Chiavi di filtro di Sistema di analisi degli accessi IAM

Puoi utilizzare le chiavi filtro riportate di seguito per definire una regola di archiviazione (CreateArchiveRule), aggiornare una regola di archiviazione (UpdateArchiveRule), recuperare un elenco di risultati (ListFindings e ListFindingsV2) o recuperare un elenco di risultati di anteprima dell'accesso per una risorsa (ListAccessPreviewFindings). Non c'è differenza tra l'utilizzo dell'API IAM e CloudFormation per la configurazione delle regole di archiviazione.

Criterion	Console di gestione AWS Campo	Descrizione	Tipo	Regola di archivio	Elenco di risultati	Visualizzazione dei risultati di anteprima accesso	Tipi di analizzatori supportati
Risorsa	Risorsa	L'ARN identifica in modo univoco la risorsa a cui l'entità principale esterna ha accesso. Per ulteriori informazioni, consulta Amazon Resource Name (ARN).	Stringa	Sì	Sì	Sì	Esterno Interno Non utilizzato
resourceType `AWS::S3::Bucket` \| `AWS::IAM::Role` \| `AWS::SQS::Queue` \| `AWS::Lambda::Function` \| `AWS::Lambda::LayerVersion` \|`AWS::KMS::Key` \| `AWS::SecretsManager::Secret` \| `AWS::EFS::FileSystem` \| `AWS::EC2::Snapshot` \| `AWS::ECR::Repository` \| `AWS::RDS::DBSnapshot` \| `AWS::RDS::DBClusterSnapshot` \| `AWS::SNS::Topic` \| `AWS::S3Express::DirectoryBucket` \| `AWS::DynamoDB::Table` \| `AWS::DynamoDB::Stream` \| `AWS::IAM::User`	Tipo di risorsa	Il tipo di risorsa a cui l'entità principale esterna ha accesso. Nota Gli analizzatori degli accessi interni non supportano tutti i tipi di risorse supportati dagli analizzatori degli accessi esterni. Gli analizzatori degli accessi inutilizzati supportano solo utenti e ruoli IAM. Per ulteriori informazioni, consulta Tipi di risorse di Sistema di analisi degli accessi IAM supportate per gli accessi esterni e interni.	Stringa	Sì	Sì	Sì	Esterno Interno Non utilizzato
resourceOwnerAccount	Account proprietario della risorsa	L'ID account AWS a 12 cifre proprietario della risorsa. Per ulteriori informazioni, consulta ID account di AWS.	Stringa	Sì	Sì	Sì	Esterno Interno Non utilizzato
isPublic	Accesso pubblico	Indica se il risultato segnala una risorsa che dispone di una policy che consente l'accesso pubblico.	Booleano	Sì	Sì	Sì	Esterno
findingType `ExternalAccess` \| `UnusedIAMRole` \| `UnusedIAMUserAccessKey` \| `UnusedIAMUserPassword` \| `UnusedPermission` \| `InternalAccess`	Tipo di esiti	Il tipo di risultato . Per gli analizzatori degli accessi esterni, il tipo è `ExternalAccess`. Per gli analizzatori degli accessi non utilizzati, il tipo può essere `UnusedIAMRole`, `UnusedIAMUserAccessKey`, `UnusedIAMUserPassword` o `UnusedPermission`. Per gli analizzatori degli accessi interni, il tipo è `InternalAccess`.	Stringa	Sì	Sì	Sì	Esterno Interno Non utilizzato
resourceControlPolicyRestriction `APPLIED` \| `APPLICABLE` \| `FAILED_TO_EVALUATE_RCP` \| `NOT_APPLICABLE`	Limitazione di una policy di controllo delle risorse (RCP)	Il tipo di limitazione applicata dal proprietario della risorsa con una policy di controllo delle risorse (RCP) di Organizations. Per ulteriori informazioni sui valori di questa chiave di filtro, consulta ExternalAccessDetails e InternalAccessDetails nella documentazione di riferimento dell'API di Strumento di analisi degli accessi IAM.	Stringa	Sì	Sì	Sì	Esterno Interno
serviceControlPolicyRestriction `APPLIED` \| `APPLICABLE` \| `FAILED_TO_EVALUATE_SCP` \| `NOT_APPLICABLE`	Limitazione di una policy di controllo dei servizi (SCP)	Il tipo di limitazione applicata da una policy di controllo dei servizi (SCP) di Organizations. Per ulteriori informazioni sui valori di questa chiave di filtro, consulta InternalAccessDetails nella documentazione di riferimento dell'API di Strumento di analisi degli accessi IAM.	Stringa	Sì	Sì	Sì	Interno
status `ACTIVE` \| `ARCHIVED` \| `RESOLVED`	Stato	Lo stato attuale del risultato.	Stringa	No	Sì	Sì	Esterno Interno Non utilizzato
errore	Errore	Indica l'errore segnalato per il risultato.	Stringa	Sì	Sì	Sì	Esterno Interno
principal.AWS	AWS Account	L'account che ha concesso l'accesso alla risorsa nel campo `Principal` dell'esito. Inserisci l'ID dell'account AWS a 12 cifre o l'ARN dell'utente AWS o del ruolo esterno. Per ulteriori informazioni, consulta ID account di AWS.	Stringa	Sì	Sì	Sì	Esterno
principal.Federated	Utente federato	L'ARN dell'identità federata che ha accesso alla risorsa nel risultato. Per ulteriori informazioni, consulta Provider di identità e federazione	Stringa	Sì	Sì	Sì	Esterno
