IAM Access Analyzer 篩選鍵
您可以使用下列篩選鍵來定義封存規則 (CreateArchiveRule)、更新封存規則 (UpdateArchiveRule)、擷取調查結果列表 (ListFindings 和 ListFindingsV2) 或擷取資源的存取預覽調查結果列表 (ListAccessPreviewFindings)。配置封存規則使用 IAM API 和使用 CloudFormation 之間並無差異。
| Criterion | AWS 管理主控台 欄位 | Description (描述 | 類型 | 封存規則 | 列出問題清單 | 列出存取預覽問題清單 | 支援的分析器類型 |
|---|---|---|---|---|---|---|---|
| 資源 | 資源: | ARN 唯一識別外部主體可存取的資源。若要進一步了解,請參閱 Amazon 資源名稱 (ARN)。 | String | 外部 內部 (Internal) 未使用的 |
|||
| {resourceType}
|
資源類型 | 外部主體可存取的資源類型。 注意內部存取分析器不支援外部存取分析器支援的所有資源類型。未使用的存取權分析器僅支援 IAM 使用者和角色。如需更多詳細資訊,請參閱 IAM Access Analyzer 外部和內部存取支援的資源類型。 |
String | 外部 內部 (Internal) 未使用的 |
|||
| resourceOwnerAccount | 資源擁有者帳戶 | 擁有資源的 12 位數 AWS 帳戶 ID。若要進一步了解,請參閱 AWS 帳戶識別碼。 | String | 外部 內部 (Internal) 未使用的 |
|||
| isPublic | 公用存取 | 指出問題清單是否回報一具有允許公有存取之政策的資源。 | Boolean | 外部 |
|||
| findingType
|
調查結果類型 | 問題清單的類型。對於外部存取分析器,類型為 ExternalAccess。對於未使用的存取分析器,類型可以是 UnusedIAMRole、UnusedIAMUserAccessKey、UnusedIAMUserPassword 或 UnusedPermission。對於內部存取分析器,類型為 InternalAccess。 |
String | 外部 內部 (Internal) 未使用的 |
|||
| resourceControlPolicyRestriction
|
資源控制政策 (RCP) 限制 | 資源擁有者使用 Organizations 資源控制政策 (RCP) 套用的限制類型。如需有關此篩選金鑰的值的詳細資訊,請參閱 IAM Access Analyzer API Reference 中的 ExternalAccessDetails 和 InternalAccessDetails。 | String | 外部 內部 (Internal) |
|||
| serviceControlPolicyRestriction
|
服務控制政策 (SCP) 限制 | Organizations 服務控制政策 (SCP) 套用的限制類型。如需有關此篩選金鑰的值的詳細資訊,請參閱 IAM Access Analyzer API Reference 中的 InternalAccessDetails。 | String | 內部 (Internal) |
|||
| %status
|
Status | 問題清單的目前狀態。 | String | 外部 內部 (Internal) 未使用的 |
|||
| 錯誤: | 錯誤: | 指出針對問題清單所報告的錯誤。 | String | 外部 內部 (Internal) |
|||
| principal.AWS | AWS 帳戶 | 已授與問題清單 Principal 欄位中資源存取的帳戶。輸入 12 位數的 AWS 帳戶 ID 或外部 AWS 使用者或角色的 ARN。若要進一步了解,請參閱 AWS 帳戶識別碼。 |
String | 外部 |
|||
| principal.Federated | 聯合身分使用者 | 可存取問題清單中資源的聯合身分 ARN。若要進一步了解,請參閱身分身分提供者與聯合 | String | 外部 |
|||
| condition.aws:PrincipalArn | 主體 ARN | 表示為資源存取條件的主體 (IAM 使用者、角色或群組) 之 ARN。若要進一步了解,請參閱 AWS 全域條件內容鍵。 | String | 外部 |
|||
| condition.aws:PrincipalOrgID | 主體 OrgID | 表示為資源存取條件的主體組織識別碼。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | String | 外部 |
|||
| condition.aws:PrincipalOrgPaths | 主體 OrgPaths | 表示為資源存取條件的組織或組織單位 (OU) ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | String | 外部 |
|||
| condition.aws:SourceIp | 來源 IP | 使用指定的 IP 地址時,允許主體存取資源的 IP 地址。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | IP 地址 | 外部 |
|||
| condition.aws:SourceVpc | 來源 VPC | 使用指定 VPC 時,允許主體存取資源的 VPC ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | String | 外部 |
|||
| condition.aws:UserId | 使用者 ID – | 表示為存取資源條件且來自外部帳戶的 IAM 使用者之使用者 ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰。 | String | 外部 |
|||
| condition.aws:VpceAccount | VPCE 帳戶 | 允許主體存取資源的 VPC 端點的帳戶 ID。若要進一步了解,請參閱 AWS 全域條件內容鍵。 | String | 外部 內部 (Internal) |
|||
| condition.aws:VpceOrgID | VPCE OrgID | 允許主體存取資源的 VPC 端點的組織 ID。若要進一步了解,請參閱 AWS 全域條件內容鍵。 | String | 外部 內部 (Internal) |
|||
| condition.aws:VpceOrgPaths | VPCE OrgPaths | 允許主體存取資源的 VPC 端點的組織單位。若要進一步了解,請參閱 AWS 全域條件內容鍵。 | 字串 (清單) | 外部 內部 (Internal) |
|||
| condition.cognito-identity.amazonaws.com:aud | Cognito 對象 | 指定為問題清單中 IAM 角色存取條件的 Amazon Cognito 身分集區 ID。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容鍵。 | String | 外部 |
|||
| condition.graph.facebook.com:app_id | Facebook 應用程式 ID | 指定為允許以 Facebook 聯合身分存取問題清單中 IAM 角色之條件的 Facebook 應用程式 ID (或網站 ID )。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容鍵。 | String | 外部 |
|||
| condition.accounts.google.com:aud | Google 對象 | 指定為存取 IAM 角色之條件的 Google 應用程式 ID。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容鍵。 | String | 外部 |
|||
| condition.kms:CallerAccount | KMS 金鑰 ID: | 擁有呼叫 AWS KMS 的服務所使用之呼叫實體 ( IAM 使用者、角色或帳戶根使用者) 的 AWS 帳戶 ID。若要進一步了解,請參閱適用於 AWS Key Management Service 的條件金鑰。 | String | 外部 |
|||
| condition.www.amazon.com:app_id | Amazon 應用程式 ID | 指定為允許使用 Login with Amazon 聯合存取角色之條件的 Amazon 應用程式 ID (或網站 ID)。如需進一步了解,請參閱 | String | 外部 |
|||
| id | 問題清單 ID | 問題清單的 ID。 | String | 外部 內部 (Internal) 未使用的 |
|||
| ChangeType
|
提供對存取預覽問題清單與 IAM Access Analyzer 中所識別的現有存取進行比較的內容。 | String | 外部 |
||||
| existingFindingId | IAM Access Analyzer 中問題清單的現有 ID,僅針對存取預覽中現有的問題清單提供。 | String | 外部 |
||||
| existingFindingStatus | Access Analyzer 中問題清單的現有狀態,僅針對存取預覽中現有的問題清單提供。 | String | 外部 |
