Access Analyzer 筛选条件键 - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Access Analyzer 筛选条件键

您可以使用下面的筛选键定义存档规则 CreateArchiveRule、更新存档规则 UpdateArchiveRule 或者检索结果列表 ListFindings

Criterion 说明 类型 存档规则 列出结果
资源 ARN 唯一标识外部委托人有权访问的资源。要了解更多信息,请参阅 Amazon 资源名称 (ARN) 字符串
resourceType

AWS::IAM::Role | AWS::KMS::Key | AWS::Lambda::Function | AWS::Lambda::LayerVersion | AWS::S3::Bucket | AWS::SQS::Queue

外部委托人有权访问的资源类型。 字符串
resourceOwnerAccount 拥有资源的 12 位数 AWS 账户 ID。要了解更多信息,请参阅 AWS 账户标识符 字符串
isPublic 指示结果是否报告具有允许公共访问的策略的资源。 Boolean
status

ACTIVE | ARCHIVED | RESOLVED

结果的当前状态。 字符串
error 指示为结果报告的错误。 字符串
principal.AWS 在结果的 Principal 字段中授予对资源访问权限的账户的 ARN。要了解更多信息,请参阅 AWS 账户标识符 字符串
principal.Federated 有权访问结果中资源的联合身份的 ARN。要了解更多信息,请参阅身份提供商和联合身份验证 字符串
condition.aws:PrincipalArn 指定作为资源访问条件的委托人(IAM 用户、角色或组)的 ARN。要了解更多信息,请参阅 AWS 全局条件上下文键 字符串
condition.aws:PrincipalOrgID 指定作为资源访问条件的委托人的组织标识符。要了解更多信息,请参阅 AWS 全局条件上下文键 字符串
condition.aws:PrincipalOrgPaths 指定作为资源访问条件的组织或组织单元 (OU) 的 ID。要了解更多信息,请参阅 AWS 全局条件上下文键 字符串
condition.aws:SourceIP 允许委托人在使用指定 IP 地址时访问资源的 IP 地址。要了解更多信息,请参阅 AWS 全局条件上下文键 IP 地址
condition.aws:SourceVPC 允许委托人在使用指定 VPC 时访问资源的 VPC ID。要了解更多信息,请参阅 AWS 全局条件上下文键 字符串
condition.aws:UserID 外部账户中 IAM 用户的用户 ID,该用户指定作为访问资源的条件。要了解更多信息,请参阅 AWS 全局条件上下文键 字符串
condition.cognito-identity.amazonaws.com:aud Amazon Cognito 身份池 ID,指定作为结果中 IAM 角色访问的条件。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键 字符串
condition.graph.facebook.com:app_id 将 Facebook 应用程序 ID(或网站 ID)指定作为条件,用于允许对结果中 IAM 角色的“用 Facebook 登录”联合身份访问。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键 字符串
condition.accounts.google.com:aud 指定作为访问 IAM 角色的条件的 Google 应用程序 ID。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键 字符串
condition.kms:CallerAccount 拥有调用实体的 AWS 账户 ID(IAM 用户、角色或根用户),调用 AWS KMS 的服务使用该账户。要了解更多信息,请参阅 AWS Key Management Service 的条件键 字符串
condition.www.amazon.com:app_id 将 Amazon 应用程序 ID(或网站 ID)指定作为条件,用于允许对角色的“Login with Amazon”联合身份访问。要了解更多信息,请参阅 字符串
id 结果的 ID。 字符串