访问 Analyzer 筛选条件键 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

访问 Analyzer 筛选条件键

您可以使用下面的筛选键定义存档规则 CreateArchiveRule、更新存档规则 UpdateArchiveRule、检索结果列表 ListFindings,或检索资源 ListAccessPreviewFindings 的访问预览结果列表。使用 IAM API 或是 Amazon CloudFormation 来配置归档规则的操作没有区别。

Criterion 描述 类型 存档规则 列出结果 列出访问预览结果
资源 ARN 唯一标识外部委托人有权访问的资源。要了解更多信息,请参阅 Amazon 资源名称 (ARN) String
resourceType

AWS::IAM::Role | AWS::KMS::Key | AWS::Lambda::Function | AWS::Lambda::LayerVersion | AWS::S3::Bucket | AWS::SQS::Queue | AWS::SecretsManager::Secret

外部委托人有权访问的资源类型。 String
resourceOwnerAccount 拥有资源的 12 位数 Amazon 账户 ID。要了解更多信息,请参阅 Amazon 账户标识符 String
isPublic 指示结果是否报告具有允许公共访问的策略的资源。 Boolean
status

ACTIVE | ARCHIVED | RESOLVED

结果的当前状态。 String
错误消息 指示为结果报告的错误。 String
principal.AWS 在结果的 Principal 字段中授予对资源访问权限的账户的 ARN。要了解更多信息,请参阅 Amazon 账户标识符 String
principal.Federated 有权访问结果中资源的联合身份的 ARN。要了解更多信息,请参阅身份提供商和联合身份验证 String
condition.aws:PrincipalArn 指定作为资源访问条件的委托人(IAM 用户、角色或组)的 ARN。要了解更多信息,请参阅 Amazon 全局条件上下文键 String
condition.aws:PrincipalOrgID 指定作为资源访问条件的委托人的组织标识符。要了解更多信息,请参阅 Amazon 全局条件上下文键 String
condition.aws:PrincipalOrgPaths 指定作为资源访问条件的组织或组织单元 (OU) 的 ID。要了解更多信息,请参阅 Amazon 全局条件上下文键 String
condition.aws:SourceIp 允许委托人在使用指定 IP 地址时访问资源的 IP 地址。要了解更多信息,请参阅 Amazon 全局条件上下文键 IP 地址
condition.aws:SourceVpc 允许委托人在使用指定 VPC 时访问资源的 VPC ID。要了解更多信息,请参阅 Amazon 全局条件上下文键 String
condition.aws:UserId 外部账户中 IAM 用户的用户 ID,该用户指定作为访问资源的条件。要了解更多信息,请参阅 Amazon 全局条件上下文键 String
condition.cognito-identity.amazonaws.com:aud Amazon Cognito 身份池 ID,指定作为结果中 IAM 角色访问的条件。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 String
condition.graph.facebook.com:app_id 将 Facebook 应用程序 ID(或网站 ID)指定作为条件,用于允许对结果中 IAM 角色的“用 Facebook 登录”联合身份访问。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 String
condition.accounts.google.com:aud 指定作为访问 IAM 角色的条件的 Google 应用程序 ID。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键 String
condition.kms:CallerAccount 拥有调用实体的 Amazon 账户 ID(IAM 用户、角色或根用户),调用 Amazon KMS 的服务使用该账户。要了解更多信息,请参阅 Amazon Key Management Service 的条件键 String
condition.www.amazon.com:app_id 将 Amazon 应用程序 ID(或网站 ID)指定作为条件,用于允许对角色的“Login with Amazon”联合身份访问。要了解更多信息,请参阅 String
id 结果的 ID。 String
changeType 提供有关访问预览查找结果如何与 Access Analyzer 中标识的现有访问进行比较的上下文。 String
existingFindingId Access Analyzer 中查找结果的现有 ID,仅为访问预览中的现有查找结果提供。 String
existingFindingStatus 查找结果的现有状态,仅为访问预览中的现有调查结果提供。 String