IAM Access Analyzer フィルターキーにアクセスする - AWS Identity and Access Management

IAM Access Analyzer フィルターキーにアクセスする

以下のフィルタキーを使用して、アーカイブルールの定義 (CreateArchiveRule)、アーカイブルールの更新 (UpdateArchiveRule)、検出結果の一覧の取得 (ListFindings および ListFindingsV2)、またはリソースのアクセスプレビューの一覧の取得 (ListAccessPreviewFindings) を行うことができます。アーカイブルールを構成するための IAM API と AWS CloudFormation の使用に違いはありません。

Criterion AWS Management Console フィールド 説明 [Type] (タイプ) アーカイブルール 結果の一覧表示 アクセスプレビューの結果を一覧表示 サポートされているアナライザータイプ
リソース [リソース] 外部プリンシパルがアクセスできるリソースを一意に識別する ARN。詳細については、「Amazon リソースネーム (ARN)」を参照してください。 String はい はい はい

外部

内部

未使用
resourceType

AWS::S3::Bucket | AWS::IAM::Role | AWS::SQS::Queue | AWS::Lambda::Function | AWS::Lambda::LayerVersion |AWS::KMS::Key | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::S3Express::DirectoryBucket | AWS::DynamoDB::Table | AWS::DynamoDB::Stream | AWS::IAM::User

 リソースタイプ

外部プリンシパルがアクセスできるリソースのタイプ。

注記

内部アクセスアナライザーは、外部アクセスアナライザーがサポートするすべてのリソースタイプをサポートしているわけではありません。未使用のアクセスアナライザーは、IAM ユーザーとロールのみをサポートします。詳細については、「外部アクセスと内部アクセスのサポートされている IAM Access Analyzer リソースタイプ」を参照してください。

 String はい はい はい

外部

内部

未使用
resourceOwnerAccount [リソース所有者のアカウント] リソースを所有する 12 桁の AWS アカウント ID。詳細については、「AWS アカウント識別子」を参照してください。 String はい はい はい

外部

内部

未使用
isPublic パブリックアクセス パブリックアクセスを許可するポリシーを持つリソースが結果によって報告されるかどうかを示します。 ブール値 はい はい はい

外部
findingType

ExternalAccess | UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission | InternalAccess

 [結果のタイプ] 結果のタイプ。外部アクセスアナライザーの場合、タイプは ExternalAccess です。未使用のアクセスアナライザーの場合、タイプは UnusedIAMRoleUnusedIAMUserAccessKeyUnusedIAMUserPassword、または UnusedPermission です。内部アクセスアナライザーの場合、タイプは InternalAccess です。 String はい はい はい

外部

内部

未使用
resourceControlPolicyRestriction

APPLIED | APPLICABLE | FAILED_TO_EVALUATE_RCP | NOT_APPLICABLE

 リソースコントロールポリシー (RCP) の制限 Organizations リソースコントロールポリシー (RCP) を使用してリソース所有者によって適用される制限のタイプ。このフィルターキーの値の詳細については、「IAM Access Analyzer API リファレンス」の「ExternalAccessDetails」とInternalAccessDetails」を参照してください。 String はい はい はい

外部

内部
serviceControlPolicyRestriction

APPLIED | APPLICABLE | FAILED_TO_EVALUATE_SCP | NOT_APPLICABLE

 サービスコントロールポリシー (SCP) の制限 Organizations サービスコントロールポリシー (SCP) によって適用される制限のタイプ。このフィルターキーの値の詳細については、IAM Access Analyzer API リファレンスの「InternalAccessDetails」を参照してください。 String はい はい はい

内部
status

ACTIVE | ARCHIVED | RESOLVED

 ステータス 結果の現在のステータス。 String いいえ はい はい

外部

内部

未使用
error [エラー] 結果に対して報告されたエラーを示します。 String はい はい はい

外部

内部
principal.AWS [AWS アカウント] 検出結果の Principal フィールドのリソースへのアクセスが付与されたアカウント。外部の AWS ユーザーまたはロールの 12 桁の AWS アカウント ID または ARN を入力します。詳細については、「AWS アカウント識別子」を参照してください。 String はい はい はい

外部
principal.Federated [フェデレーションユーザー] 結果でリソースにアクセスできるフェデレーション ID の ARN。詳細については、「ID プロバイダーとフェデレーション」を参照してください。 String はい はい はい

外部
condition.aws:PrincipalArn [プリンシパル ARN] リソースアクセスの条件として示されたプリンシパル (IAM ユーザー、ロール、またはグループ) の ARN。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 String はい はい はい

外部
condition.aws:PrincipalOrgID [プリンシパル OrgID] リソースアクセスの条件として示されるプリンシパルの組織 ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 String はい はい はい

外部
condition.aws:PrincipalOrgPaths [プリンシパル OrgPaths] リソースアクセスの条件として示される組織または組織単位 (OU) ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 String はい はい はい

外部
condition.aws:SourceIp 送信元 IP 指定した IP アドレスを使用するときに、リソースへのプリンシパルアクセスを許可する IP アドレス。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 IP アドレス はい はい はい

外部
condition.aws:SourceVpc [VPC ソース] 指定された VPC を使用するときにリソースへのプリンシパルアクセスを許可する VPC ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 String はい はい はい

外部
condition.aws:UserId ユーザー ID リソースへのアクセス条件として示された外部アカウントからの IAM ユーザーのユーザー ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 String はい はい はい

外部
condition.cognito-identity.amazonaws.com:aud [Cognito オーディエンス] 検索で IAM ロールアクセスの条件として指定された Amazon Cognito ID プールの ID。詳細については、「 IAM および AWS STS の条件コンテキストキー」を参照してください。 String はい はい はい

外部
condition.graph.facebook.com:app_id [Facebook アプリ ID] [Login with Facebook (Facebook でログイン)] フェデレーションが結果の IAM ロールにアクセスできるようにするための条件として指定された Facebook アプリケーション ID (またはサイト ID)。詳細については、「IAM および AWS STS の条件コンテキストキー」を参照してください。 String はい はい はい

外部
condition.accounts.google.com:aud [Google オーディエンス] IAM ロールへのアクセス条件として指定された Google アプリケーション ID。詳細については、「IAM および AWS STS の条件コンテキストキー」を参照してください。 String はい はい はい

外部
condition.kms:CallerAccount [KMS キー ID] AWS を呼び出すサービスにより使用される呼び出し元エンティティ (IAM ユーザー、ロール、またはアカウントルートユーザー) を所有する AWS KMS アカウント ID。詳細については、「AWS Key Management Service の条件キー」を参照してください。 String はい はい はい

外部
condition.www.amazon.com:app_id [Amazon Q Apps] [Login with Amazon (Amazon でログイン)] フェデレーションにロールへのアクセスを許可するための条件として指定された Amazon アプリケーション ID (またはサイト ID)。詳細については、次を参照してください。 String はい はい はい

外部
id 検出結果 ID 結果の ID。 String いいえ はい はい

外部

内部

未使用
cchangeType

CHANGED | NEW | UNCHANGED

 アクセスプレビューの結果と IAM Access Analyzer で識別された既存のアクセスとの比較に関するコンテキストを提供します。 String いいえ いいえ はい

外部
既存の検索Id IAM Access Analyzer での結果の既存の ID。アクセスプレビューの既存の結果に対してのみ提供されます。 String いいえ いいえ はい

外部
既存の検索ステータス アクセスプレビューの既存の調査結果に対してのみ提供される、検索結果の既存のステータス。 String いいえ いいえ はい

外部