Clés de filtre de l’IAM Access Analyzer - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clés de filtre de l’IAM Access Analyzer

Vous pouvez utiliser les clés de filtre ci-dessous pour définir une règle d’archivage (CreateArchiveRule), mettre à jour une règle d’archivage (UpdateArchiveRule), extraire une liste de résultats (ListFindings et ListFindingsV2) ou extraire une liste de résultats de prévisualisation d’accès pour une ressource (ListAccessPreviewFindings). Il n'y a aucune différence entre l'utilisation de l'API IAM et CloudFormation la configuration des règles d'archivage.

Criterion AWS Management Console champ Description Type Règle d'archivage Liste des résultats Liste des résultats de la prévisualisation de l'accès Types d’analyseurs pris en charge
ressource Ressource ARN identifiant de manière unique la ressource à laquelle le principal externe a accès. Pour en savoir plus, consultez les noms des ressources Amazon (ARNs). String Oui Oui Oui

Externe

Internal (Interne)

Non utilisé
resourceType

AWS::S3::Bucket | AWS::IAM::Role | AWS::SQS::Queue | AWS::Lambda::Function | AWS::Lambda::LayerVersion |AWS::KMS::Key | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::S3Express::DirectoryBucket | AWS::DynamoDB::Table | AWS::DynamoDB::Stream | AWS::IAM::User

 Type de ressource

Type de ressource auquel le principal externe a accès.

Note

Les analyseurs d’accès internes ne prennent pas en charge tous les types de ressources pris en charge par les analyseurs d’accès externes. Les analyseurs d’accès non utilisés ne prennent en charge que les utilisateurs et les rôles IAM. Pour de plus amples informations, veuillez consulter Types de ressources prises en charge par l’analyseur d’accès IAM pour l’accès externe et interne.

 String Oui Oui Oui

Externe

Internal (Interne)

Non utilisé
resourceOwnerAccount Compte du propriétaire de la ressource L'identifiant de AWS compte à 12 chiffres propriétaire de la ressource. Pour en savoir plus, consultez Identificants de compte AWS. String Oui Oui Oui

Externe

Internal (Interne)

Non utilisé
isPublic Accès public Indique si le résultat signale une ressource dotée d'une politique autorisant l'accès public. Booléen Oui Oui Oui

Externe
findingType

ExternalAccess | UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission | InternalAccess

 Types de résultats Type du résultat . Pour les analyseurs d’accès externes, le type est ExternalAccess. Pour les analyseurs d’accès non utilisés, le type peut être UnusedIAMRole, UnusedIAMUserAccessKey, UnusedIAMUserPassword ou UnusedPermission. Pour les analyseurs d’accès internes, le type est InternalAccess. String Oui Oui Oui

Externe

Internal (Interne)

Non utilisé
resourceControlPolicyRestriction

APPLIED | APPLICABLE | FAILED_TO_EVALUATE_RCP | NOT_APPLICABLE

 Restriction des politiques de contrôle des ressources (RCP) Type de restriction appliqué par le propriétaire de la ressource avec une politique de contrôle des ressources (RCP) Organizations. Pour plus d'informations sur les valeurs de cette clé de filtre, consultez ExternalAccessDetailset InternalAccessDetailsdans le manuel de référence de l'API IAM Access Analyzer. String Oui Oui Oui

Externe

Internal (Interne)
serviceControlPolicyRestriction

APPLIED | APPLICABLE | FAILED_TO_EVALUATE_SCP | NOT_APPLICABLE

 Politique de contrôle des services (SCP) Type de restriction appliqué par une politique de contrôle des services (SCP) Organizations. Pour plus d'informations sur les valeurs de cette clé de filtre, consultez le manuel InternalAccessDetailsde référence de l'API IAM Access Analyzer. String Oui Oui Oui

Internal (Interne)
status

ACTIVE | ARCHIVED | RESOLVED

 Statut Statut actuel du résultat. String Non Oui Oui

Externe

Internal (Interne)

Non utilisé
error Error (Erreur) Indique l'erreur signalée pour le résultat. String Oui Oui Oui

Externe

Internal (Interne)
principal.AWS AWS Compte Le compte a accordé l'accès à la ressource dans le champ Principal du résultat. Entrez l'ID de AWS compte à 12 chiffres ou l'ARN de l' AWS utilisateur ou du rôle externe. Pour en savoir plus, consultez Identificants de compte AWS. String Oui Oui Oui

