# IAM Access Analyzer 筛选条件键 您可以使用下面的筛选键定义存档规则([https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CreateArchiveRule.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CreateArchiveRule.html))、更新存档规则([https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_UpdateArchiveRule.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_UpdateArchiveRule.html))、检索调查发现列表([https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindings.html) 和 [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindingsV2.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindingsV2.html)),或检索资源([https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAccessPreviewFindings.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAccessPreviewFindings.html))的访问预览调查发现列表。使用 IAM API 或是 CloudFormation 来配置归档规则的操作没有区别。 | **Criterion** | **AWS 管理控制台字段** | **描述** | **Type** | **存档规则** | **列出结果** | **列出访问预览结果** | **支持的分析器类型** | | --- | --- | --- | --- | --- | --- | --- | --- | | 资源 | 资源 | ARN 唯一标识外部主体有权访问的资源。要了解更多信息,请参阅 [Amazon 资源名称 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal未使用 | | resourceType `AWS::S3::Bucket` \$1 `AWS::IAM::Role` \$1 `AWS::SQS::Queue` \$1 `AWS::Lambda::Function` \$1 `AWS::Lambda::LayerVersion` \$1`AWS::KMS::Key` \$1 `AWS::SecretsManager::Secret` \$1 `AWS::EFS::FileSystem` \$1 `AWS::EC2::Snapshot` \$1 `AWS::ECR::Repository` \$1 `AWS::RDS::DBSnapshot` \$1 `AWS::RDS::DBClusterSnapshot` \$1 `AWS::SNS::Topic` \$1 `AWS::S3Express::DirectoryBucket` \$1 `AWS::DynamoDB::Table` \$1 `AWS::DynamoDB::Stream` \$1 `AWS::IAM::User` | 资源类型 | 外部主体有权访问的资源类型。 内部访问分析器并不支持外部访问分析器支持的所有资源类型。未使用的访问分析器仅支持 IAM 用户和角色。有关更多信息,请参阅 [IAM Access Analyzer 支持的外部和内部访问资源类型](access-analyzer-resources.md)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal未使用 | | resourceOwnerAccount | 资源所有者账户 | 拥有资源的 12 位数 AWS 账户 ID。要了解更多信息,请参阅 [AWS 账户标识符](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal未使用 | | isPublic | 公有访问权限 | 指示结果是否报告具有允许公共访问的策略的资源。 | 布尔值 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | findingType `ExternalAccess` \$1 `UnusedIAMRole` \$1 `UnusedIAMUserAccessKey` \$1 `UnusedIAMUserPassword` \$1 `UnusedPermission` \$1 `InternalAccess` | 调查发现类型 | 结果的类型。对于外部访问分析器,类型为 ExternalAccess。对于未使用的访问分析器,类型可以是 UnusedIAMRole、UnusedIAMUserAccessKey、UnusedIAMUserPassword 或 UnusedPermission。对于内部访问分析器,类型为 InternalAccess。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 Internal未使用 | | resourceControlPolicyRestriction `APPLIED` \$1 `APPLICABLE` \$1 `FAILED_TO_EVALUATE_RCP` \$1 `NOT_APPLICABLE` | 资源控制策略(RCP)限制 | 资源所有者通过 Organizations 资源控制策略(RCP)应用的限制类型。有关此筛选条件键值的更多信息,请参阅《IAM Access Analyzer API 参考》中的 [ExternalAccessDetails](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ExternalAccessDetails.html) 和 [InternalAccessDetails](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_InternalAccessDetails.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal | | serviceControlPolicyRestriction `APPLIED` \$1 `APPLICABLE` \$1 `FAILED_TO_EVALUATE_SCP` \$1 `NOT_APPLICABLE` | 服务控制策略 (SCP) 限制 | Organizations 服务控制策略 (SCP) 应用的限制类型。有关此筛选条件键值的更多信息,请参阅《IAM Access Analyzer API 参考》中的 [InternalAccessDetails](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_InternalAccessDetails.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | Internal | | 状态 `ACTIVE` \$1 `ARCHIVED` \$1 `RESOLVED` | 状态 | 结果的当前状态。 | 字符串 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-no.png)否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal未使用 | | error | 错误 | 指示为结果报告的错误。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal | | principal.AWS | AWS 账户 | 在结果的 Principal 字段中授予对资源访问权限的账户。