IAM Access Analyzer 篩選鍵 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM Access Analyzer 篩選鍵

您可以使用下列篩選鍵來定義封存規則 (CreateArchiveRule)、更新封存規則 (UpdateArchiveRule)、擷取調查結果列表 (ListFindingsListFindingsV2) 或擷取資源的存取預覽調查結果列表 (ListAccessPreviewFindings)。使用 IAM API 和 AWS CloudFormation 設定封存規則之間沒有差異。

Criterion AWS Management Console 欄位 Description (描述) 類型 封存規則 列出問題清單 列出存取預覽問題清單 支援的分析器類型
資源 Resource ARN 唯一識別外部主體可存取的資源。若要進一步了解,請參閱 Amazon 資源名稱 (ARN) 字串

外部

內部 (Internal)

未使用的
resourceType

AWS::S3::Bucket | AWS::IAM::Role | AWS::SQS::Queue | AWS::Lambda::Function | AWS::Lambda::LayerVersion |AWS::KMS::Key | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::S3Express::DirectoryBucket | AWS::DynamoDB::Table | AWS::DynamoDB::Stream | AWS::IAM::User

 資源類型

外部主體可存取的資源類型。

注意

內部存取分析器不支援外部存取分析器支援的所有資源類型。未使用的存取權分析器僅支援 IAM 使用者和角色。如需詳細資訊,請參閱IAM Access Analyzer 支援的外部和內部存取資源類型

 字串

外部

內部 (Internal)

未使用的
resourceOwnerAccount 資源擁有者帳戶 擁有資源的 12 位數 AWS 帳戶 ID。若要進一步了解,請參閱 AWS 帳戶識別碼 字串

外部

內部 (Internal)

未使用的
isPublic 公用存取 指出問題清單是否回報一具有允許公有存取之政策的資源。 Boolean

外部
findingType

ExternalAccess | UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission | InternalAccess

 調查結果類型 問題清單的類型。對於外部存取分析器,類型為 ExternalAccess。對於未使用的存取分析器,類型可以是 UnusedIAMRoleUnusedIAMUserPasswordUnusedIAMUserAccessKeyUnusedPermission。對於內部存取分析器,類型為 InternalAccess 字串

外部

內部 (Internal)

未使用的
resourceControlPolicyRestriction

APPLIED | APPLICABLE | FAILED_TO_EVALUATE_RCP | NOT_APPLICABLE

 資源控制政策 (RCP) 限制 資源擁有者使用 Organizations 資源控制政策 (RCP) 套用的限制類型。如需此篩選金鑰值的詳細資訊,請參閱《IAM Access Analyzer API 參考》中的 ExternalAccessDetailsInternalAccessDetails 字串

外部

內部 (Internal)
serviceControlPolicyRestriction

APPLIED | APPLICABLE | FAILED_TO_EVALUATE_SCP | NOT_APPLICABLE

 服務控制政策 (SCP) 限制 Organizations 服務控制政策 (SCP) 套用的限制類型。如需此篩選金鑰值的詳細資訊,請參閱《IAM Access Analyzer API 參考》中的 InternalAccessDetails 字串

內部 (Internal)
status

ACTIVE | ARCHIVED | RESOLVED

 狀態 問題清單的目前狀態。 字串

外部

內部 (Internal)

未使用的
error 錯誤 指出針對問題清單所報告的錯誤。 字串

外部

內部 (Internal)
principal.AWS AWS 帳戶 已授與問題清單 Principal 欄位中資源存取的帳戶。輸入 12 位數 AWS 的帳戶 ID 或外部 AWS 使用者或角色的 ARN。若要進一步了解,請參閱 AWS 帳戶識別碼 字串

外部
principal.Federated 聯合身分使用者 可存取問題清單中資源的聯合身分 ARN。若要進一步了解,請參閱身分身分提供者與聯合 字串

外部
condition.aws:PrincipalArn 委託人 ARN 表示為資源存取條件的主體 (IAM 使用者、角色或群組) 之 ARN。若要進一步了解,請參閱 AWS 全域條件內容鍵 字串

外部
condition.aws:PrincipalOrgID 委託人OrgID 表示為資源存取條件的主體組織識別碼。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串

外部
condition.aws:PrincipalOrgPaths 委託人OrgPaths 表示為資源存取條件的組織或組織單位 (OU) ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串

外部
condition.aws:SourceIp 來源 IP 使用指定的 IP 地址時,允許主體存取資源的 IP 地址。若要進一步了解,請參閱 AWS 全域條件內容金鑰 IP 地址

外部
condition.aws:SourceVpc 來源 VPC 使用指定 VPC 時,允許主體存取資源的 VPC ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串

外部
condition.aws:UserId 使用者 ID 表示為存取資源條件且來自外部帳戶的 IAM 使用者之使用者 ID。若要進一步了解,請參閱 AWS 全域條件內容金鑰 字串

外部
condition.cognito-identity.amazonaws.com:aud Cognito 對象 指定為問題清單中 IAM 角色存取條件的 Amazon Cognito 身分集區 ID。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容索引鍵 字串

外部
condition.graph.facebook.com:app_id Facebook 應用程式 ID 指定為允許以 Facebook 聯合身分存取問題清單中 IAM 角色之條件的 Facebook 應用程式 ID (或網站 ID )。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容索引鍵 字串

外部
condition.accounts.google.com:aud Google 對象 指定為存取 IAM 角色之條件的 Google 應用程式 ID。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容索引鍵 字串

外部
condition.kms:CallerAccount KMS 金鑰 ID 擁有 服務呼叫所使用的呼叫實體 (IAM 使用者、角色或帳戶根使用者) AWS 的帳戶 ID AWS KMS。若要進一步了解,請參閱 的條件索引鍵 AWS Key Management Service 字串

外部
condition.www.amazon.com:app_id Amazon 應用程式 ID 指定為允許使用 Login with Amazon 聯合存取角色之條件的 Amazon 應用程式 ID (或網站 ID)。如需進一步了解,請參閱 字串

外部
id 問題清單 ID 問題清單的 ID。 字串

外部

內部 (Internal)

未使用的
ChangeType

CHANGED | NEW | UNCHANGED

 提供對存取預覽問題清單與 IAM Access Analyzer 中所識別的現有存取進行比較的內容。 字串

外部
existingFindingId IAM Access Analyzer 中問題清單的現有 ID,僅針對存取預覽中現有的問題清單提供。 字串

外部
existingFindingStatus Access Analyzer 中問題清單的現有狀態,僅針對存取預覽中現有的問題清單提供。 字串

外部