condition.aws:PrincipalArn	ARN principale	L'ARN del principale (utente IAM, ruolo o gruppo) indicato come condizione per l'accesso alla risorsa. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Stringa	Sì	Sì	Sì	Esterno
condition.aws:PrincipalOrgID	OrgID principale	L'identificatore dell'organizzazione dell'entità principale indicata come condizione per l'accesso alla risorsa. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Stringa	Sì	Sì	Sì	Esterno
condition.aws:PrincipalOrgPaths	OrgPaths principale	L'ID dell'organizzazione o dell'unità organizzativa (OU) indicato come condizione per l'accesso alla risorsa. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Stringa	Sì	Sì	Sì	Esterno
condition.aws:SourceIp	IP di origine	L'indirizzo IP che consente all'entità principale di accedere alla risorsa quando si utilizza l'indirizzo IP specificato. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Indirizzo IP	Sì	Sì	Sì	Esterno
condition.aws:SourceVpc	VPC di origine	L'ID VPC che consente l'accesso dell'entità principale alla risorsa quando si utilizza il VPC specificato. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Stringa	Sì	Sì	Sì	Esterno
condition.aws:UserId	ID utente	L'ID utente dell'utente IAM da un account esterno indicato come condizione per l'accesso alla risorsa. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Stringa	Sì	Sì	Sì	Esterno
condition.aws:VpceAccount	Account VPCE	L'ID account dell'endpoint VPC che consente al principale di accedere alla risorsa. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Stringa	Sì	Sì	Sì	Esterno Interno
condition.aws:VpceOrgID	OrgID VPEC	L'ID organizzativo per l'endpoint VPC che consente al principale di accedere alla risorsa. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Stringa	Sì	Sì	Sì	Esterno Interno
condition.aws:VpceOrgPaths	OrgPaths VPCE	L'unità organizzativa (UO) per l'endpoint VPC che consente al principale di accedere alla risorsa. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.	Stringa (elenco)	Sì	Sì	Sì	Esterno Interno
condition.cognito-identity.amazonaws.com:aud	Pubblico di Cognito	L'ID pool di identità di Amazon Cognito specificato come condizione per l'accesso al ruolo IAM nel risultato. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni IAM e AWS STS.	Stringa	Sì	Sì	Sì	Esterno
condition.graph.facebook.com:app_id	ID dell'app di Facebook	L'ID dell'applicazione Facebook (o l'ID del sito) specificato come condizione per consentire l'accesso con la federazione Accedi con Facebook al ruolo IAM nel risultato. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni IAM e AWS STS.	Stringa	Sì	Sì	Sì	Esterno
condition.accounts.google.com:aud	Pubblico di Google	L'ID dell'applicazione Google specificato come condizione per l'accesso al ruolo IAM. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni IAM e AWS STS.	Stringa	Sì	Sì	Sì	Esterno
condition.kms:CallerAccount	ID della chiave KMS	L'ID account AWS proprietario dell'entità chiamante (utente IAM, ruolo o utente root dell'account) utilizzato dai servizi che chiamano AWS KMS. Per ulteriori informazioni, consulta Chiavi di condizione per AWS Key Management Service.	Stringa	Sì	Sì	Sì	Esterno
condition.www.amazon.com:app_id	ID dell'app Amazon	L'ID dell'applicazione Amazon (o l'ID del sito) specificato come condizione per consentire l'accesso con la federazione Login with Amazon al ruolo. Per ulteriori informazioni, consulta la sezione	Stringa	Sì	Sì	Sì	Esterno
id	ID risultato	L'ID del risultato.	Stringa	No	Sì	Sì	Esterno Interno Non utilizzato
changeType `CHANGED` \| `NEW` \| `UNCHANGED`		Fornisce un contesto sul modo in cui il risultato dell'anteprima di accesso viene confrontato con l'accesso identificato esistente in Sistema di analisi degli accessi IAM.	Stringa	No	No	Sì	Esterno
existingFindingId		L'ID esistente del risultato in Sistema di analisi degli accessi IAM, fornito solo per i risultati esistenti nell'anteprima dell'accesso.	Stringa	No	No	Sì	Esterno
existingFindingStatus		Lo stato esistente del risultato in Access Analyzer, fornito solo per i risultati esistenti nell'anteprima dell'accesso.	Stringa	No	No	Sì	Esterno

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione dei log con CloudTrail

Uso di ruoli collegati ai servizi

Chiavi di filtro di Sistema di analisi degli accessi IAM

Nota