IAM Access Analyzer 筛选条件键
您可以使用下面的筛选键定义存档规则(CreateArchiveRule)、更新存档规则(UpdateArchiveRule)、检索调查发现列表(ListFindings 和 ListFindingsV2),或检索资源(ListAccessPreviewFindings)的访问预览调查发现列表。使用 IAM API 或是 AWS CloudFormation 来配置归档规则的操作没有区别。
| Criterion | AWS Management Console字段 | 描述 | 类型 | 存档规则 | 列出结果 | 列出访问预览结果 | 支持的分析器类型 |
|---|---|---|---|---|---|---|---|
| 资源 | 资源 | ARN 唯一标识外部主体有权访问的资源。要了解更多信息,请参阅 Amazon 资源名称 (ARN)。 | 字符串 | 外部 Internal 未使用 |
|||
| resourceType
|
资源类型 | 外部主体有权访问的资源类型。 注意内部访问分析器并不支持外部访问分析器支持的所有资源类型。未使用的访问分析器仅支持 IAM 用户和角色。有关更多信息,请参阅 IAM Access Analyzer 支持的外部和内部访问资源类型。 |
字符串 | 外部 Internal 未使用 |
|||
| resourceOwnerAccount | 资源所有者账户 | 拥有资源的 12 位数 AWS 账户 ID。要了解更多信息,请参阅 AWS 账户标识符。 | 字符串 | 外部 Internal 未使用 |
|||
| isPublic | 公有访问权限 | 指示结果是否报告具有允许公共访问的策略的资源。 | 布尔值 | 外部 |
|||
| findingType
|
调查发现类型 | 结果的类型。对于外部访问分析器,类型为 ExternalAccess。对于未使用的访问分析器,类型可以是 UnusedIAMRole、UnusedIAMUserAccessKey、UnusedIAMUserPassword 或 UnusedPermission。对于内部访问分析器,类型为 InternalAccess。 |
字符串 | 外部 Internal 未使用 |
|||
| resourceControlPolicyRestriction
|
资源控制策略(RCP)限制 | 资源所有者通过 Organizations 资源控制策略(RCP)应用的限制类型。有关此筛选条件键值的更多信息,请参阅《IAM Access Analyzer API 参考》中的 ExternalAccessDetails 和 InternalAccessDetails。 | 字符串 | 外部 Internal |
|||
| serviceControlPolicyRestriction
|
服务控制策略 (SCP) 限制 | Organizations 服务控制策略 (SCP) 应用的限制类型。有关此筛选条件键值的更多信息,请参阅《IAM Access Analyzer API 参考》中的 InternalAccessDetails。 | 字符串 | Internal |
|||
| 状态
|
状态 | 结果的当前状态。 | 字符串 | 外部 Internal 未使用 |
|||
| error | 错误 | 指示为结果报告的错误。 | 字符串 | 外部 Internal |
|||
| principal.AWS | AWS 账户 | 在结果的 Principal 字段中授予对资源访问权限的账户。输入外部 AWS 用户或角色的 12 位数 AWS 账户 ID 或 ARN。要了解更多信息,请参阅 AWS 账户标识符。 |
字符串 | 外部 |
|||
| principal.Federated | 联合用户 | 有权访问结果中资源的联合身份的 ARN。要了解更多信息,请参阅身份提供商和联合身份验证。 | 字符串 | 外部 |
|||
| condition.aws:PrincipalArn | 主体 ARN | 指定作为资源访问条件的主体(IAM 用户、角色或组)的 ARN。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 | 外部 |
|||
| condition.aws:PrincipalOrgID | 主体组织 ID | 指定作为资源访问条件的主体的组织标识符。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 | 外部 |
|||
| condition.aws:PrincipalOrgPaths | 主体组织路径 | 指定作为资源访问条件的组织或组织单元 (OU) 的 ID。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 | 外部 |
|||
| condition.aws:SourceIp | 源 IP | 允许主体在使用指定 IP 地址时访问资源的 IP 地址。要了解更多信息,请参阅 AWS 全局条件上下文键。 | IP 地址 | 外部 |
|||
| condition.aws:SourceVpc | 源 VPC | 允许主体在使用指定 VPC 时访问资源的 VPC ID。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 | 外部 |
|||
| condition.aws:UserId | 用户 ID | 外部账户中 IAM 用户的用户 ID,该用户指定作为访问资源的条件。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 | 外部 |
|||
| condition.cognito-identity.amazonaws.com:aud | Cognito 受众 | Amazon Cognito 身份池 ID,指定作为结果中 IAM 角色访问的条件。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键。 | 字符串 | 外部 |
|||
| condition.graph.facebook.com:app_id | Facebook 应用程序 ID | 将 Facebook 应用程序 ID(或网站 ID)指定作为条件,用于允许对结果中 IAM 角色的“用 Facebook 登录”联合身份访问。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键。 | 字符串 | 外部 |
|||
| condition.accounts.google.com:aud | Google 受众 | 指定作为访问 IAM 角色的条件的 Google 应用程序 ID。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键。 | 字符串 | 外部 |
|||
| condition.kms:CallerAccount | KMS 密钥 ID | 拥有调用实体的 AWS 账户 ID(IAM 用户、角色或根用户),调用 AWS KMS 的服务使用该账户。要了解更多信息,请参阅 AWS Key Management Service 的条件键。 | 字符串 | 外部 |
|||
| condition.www.amazon.com:app_id | Amazon 应用程序 ID | 将 Amazon 应用程序 ID(或网站 ID)指定作为条件,用于允许对角色的“Login with Amazon”联合身份访问。要了解更多信息,请参阅 | 字符串 | 外部 |
|||
| id | 调查发现 ID | 结果的 ID。 | 字符串 | 外部 Internal 未使用 |
|||
| changeType
|
提供有关访问预览查找结果如何与 IAM Access Analyzer 中标识的现有访问进行比较的上下文。 | 字符串 | 外部 |
||||
| existingFindingId | IAM Access Analyzer 中查找结果的现有 ID,仅为访问预览中的现有查找结果提供。 | 字符串 | 外部 |
||||
| existingFindingStatus | 查找结果的现有状态,仅为访问预览中的现有调查结果提供。 | 字符串 | 外部 |
