# 筛选 IAM Access Analyzer 调查发现
<a name="access-analyzer-findings-filter"></a>

调查发现页面的默认筛选是显示所有活跃调查发现。要查看所有调查发现，请从**状态**下拉列表中选择**全部**。要查看已存档的调查发现，请选择**已存档**。要查看已解决的调查发现，请选择**已解决**。首次开始使用 IAM Access Analyzer 时，没有已存档的结果。

使用筛选条件仅显示符合指定属性条件的调查发现。要创建筛选条件，请选择要筛选的属性，然后选择该属性是否等于或包含一个值，然后输入或选择要筛选的属性值。

有关可用于创建或更新存档规则的筛选条件键的列表，请参阅 [IAM Access Analyzer 筛选条件键](access-analyzer-reference-filter-keys.md)。

## 筛选含活跃调查发现的资源
<a name="access-analyzer-findings-filter-resource"></a>

您可以按资源查看和筛选最多一个外部访问分析器和最多一个内部访问分析器的活跃调查发现。

**筛选含活跃调查发现的资源**

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 选择**资源分析**。

1. 要按资源名称进行筛选，请在搜索框中键入全部或部分资源名称。

1. 在**筛选访问类型**下拉列表中，选择访问类型：
   + **所有类型** – 显示含所有类型调查发现的资源。
   + **公共访问** – 仅显示含公共访问调查发现的资源。
   + **外部访问** – 仅显示含外部访问调查发现的资源。
   + **组织的内部访问** – 仅显示含内部访问调查发现的资源。

1. 在**筛选资源类型**下拉列表中，选择一种资源类型以仅显示选定类型的资源。

## 筛选外部访问调查发现
<a name="access-analyzer-findings-filter-external"></a>

**要筛选外部访问调查发现**

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 选择**分析器设置**，然后在**分析器**部分中选择外部访问分析器。

1. 选择**查看调查发现**。

1. 选择搜索框以显示可用属性列表。

1. 请选择要用于筛选所显示结果的属性。

1. 为该属性选择要匹配的值。仅显示具有该结果中的值的结果。

   例如，选择**资源**作为属性，然后选择 **Resource:**，键入存储桶的部分或全部名称，并按 Enter。仅显示与筛选条件匹配的存储桶的调查发现。要创建一个筛选条件，仅显示允许公开访问的资源的调查发现，请选择 **Public access**（公开访问）属性，然后选择 **Public access = **，然后选择 **Public access = true**。

您可以添加其他属性来进一步筛选显示的结果。在添加其他属性时，仅显示与筛选器中的所有条件匹配的结果。无法定义筛选器来显示与一个属性或另一个属性匹配的结果。选择**清除筛选条件**以清除您定义的筛选条件，并显示分析器中具有指定状态的所有调查发现。

