Access Analyzer 筛选条件键
您可以使用下面的筛选键定义存档规则 CreateArchiveRule
、更新存档规则 UpdateArchiveRule
或者检索结果列表 ListFindings
。
Criterion | 说明 | 类型 | 存档规则 | 列出结果 |
---|---|---|---|---|
资源 | ARN 唯一标识外部委托人有权访问的资源。要了解更多信息,请参阅 Amazon 资源名称 (ARN)。 | 字符串 |
|
|
resourceType
|
外部委托人有权访问的资源类型。 | 字符串 |
|
|
resourceOwnerAccount | 拥有资源的 12 位数 AWS 账户 ID。要了解更多信息,请参阅 AWS 账户标识符。 | 字符串 |
|
|
isPublic | 指示结果是否报告具有允许公共访问的策略的资源。 | Boolean |
|
|
status
|
结果的当前状态。 | 字符串 |
|
|
error | 指示为结果报告的错误。 | 字符串 |
|
|
principal.AWS | 在结果的 Principal 字段中授予对资源访问权限的账户的 ARN。要了解更多信息,请参阅 AWS 账户标识符。
|
字符串 |
|
|
principal.Federated | 有权访问结果中资源的联合身份的 ARN。要了解更多信息,请参阅身份提供商和联合身份验证。 | 字符串 |
|
|
condition.aws:PrincipalArn | 指定作为资源访问条件的委托人(IAM 用户、角色或组)的 ARN。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 |
|
|
condition.aws:PrincipalOrgID | 指定作为资源访问条件的委托人的组织标识符。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 |
|
|
condition.aws:PrincipalOrgPaths | 指定作为资源访问条件的组织或组织单元 (OU) 的 ID。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 |
|
|
condition.aws:SourceIP | 允许委托人在使用指定 IP 地址时访问资源的 IP 地址。要了解更多信息,请参阅 AWS 全局条件上下文键。 | IP 地址 |
|
|
condition.aws:SourceVPC | 允许委托人在使用指定 VPC 时访问资源的 VPC ID。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 |
|
|
condition.aws:UserID | 外部账户中 IAM 用户的用户 ID,该用户指定作为访问资源的条件。要了解更多信息,请参阅 AWS 全局条件上下文键。 | 字符串 |
|
|
condition.cognito-identity.amazonaws.com:aud | Amazon Cognito 身份池 ID,指定作为结果中 IAM 角色访问的条件。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键。 | 字符串 |
|
|
condition.graph.facebook.com:app_id | 将 Facebook 应用程序 ID(或网站 ID)指定作为条件,用于允许对结果中 IAM 角色的“用 Facebook 登录”联合身份访问。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键。 | 字符串 |
|
|
condition.accounts.google.com:aud | 指定作为访问 IAM 角色的条件的 Google 应用程序 ID。要了解更多信息,请参阅 IAM 和 AWS STS 条件上下文键。 | 字符串 |
|
|
condition.kms:CallerAccount | 拥有调用实体的 AWS 账户 ID(IAM 用户、角色或根用户),调用 AWS KMS 的服务使用该账户。要了解更多信息,请参阅 AWS Key Management Service 的条件键。 | 字符串 |
|
|
condition.www.amazon.com:app_id | 将 Amazon 应用程序 ID(或网站 ID)指定作为条件,用于允许对角色的“Login with Amazon”联合身份访问。要了解更多信息,请参阅 | 字符串 |
|
|
id | 结果的 ID。 | 字符串 |
|
|