IAM Access Analyzer 筛选条件键 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM Access Analyzer 筛选条件键

您可以使用下面的筛选键定义存档规则 CreateArchiveRule、更新存档规则 UpdateArchiveRule、检索结果列表 ListFindings,或检索资源 ListAccessPreviewFindings 的访问预览结果列表。使用 IAM API 或是 Amazon CloudFormation 来配置归档规则的操作没有区别。

Criterion 描述 Type 存档规则 列出结果 列出访问预览结果
资源 ARN 唯一标识外部主体有权访问的资源。要了解更多信息,请参阅 Amazon 资源名称 (ARN) 字符串
resourceType

AWS::IAM::Role | AWS::KMS::Key | AWS::Lambda::Function | AWS::Lambda::LayerVersion | AWS::S3::Bucket | AWS::SQS::Queue | AWS::SecretsManager::Secret

外部主体有权访问的资源类型。 字符串
resourceOwnerAccount 拥有资源的 12 位数 Amazon 账户 ID。要了解更多信息,请参阅 Amazon 账户标识符 字符串
isPublic 指示结果是否报告具有允许公共访问的策略的资源。 布尔值
状态

ACTIVE | ARCHIVED | RESOLVED

结果的当前状态。 字符串
error 指示为结果报告的错误。 字符串
principal.AWS 在结果的 Principal 字段中授予对资源访问权限的账户。输入外部 Amazon 用户或角色的 12 位数 Amazon 账户 ID 或 ARN。要了解更多信息,请参阅 Amazon 账户标识符 字符串
principal.Federated 有权访问结果中资源的联合身份的 ARN。要了解更多信息,请参阅身份提供商和联合身份验证 字符串
condition.aws:PrincipalArn 指定作为资源访问条件的主体(IAM 用户、角色或组)的 ARN。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.aws:PrincipalOrgID 指定作为资源访问条件的主体的组织标识符。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.aws:PrincipalOrgPaths 指定作为资源访问条件的组织或组织单元 (OU) 的 ID。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.aws:SourceIp 允许主体在使用指定 IP 地址时访问资源的 IP 地址。要了解更多信息,请参阅 Amazon 全局条件上下文键 IP 地址
condition.aws:SourceVpc 允许主体在使用指定 VPC 时访问资源的 VPC ID。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.aws:UserId 外部账户中 IAM 用户的用户 ID,该用户指定作为访问资源的条件。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.cognito-identity.amazonaws.com:aud Amazon Cognito 身份池 ID,指定作为结果中 IAM 角色访问的条件。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 字符串
condition.graph.facebook.com:app_id 将 Facebook 应用程序 ID(或网站 ID)指定作为条件,用于允许对结果中 IAM 角色的“用 Facebook 登录”联合身份访问。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 字符串
condition.accounts.google.com:aud 指定作为访问 IAM 角色的条件的 Google 应用程序 ID。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 字符串
condition.kms:CallerAccount 拥有调用实体的 Amazon 账户 ID(IAM 用户、角色或根用户),调用 Amazon KMS 的服务使用该账户。要了解更多信息,请参阅 Amazon Key Management Service 的条件键 字符串
condition.www.amazon.com:app_id 将 Amazon 应用程序 ID(或网站 ID)指定作为条件,用于允许对角色的“Login with Amazon”联合身份访问。要了解更多信息,请参阅 字符串
id 结果的 ID。 字符串
changeType 提供有关访问预览查找结果如何与 IAM Access Analyzer 中标识的现有访问进行比较的上下文。 字符串
existingFindingId IAM Access Analyzer 中查找结果的现有 ID,仅为访问预览中的现有查找结果提供。 字符串
existingFindingStatus 查找结果的现有状态,仅为访问预览中的现有调查结果提供。 字符串