仅当您查看将组织作为信任区域的分析器的结果时，某些字段才会显示。

以下属性可用于定义外部访问的筛选条件：
+ **Public access**（公有访问）- 要按结果筛选允许公有访问的资源，请按**公有访问**进行筛选，然后选择 **Public access: true**（公有访问: true）。
+ **Resource**（资源）- 要按资源进行筛选，请键入资源的完整或部分名称。
+ **Resource Type**（资源类型）- 要按资源类型进行筛选，请从显示的列表中选择类型。
+ **Resource Owner Account**（资源所有者账户）：使用此属性按组织中拥有调查发现中报告的资源的账户进行筛选。
+ **资源控制策略限制**：使用此属性按 Organizations 资源控制策略（RCP）所应用的限制类型进行筛选。要了解更多信息，请参阅《AWS Organizations 用户指南》中的 [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
  + **无法评估 RCP**：评估 RCP 时出现错误。
  + **不适用**：没有 RCP 限制此资源或主体。其中还包括尚不支持 RCP 的资源。
  + **适用**：您的组织管理员已经通过影响资源或资源类型的 RCP 设置了限制。请联系您的组织管理员，以获取更多详细信息。
+ **AWS Account**：使用此属性按策略语句的**主体**部分中被授予访问权限的 AWS 账户 进行筛选。要按 AWS 账户 进行筛选，请键入完整或部分 12 位 AWS 账户 ID，或者键入有权访问当前账户中资源的外部 AWS 用户或角色的完整或部分账户 ARN。
+ **Canonical User**（规范用户）：要按规范用户进行筛选，请键入为 Amazon S3 存储桶定义的规范用户 ID。要了解更多信息，请参阅 [AWS 账户标识符](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)。
+ **Federated User**（联合身份用户）- 要按联合身份用户进行筛选，请键入联合身份身份的完整或部分 ARN。要了解更多信息，请参阅[身份提供商和联合身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。
+ **Finding ID**（调查发现 ID）：要按调查发现 ID 进行筛选，请键入完整或部分调查发现 ID。
+ **错误**：要按错误类型进行筛选，请选择**拒绝访问**或**内部错误**。
+ **Principal ARN**（主体 ARN）- 使用此属性可筛选 **aws:PrincipalArn** 条件键中使用的主体（IAM 用户、角色或组）的 ARN。要按主体 ARN 进行筛选，请键入调查发现中报告的外部 AWS 账户 的 IAM 用户、角色或组的完整或部分 ARN。
+ **Principal OrgID**（主体 OrgID）- 要按主体 OrgID 进行筛选，请键入与属于 AWS 企业（指定为结果中的条件）的外部主体关联的企业 ID 的完整或部分内容。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **主体组织路径** – 要按主体组织路径进行筛选，请键入 AWS 组织或组织单位（OU）的完整或部分 ID，该 ID 允许访问属于指定为策略中的条件的组织或 OU 的账户成员的所有外部主体。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **源账户** – 要按源账户进行筛选，请键入与资源关联的完整或部分 AWS 账户 ID，如同 AWS 中的某些跨服务权限中使用的那样。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **Source ARN**（源 ARN）- 要按源 ARN 进行筛选，请键入指定为结果中的条件的完整或部分 ARN。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **Source IP**（源 IP）- 要按源 IP 进行筛选，请键入允许外部实体在使用指定 IP 地址时访问当前账户中的资源的完整或部分 IP 地址。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **源组织 ID** – 要按源组织 ID 进行筛选，请键入与资源关联的完整或部分组织 ID，如同 AWS 中的某些跨服务权限中使用的那样。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **源组织路径** – 要按源组织路径进行筛选，请键入与资源关联的完整或部分组织单位（OU），如同 AWS 中的某些跨服务权限中使用的那样。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **Source VPC**（源 VPC）- 要按源 VPC 进行筛选，请键入允许外部实体在使用指定 VPC 时访问当前账户中的资源的全部或部分 VPC ID。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **源 VPC ARN**：要按源 VPC ARN 进行筛选，请键入允许外部实体在使用指定 VPC 时访问当前账户中资源的全部或部分 VPC ARN。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **源 VPCE** – 要按源 VPCE 进行筛选，请键入完整或部分 VPC 端点 ID，此 ID 允许外部实体在使用指定的 VPC 端点时访问当前账户中的资源。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **VPCE 账户** — 要按照 VPCE 账户进行筛选，请键入拥有 VPC 端点外部实体并允许外部实体访问资源的整个或部分 12 位 AWS 账户 ID。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **VPCE 组织 ID** — 要按照 VPCE 组织 ID 进行筛选，请键入拥有 VPC 端点外部实体并允许外部实体访问资源的整个或部分组织 ID。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **VPCE 组织路径** — 要按照 VPCE 组织路径进行筛选，请键入拥有 VPC 端点外部实体并允许外部实体访问资源的整个或部分的组织单元 (OU)。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **User ID**（用户 ID）：要按用户 ID 进行筛选，请键入外部 AWS 账户 中的完整或部分 IAM 用户的用户 ID，该用户有权访问当前账户中的资源。要了解更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ **KMS Key ID**（KMS 密钥 ID）：要按 KMS 密钥 ID 进行筛选，请键入完整或部分 KMS 密钥的密钥 ID，该密钥被指定为您当前账户中 AWS KMS 加密的 Amazon S3 对象访问的条件。
+ **会话模式** – 要按会话模式筛选 Amazon S3 目录存储桶（`ReadOnly` 或 `ReadWrite`），请键入全部或部分会话模式。要了解更多信息，请参阅《Amazon Simple Storage Service API 参考》中的 [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)。
+ **Google Audience**（Google 受众）- 要按 Google 受众进行筛选，请键入指定为当前账户中的 IAM 角色访问条件的 Google 应用程序 ID 的完整或部分内容。要了解更多信息，请参阅 [IAM 和 AWS STS 条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html)。
+ **Cognito Audience**（Cognito 受众）：要按 Amazon Cognito 受众进行筛选，请键入完整或部分 Amazon Cognito 身份池 ID，该身份池被指定为当前账户中 IAM 角色访问的条件。要了解更多信息，请参阅 [IAM 和 AWS STS 条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html)。
+ **Caller Account**（调用方账户）：拥有或包含调用实体的账户的 AWS 账户 ID，例如 IAM 角色、用户或账户根用户。这将由调用 AWS KMS 的服务使用。要按调用方账户进行筛选，请键入完整或部分 AWS 账户 ID。
+ **Facebook App ID**（Facebook 应用程序 ID）- 要按 Facebook 应用程序 ID 进行筛选，请键入完整或部分 Facebook 应用程序 ID（或站点 ID），此 ID 指定为条件以允许使用 Login with Facebook 联合身份验证访问您当前账户中的 IAM 角色。要了解更多信息，请参阅 [IAM 和 AWS STS 条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#condition-keys-wif)中的 **id** 部分。
+ **Amazon App ID**（Amazon 应用程序 ID）- 要按 Amazon 应用程序 ID 进行筛选，请键入完整或部分 Amazon 应用程序 ID（或站点 ID），此 ID 指定为条件以允许使用“以 Amazon 登录”联合身份验证访问您当前账户中的 IAM 角色。要了解更多信息，请参阅 [IAM 和 AWS STS 条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#condition-keys-wif)中的 **id** 部分。
+ **Lambda Event Source Token**（Lambda 事件源令牌）- 要按随 Alexa 集成传入的 Lambda 事件源令牌进行筛选，请键入完整或部分令牌字符串。

