IAM Access Analyzer 筛选条件键 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM Access Analyzer 筛选条件键

您可以使用下面的筛选键定义存档规则(CreateArchiveRule)、更新存档规则(UpdateArchiveRule)、检索调查发现列表(ListFindingsListFindingsV2),或检索资源(ListAccessPreviewFindings)的访问预览调查发现列表。使用 IAM API 或是 Amazon CloudFormation 来配置归档规则的操作没有区别。

Criterion 描述 类型 存档规则 列出结果 列出访问预览结果
资源 ARN 唯一标识外部主体有权访问的资源。要了解更多信息,请参阅 Amazon 资源名称 (ARN) 字符串
resourceType

AWS::IAM::Role | AWS::KMS::Key | AWS::Lambda::Function | AWS::Lambda::LayerVersion | AWS::S3::Bucket | AWS::S3Express::DirectoryBucket | AWS::SQS::Queue | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic

外部主体有权访问的资源类型。 字符串
resourceOwnerAccount 拥有资源的 12 位数 Amazon 账户 ID。要了解更多信息,请参阅 Amazon 账户标识符 字符串
isPublic 指示结果是否报告具有允许公共访问的策略的资源。 布尔值
findingType

UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission

结果的类型。对于未使用的访问调查发现,您只能按调查发现类型进行筛选。 字符串
状态

ACTIVE | ARCHIVED | RESOLVED

结果的当前状态。 字符串
error 指示为结果报告的错误。 字符串
principal.AWS 在结果的 Principal 字段中授予对资源访问权限的账户。输入外部 Amazon 用户或角色的 12 位数 Amazon 账户 ID 或 ARN。要了解更多信息,请参阅 Amazon 账户标识符 字符串
principal.Federated 有权访问结果中资源的联合身份的 ARN。要了解更多信息,请参阅身份提供商和联合身份验证 字符串
condition.aws:PrincipalArn 指定作为资源访问条件的主体(IAM 用户、角色或组)的 ARN。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.aws:PrincipalOrgID 指定作为资源访问条件的主体的组织标识符。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.aws:PrincipalOrgPaths 指定作为资源访问条件的组织或组织单元 (OU) 的 ID。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.aws:SourceIp 允许主体在使用指定 IP 地址时访问资源的 IP 地址。要了解更多信息,请参阅 Amazon 全局条件上下文键 IP 地址
condition.aws:SourceVpc 允许主体在使用指定 VPC 时访问资源的 VPC ID。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.aws:UserId 外部账户中 IAM 用户的用户 ID,该用户指定作为访问资源的条件。要了解更多信息,请参阅 Amazon 全局条件上下文键 字符串
condition.cognito-identity.amazonaws.com:aud Amazon Cognito 身份池 ID,指定作为结果中 IAM 角色访问的条件。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 字符串
condition.graph.facebook.com:app_id 将 Facebook 应用程序 ID(或网站 ID)指定作为条件,用于允许对结果中 IAM 角色的“用 Facebook 登录”联合身份访问。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 字符串
condition.accounts.google.com:aud 指定作为访问 IAM 角色的条件的 Google 应用程序 ID。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 字符串
condition.kms:CallerAccount 拥有调用实体的 Amazon 账户 ID(IAM 用户、角色或根用户),调用 Amazon KMS 的服务使用该账户。要了解更多信息,请参阅 Amazon Key Management Service 的条件键 字符串
condition.www.amazon.com:app_id 将 Amazon 应用程序 ID(或网站 ID)指定作为条件,用于允许对角色的“Login with Amazon”联合身份访问。要了解更多信息,请参阅 字符串
id 结果的 ID。 字符串
changeType 提供有关访问预览查找结果如何与 IAM Access Analyzer 中标识的现有访问进行比较的上下文。 字符串
existingFindingId IAM Access Analyzer 中查找结果的现有 ID,仅为访问预览中的现有查找结果提供。 字符串
existingFindingStatus 查找结果的现有状态,仅为访问预览中的现有调查结果提供。 字符串