输入外部 AWS 用户或角色的 12 位数 AWS 账户 ID 或 ARN。要了解更多信息,请参阅 [AWS 账户标识符](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | principal.Federated | 联合用户 | 有权访问结果中资源的联合身份的 ARN。要了解更多信息,请参阅[身份提供商和联合身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.aws:PrincipalArn | 主体 ARN | 指定作为资源访问条件的主体(IAM 用户、角色或组)的 ARN。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.aws:PrincipalOrgID | 主体组织 ID | 指定作为资源访问条件的主体的组织标识符。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.aws:PrincipalOrgPaths | 主体组织路径 | 指定作为资源访问条件的组织或组织单元 (OU) 的 ID。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.aws:SourceIp | 源 IP | 允许主体在使用指定 IP 地址时访问资源的 IP 地址。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | IP 地址 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.aws:SourceVpc | 源 VPC | 允许主体在使用指定 VPC 时访问资源的 VPC ID。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.aws:UserId | 用户 ID | 外部账户中 IAM 用户的用户 ID,该用户指定作为访问资源的条件。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.aws:VpceAccount | VPCE 账户 | 允许主体访问资源的 VPC 端点的账户 ID。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal | | condition.aws:SourceVpcArn | 源 VPC ARN | 允许主体在使用指定 VPC 时访问资源的 VPC ARN。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | ARN | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.aws: vpceorgid | VPCE 组织 ID | 允许主体访问资源的 VPC 端点的组织 ID。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal | | condition.aws:VpceOrgPaths | VPCE 组织路径 | 允许主体访问资源的 VPC 端点的组织单元 (OU)。要了解更多信息,请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串(列表) | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal | | condition.cognito-identity.amazonaws.com:aud | Cognito 受众 | Amazon Cognito 身份池 ID,指定作为结果中 IAM 角色访问的条件。要了解更多信息,请参阅 [IAM 和 AWS STS 条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.graph.facebook.com:app\$1id | Facebook 应用程序 ID | 将 Facebook 应用程序 ID(或网站 ID)指定作为条件,用于允许对结果中 IAM 角色的“用 Facebook 登录”联合身份访问。要了解更多信息,请参阅 [IAM 和 AWS STS 条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.accounts.google.com:aud | Google 受众 | 指定作为访问 IAM 角色的条件的 Google 应用程序 ID。要了解更多信息,请参阅 [IAM 和 AWS STS 条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.kms:CallerAccount | KMS 密钥 ID | 拥有调用实体的 AWS 账户 ID(IAM 用户、角色或根用户),调用 AWS KMS 的服务使用该账户。要了解更多信息,请参阅 [AWS Key Management Service 的条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys)。 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | condition.www.amazon.com:app\$1id | Amazon 应用程序 ID | 将 Amazon 应用程序 ID(或网站 ID)指定作为条件,用于允许对角色的“Login with Amazon”联合身份访问。要了解更多信息,请参阅 | 字符串 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | id | 调查发现 ID | 结果的 ID。 | 字符串 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-no.png)否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部Internal未使用 | | changeType `CHANGED` \$1 `NEW` \$1 `UNCHANGED` | | 提供有关访问预览查找结果如何与 IAM Access Analyzer 中标识的现有访问进行比较的上下文。 | 字符串 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-no.png)否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-no.png)否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | existingFindingId | | IAM Access Analyzer 中查找结果的现有 ID,仅为访问预览中的现有查找结果提供。 | 字符串 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-no.png)否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-no.png)否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 | | existingFindingStatus | | 查找结果的现有状态,仅为访问预览中的现有调查结果提供。 | 字符串 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-no.png)否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-no.png)否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/images/icon-yes.png) 是 | 外部 |