## 筛选内部访问调查发现
<a name="access-analyzer-findings-filter-internal"></a>

**筛选内部访问调查发现**

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 选择**分析器设置**，然后在**分析器**部分中选择内部访问分析器。

1. 选择**查看调查发现**。

1. 选择搜索框以显示可用属性列表。

1. 请选择要用于筛选所显示结果的属性。

1. 为该属性选择要匹配的值。仅显示具有该结果中的值的结果。

   例如，选择**资源**作为属性，然后选择 **Resource:**，键入存储桶的部分或全部名称，并按 Enter。仅显示与筛选条件匹配的存储桶的调查发现。

您可以添加其他属性来进一步筛选显示的结果。在添加其他属性时，仅显示与筛选器中的所有条件匹配的结果。无法定义筛选器来显示与一个属性或另一个属性匹配的结果。选择**清除筛选条件**以清除您定义的筛选条件，并显示分析器中具有指定状态的所有调查发现。

仅当您查看将组织作为信任区域的分析器的结果时，某些字段才会显示。

只有在查看监控内部访问的分析器的调查发现时，才会显示下列字段：
+ **Resource**（资源）- 要按资源进行筛选，请键入资源的完整或部分名称。
+ **Resource Type**（资源类型）- 要按资源类型进行筛选，请从显示的列表中选择类型。
+ **Resource Owner Account**（资源所有者账户）：使用此属性按组织中拥有调查发现中报告的资源的账户进行筛选。
+ **调查发现 ID** – 要按调查发现 ID 进行筛选，请键入完整或部分调查发现 ID。

## 筛选未使用的访问调查发现
<a name="access-analyzer-findings-filter-unused"></a>

**要筛选未使用的访问调查发现**

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 选择**未使用的访问**，然后在**视图分析器**下拉列表中选择分析器。

1. 选择搜索框以显示可用属性列表。

1. 请选择要用于筛选所显示结果的属性。

1. 为该属性选择要匹配的值。仅显示具有该结果中的值的结果。

   例如，选择**调查发现类型**作为属性，然后选择**调查发现类型 =**，再选择**调查发现类型 = 未使用的角色**。仅显示类型为**未使用的角色**的调查发现。

您可以添加其他属性来进一步筛选显示的结果。在添加其他属性时，仅显示与筛选器中的所有条件匹配的结果。无法定义筛选器来显示与一个属性或另一个属性匹配的结果。选择**清除筛选条件**以清除您定义的筛选条件，并显示分析器中具有指定状态的所有调查发现。

只有在查看监控未使用访问的分析器的调查发现时，才会显示下列字段：
+ **调查发现类型** – 要按调查发现类型进行筛选，请按**调查发现类型**进行筛选，然后选择调查发现类型。
+ **Resource**（资源）- 要按资源进行筛选，请键入资源的完整或部分名称。
+ **Resource Type**（资源类型）- 要按资源类型进行筛选，请从显示的列表中选择类型。
+ **Resource Owner Account**（资源所有者账户）：使用此属性按组织中拥有调查发现中报告的资源的账户进行筛选。
+ **调查发现 ID** – 要按调查发现 ID 进行筛选，请键入完整或部分调查发现 ID。