Externe
principal.Federated Utilisateur fédéré ARN de l'identité fédérée qui a accès à la ressource dans le résultat. Pour en savoir plus, veuillez consulter Fournisseurs d'identité et fédération. String Oui Oui Oui

Externe
condition.aws : PrincipalArn ARN principal ARN du principal (utilisateur, rôle ou groupe IAM) indiquée comme condition d'accès aux ressources. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. String Oui Oui Oui

Externe
condition.aws : ID PrincipalOrg OrgID principal Identifiant de l'organisation du principal indiqué comme condition d'accès aux ressources. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. String Oui Oui Oui

Externe
condition.aws : PrincipalOrgPaths Principal OrgPaths ID de l'organisation ou de l'unité organisationnelle (UO) indiqué comme condition d'accès aux ressources. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. String Oui Oui Oui

Externe
condition.aws : SourceIp IP Source Adresse IP qui autorise l'accès du principal à la ressource lors de l'utilisation de l'adresse IP spécifiée. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. Adresse IP Oui Oui Oui

Externe
condition.aws : SourceVpc Source VPC ID de VPC qui autorise l'accès du principal à la ressource lors de l'utilisation du VPC spécifié. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. String Oui Oui Oui

Externe
condition.aws : UserId ID de l'utilisateur ID de l'utilisateur IAM à partir d'un compte externe indiqué comme condition d'accès à la ressource. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. String Oui Oui Oui

Externe
condition.aws : VpceAccount Compte VPCE ID du compte du point de terminaison d’un VPC qui permet au principal d’accéder à la ressource. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. String Oui Oui Oui

Externe

Internal (Interne)
condition.aws : SourceVpcArn Arne VPC source L'ARN du VPC qui permet l'accès principal à la ressource lors de l'utilisation du VPC spécifié. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. ARN Oui Oui Oui

Externe
condition.aws : ID VpceOrg OrgID VPCE ID organisationnel du point de terminaison d’un VPC qui permet au principal d’accéder à la ressource. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. String Oui Oui Oui

Externe

Internal (Interne)
condition.aws : VpceOrgPaths VPCE OrgPaths Unité organisationnelle (UO) du point de terminaison d’un VPC qui permet au principal d’accéder à la ressource. Pour en savoir plus, consultez Clés de contexte de condition globale AWS. Chaîne (liste) Oui Oui Oui

Externe

Internal (Interne)
condition.cognito-identity.amazonaws.com:aud Audience Cognito ID de pool d'identités Amazon Cognito spécifié comme condition d'accès au rôle IAM dans le résultat. Pour en savoir plus, consultez les rubriques IAM et clés AWS STS contextuelles de condition. String Oui Oui Oui

Externe
condition.graph.facebook.com:app_id ID de l’application Facebook ID d'application Facebook (ou ID de site) spécifié comme condition permettant d'autoriser l'accès de la fédération Login with Facebook au rôle IAM dans le résultat. Pour en savoir plus, consultez les rubriques IAM et clés AWS STS contextuelles de condition. String Oui Oui Oui

Externe
condition.accounts.google.com:aud Audience Google ID d'application Google spécifié comme condition d'accès au rôle IAM. Pour en savoir plus, consultez les rubriques IAM et clés AWS STS contextuelles de condition. String Oui Oui Oui

Externe
Condition. km : CallerAccount ID de clé KMS ID de AWS compte propriétaire de l'entité appelante (utilisateur IAM, rôle ou utilisateur root du compte) utilisée par les services qui appellent AWS KMS. Pour en savoir plus, consultez la section Clés de condition pour AWS Key Management Service. String Oui Oui Oui

Externe
condition.www.amazon.com:app_id ID de l’application Amazon ID d'application Amazon (ou ID de site) spécifié comme condition permettant d'autoriser l'accès de la fédération Login with Amazon au rôle. Pour en savoir plus, veuillez consulter String Oui Oui Oui

Externe
id ID de résultat ID du résultat. String Non Oui Oui

Externe

Internal (Interne)

Non utilisé
changeType

CHANGED | NEW | UNCHANGED

 Donne un contexte sur la comparaison du résultat de la prévisualisation de l’accès à celui existant et identifié dans l’IAM Access Analyzer. String Non Non Oui

Externe
existingFindingId L'ID existant du résultat dans l’IAM Access Analyzer, fourni uniquement pour les résultats trouvés dans la prévisualisation de l'accès. String Non Non Oui

Externe
existingFindingStatus Le statut existant du résultat, fourni uniquement pour les résultats existants dans la prévisualisation de l'accès. String Non Non Oui

Externe