IAM Access Analyzer 筛选条件键

您可以使用下面的筛选键定义存档规则（CreateArchiveRule）、更新存档规则（UpdateArchiveRule）、检索调查发现列表（ListFindings 和 ListFindingsV2），或检索资源（ListAccessPreviewFindings）的访问预览调查发现列表。使用 IAM API 或是 Amazon CloudFormation 来配置归档规则的操作没有区别。

Criterion	Amazon Web Services Management Console字段	描述	类型	存档规则	列出结果	列出访问预览结果
资源	资源	ARN 唯一标识外部主体有权访问的资源。要了解更多信息，请参阅 Amazon 资源名称 (ARN)。	字符串	是	是	是
resourceType `AWS::S3::Bucket` \| `AWS::IAM::Role` \| `AWS::SQS::Queue` \| `AWS::Lambda::Function` \| `AWS::Lambda::LayerVersion` \|`AWS::KMS::Key` \| `AWS::SecretsManager::Secret` \| `AWS::EFS::FileSystem` \| `AWS::EC2::Snapshot` \| `AWS::ECR::Repository` \| `AWS::RDS::DBSnapshot` \| `AWS::RDS::DBClusterSnapshot` \| `AWS::SNS::Topic` \| `AWS::S3Express::DirectoryBucket` \| `AWS::DynamoDB::Table` \| `AWS::DynamoDB::Stream` \| `AWS::IAM::User`	资源类型	外部主体有权访问的资源类型。	字符串	是	是	是
resourceOwnerAccount	资源所有者账户	拥有资源的 12 位数 Amazon 账户 ID。要了解更多信息，请参阅 Amazon 账户标识符。	字符串	是	是	是
isPublic	公有访问权限	指示结果是否报告具有允许公共访问的策略的资源。	布尔值	是	是	是
findingType `UnusedIAMRole` \| `UnusedIAMUserAccessKey` \| `UnusedIAMUserPassword` \| `UnusedPermission`	调查发现类型	结果的类型。对于未使用的访问调查发现，您只能按调查发现类型进行筛选。	字符串	是	是	是
resourceControlPolicyRestriction `APPLICABLE` \| `FAILED_TO_EVALUATE_RCP` \| `NOT_APPLICABLE`	资源控制策略（RCP）限制	资源所有者通过 Organizations 资源控制策略（RCP）应用的限制类型。您只能按调查发现筛选外部访问调查发现。	字符串	是	是	是
状态 `ACTIVE` \| `ARCHIVED` \| `RESOLVED`	状态	结果的当前状态。	字符串	否	是	是
error	错误	指示为结果报告的错误。	字符串	是	是	是
principal.AWS	Amazon 账户	在结果的 `Principal` 字段中授予对资源访问权限的账户。输入外部 Amazon 用户或角色的 12 位数 Amazon 账户 ID 或 ARN。要了解更多信息，请参阅 Amazon 账户标识符。	字符串	是	是	是
principal.Federated	联合用户	有权访问结果中资源的联合身份的 ARN。要了解更多信息，请参阅身份提供商和联合身份验证。	字符串	是	是	是
condition.aws:PrincipalArn	主体 ARN	指定作为资源访问条件的主体（IAM 用户、角色或组）的 ARN。要了解更多信息，请参阅 Amazon 全局条件上下文键。	字符串	是	是	是
condition.aws:PrincipalOrgID	主体组织 ID	指定作为资源访问条件的主体的组织标识符。要了解更多信息，请参阅 Amazon 全局条件上下文键。	字符串	是	是	是
condition.aws:PrincipalOrgPaths	主体组织路径	指定作为资源访问条件的组织或组织单元 (OU) 的 ID。要了解更多信息，请参阅 Amazon 全局条件上下文键。	字符串	是	是	是
condition.aws:SourceIp	源 IP	允许主体在使用指定 IP 地址时访问资源的 IP 地址。要了解更多信息，请参阅 Amazon 全局条件上下文键。	IP 地址	是	是	是
condition.aws:SourceVpc	源 VPC	允许主体在使用指定 VPC 时访问资源的 VPC ID。要了解更多信息，请参阅 Amazon 全局条件上下文键。	字符串	是	是	是
condition.aws:UserId	用户 ID	外部账户中 IAM 用户的用户 ID，该用户指定作为访问资源的条件。要了解更多信息，请参阅 Amazon 全局条件上下文键。	字符串	是	是	是
condition.cognito-identity.amazonaws.com:aud	Cognito 受众	Amazon Cognito 身份池 ID，指定作为结果中 IAM 角色访问的条件。要了解更多信息，请参阅 IAM 和 Amazon STS 条件上下文键。	字符串	是	是	是
condition.graph.facebook.com:app_id	Facebook 应用程序 ID	将 Facebook 应用程序 ID（或网站 ID）指定作为条件，用于允许对结果中 IAM 角色的“用 Facebook 登录”联合身份访问。要了解更多信息，请参阅 IAM 和 Amazon STS 条件上下文键。	字符串	是	是	是
condition.accounts.google.com:aud	Google 受众	指定作为访问 IAM 角色的条件的 Google 应用程序 ID。要了解更多信息，请参阅 IAM 和 Amazon STS 条件上下文键。	字符串	是	是	是
condition.kms:CallerAccount	KMS 密钥 ID	拥有调用实体的 Amazon 账户 ID（IAM 用户、角色或根用户），调用 Amazon KMS 的服务使用该账户。要了解更多信息，请参阅 Amazon Key Management Service 的条件键。	字符串	是	是	是
condition.www.amazon.com:app_id	Amazon 应用程序 ID	将 Amazon 应用程序 ID（或网站 ID）指定作为条件，用于允许对角色的“Login with Amazon”联合身份访问。要了解更多信息，请参阅	字符串	是	是	是
id	调查发现 ID	结果的 ID。	字符串	否	是	是
changeType `CHANGED` \| `NEW` \| `UNCHANGED`		提供有关访问预览查找结果如何与 IAM Access Analyzer 中标识的现有访问进行比较的上下文。	字符串	否	否	是
existingFindingId		IAM Access Analyzer 中查找结果的现有 ID，仅为访问预览中的现有查找结果提供。	字符串	否	否	是
existingFindingStatus		查找结果的现有状态，仅为访问预览中的现有调查结果提供。	字符串	否	否	是

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用 Cloudtrail 进行日志记录

使用服务相关角色