez consulter Clés de contexte de condition IAM et AWS STS.	Chaîne	Oui	Oui	Oui	Externe
condition.graph.facebook.com:app_id	ID de l’application Facebook	ID d'application Facebook (ou ID de site) spécifié comme condition permettant d'autoriser l'accès de la fédération Login with Facebook au rôle IAM dans le résultat. Pour en savoir plus, veuillez consulter Clés de contexte de condition IAM et AWS STS.	Chaîne	Oui	Oui	Oui	Externe
condition.accounts.google.com:aud	Audience Google	ID d'application Google spécifié comme condition d'accès au rôle IAM. Pour en savoir plus, veuillez consulter Clés de contexte de condition IAM et AWS STS.	Chaîne	Oui	Oui	Oui	Externe
condition.kms:CallerAccount	ID de clé KMS	ID du compte AWS propriétaire de l'entité appelante (utilisateur, rôle ou utilisateur racine de compte IAM) utilisée par les services appelant AWS KMS. Pour en savoir plus, veuillez consulter Clés de condition pour AWS Key Management Service.	Chaîne	Oui	Oui	Oui	Externe
condition.www.amazon.com:app_id	ID de l’application Amazon	ID d'application Amazon (ou ID de site) spécifié comme condition permettant d'autoriser l'accès de la fédération Login with Amazon au rôle. Pour en savoir plus, veuillez consulter	Chaîne	Oui	Oui	Oui	Externe
id	ID de résultat	ID du résultat.	Chaîne	Non	Oui	Oui	Externe Internal (Interne) Non utilisé
changeType `CHANGED` \| `NEW` \| `UNCHANGED`		Donne un contexte sur la comparaison du résultat de la prévisualisation de l’accès à celui existant et identifié dans l’IAM Access Analyzer.	Chaîne	Non	Non	Oui	Externe
existingFindingId		L'ID existant du résultat dans l’IAM Access Analyzer, fourni uniquement pour les résultats trouvés dans la prévisualisation de l'accès.	Chaîne	Non	Non	Oui	Externe
existingFindingStatus		Le statut existant du résultat, fourni uniquement pour les résultats existants dans la prévisualisation de l'accès.	Chaîne	Non	Non	Oui	Externe

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Journalisation avec CloudTrail

Utilisation des rôles liés aux services

Clés de filtre de l’IAM Access Analyzer

Note