Chaves de filtro do IAM Access Analyzer - AWS Identity and Access Management

Chaves de filtro do IAM Access Analyzer

É possível usar as chaves de filtro abaixo para definir uma regra de arquivamento (CreateArchiveRule), atualizar uma regra de arquivamento (UpdateArchiveRule), recuperar uma lista de descobertas (ListFindings e ListFindingsV2) ou recuperar uma lista de descobertas de pré-visualização de acesso para um recurso (ListAccessPreviewFindings). Não há diferença entre usar a API do IAM e o AWS CloudFormation para configurar regras de arquivamento.

Criterion Campo AWS Management Console Descrição Tipo Regra de arquivamento Listar descobertas Listar descobertas de pré-visualização de acesso Tipos de analisadores compatíveis
recurso Recurso O ARN identifica exclusivamente o recurso ao qual o principal externo tem acesso. Para saber mais, consulte Nomes de recursos da Amazon (ARNs). String Sim Yes (Sim) Sim

Externo

Interno

Não utilizado
resourceType

AWS::S3::Bucket | AWS::IAM::Role | AWS::SQS::Queue | AWS::Lambda::Function | AWS::Lambda::LayerVersion |AWS::KMS::Key | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::S3Express::DirectoryBucket | AWS::DynamoDB::Table | AWS::DynamoDB::Stream | AWS::IAM::User

 Tipo de recurso

O tipo de recurso ao qual o principal externo tem acesso.

nota

Os analisadores de acesso interno não são compatíveis com todos os tipos de recursos que são compatíveis com os analisadores de acesso externo. Os analisadores de acessos não utilizados oferecem suporte apenas a perfis e usuários do IAM. Para obter mais informações, consulte Tipos de recursos compatíveis com o IAM Access Analyzer para acesso externo e interno.

 String Sim Yes (Sim) Sim

Externo

Interno

Não utilizado
resourceOwnerAccount Conta proprietária do recurso O ID de 12 dígitos da conta da AWS que possui o recurso. Para saber mais, consulte Identificadores de conta da AWS. String Sim Yes (Sim) Sim

Externo

Interno

Não utilizado
isPublic Acesso público Indica se a descoberta relata um recurso que tem uma política que permite o acesso público. Booleano Sim Yes (Sim) Sim

Externo
findingType

ExternalAccess | UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission | InternalAccess

 Tipo de descoberta O tipo da descoberta. Para analisadores de acesso externo, o tipo é ExternalAccess. Para analisadores de acesso não utilizado, o tipo pode ser UnusedIAMRole, UnusedIAMUserAccessKey, UnusedIAMUserPassword ou UnusedPermission. Para analisadores de acesso interno, o tipo é InternalAccess. String Sim Yes (Sim) Sim

Externo

Interno

Não utilizado
resourceControlPolicyRestriction

APPLIED | APPLICABLE | FAILED_TO_EVALUATE_RCP | NOT_APPLICABLE

 Restrição da política de controle de recursos (RCP) O tipo de restrição aplicada pelo proprietário do recurso com uma política de controle de recursos (RCP) do Organizations. Para obter mais informações sobre os valores dessa chave de filtro, consulte ExternalAccessDetails e InternalAccessDetails na IAM Access Analyzer API Reference. String Sim Yes (Sim) Sim

Externo

Interno
serviceControlPolicyRestriction

APPLIED | APPLICABLE | FAILED_TO_EVALUATE_SCP | NOT_APPLICABLE

 Restrição da política de controle de serviços (SCP) O tipo de restrição aplicada por uma política de controle de serviços (SCP) do Organizations. Para obter mais informações sobre os valores dessa chave de filtro, consulte InternalAccessDetails na IAM Access Analyzer API Reference. String Sim Yes (Sim) Sim

Interno
status

ACTIVE | ARCHIVED | RESOLVED

 Status O status atual da descoberta. String No (Não) Yes (Sim) Sim

Externo

Interno

Não utilizado
error Erro Indica o erro relatado para a descoberta. String Sim Yes (Sim) Sim

Externo

Interno
principal.AWS Conta da AWS A conta que recebeu acesso ao recurso no campo Principal da descoberta. Insira o ID de 12 dígitos da conta AWS ou o ARN do usuário ou função externa da AWS. Para saber mais, consulte Identificadores de conta da AWS. String Sim Yes (Sim) Sim

Externo
principal.Federated Usuário federado O ARN da identidade federada que tem acesso ao recurso na descoberta. Para saber mais, consulte Federação e provedores de identidade String Sim Yes (Sim) Sim

Externo
condition.aws:PrincipalArn ARN da entidade principal O ARN da entidade principal (usuário, perfil ou grupo do IAM) indicado como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim

Externo
condition.aws:PrincipalOrgID OrgID da entidade principal O identificador da organização do principal indicado como a condição para o acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim

Externo
condition.aws:PrincipalOrgPaths OrgPaths da entidade principal O ID da organização ou da unidade organizacional (UO) indicada como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim

Externo
condition.aws:SourceIp IP de origem O endereço IP que permite ao principal acesso ao recurso ao usar o endereço IP especificado. Para saber mais, consulte Chaves de contexto de condição globais da AWS. Endereço IP Sim Yes (Sim) Sim

Externo
condition.aws:SourceVpc VPC de origem O ID da VPC que permite ao principal acesso ao recurso ao usar a VPC especificada. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim

Externo
condition.aws:UserId ID de usuário O ID do usuário do IAM de uma conta externa indicada como a condição de acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Yes (Sim) Sim

Externo
condition.cognito-identity.amazonaws.com:aud Público do Cognito O ID do grupo de identidades do Amazon Cognito especificado como uma condição para o acesso à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Yes (Sim) Sim

Externo
condition.graph.facebook.com:app_id ID da aplicação do Facebook O ID da aplicação do Facebook (ou o ID do site) especificado como uma condição para permitir o acesso à federação do Login with Facebook à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Yes (Sim) Sim

Externo
condition.accounts.google.com:aud Público do Google O ID da aplicação do Google especificado como uma condição para o acesso à função do IAM. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Yes (Sim) Sim

Externo
condition.kms:CallerAccount ID da chave do KMS O ID da conta da AWS que possui a entidade que faz a chamada (usuário, perfil ou usuário-raiz da conta do IAM) usada por serviços que chamam o AWS KMS. Para saber mais, consulte Chaves de condição para AWS Key Management Service. String Sim Yes (Sim) Sim

Externo
condition.www.amazon.com:app_id ID da aplicação da Amazon O ID da aplicação da Amazon (ou o ID do site) especificada como uma condição para permitir o acesso à federação do Login with Amazon à função. Para saber mais, consulte String Sim Yes (Sim) Sim

Externo
id ID da descoberta O ID da descoberta. String No (Não) Yes (Sim) Sim

Externo

Interno

Não utilizado
changeType

CHANGED | NEW | UNCHANGED

 Fornece contexto sobre como a descoberta de pré-visualização de acesso se compara ao acesso existente identificado no IAM Access Analyzer. String No (Não) Não Sim

Externo
existingFindingId O ID existente da descoberta no IAM Access Analyzer, fornecido apenas para descobertas existentes na pré-visualização de acesso. String No (Não) Não Sim

Externo
existingFindingStatus O status existente da descoberta, fornecido apenas para descobertas existentes na pré-visualização de acesso. String No (Não) Não Sim

Externo