Chaves de filtro do IAM Access Analyzer - AWS Identity and Access Management

Chaves de filtro do IAM Access Analyzer

É possível usar as chaves de filtro abaixo para definir uma regra de arquivamento (CreateArchiveRule), atualizar uma regra de arquivamento (UpdateArchiveRule), recuperar uma lista de descobertas (ListFindings e ListFindingsV2) ou recuperar uma lista de descobertas de pré-visualização de acesso para um recurso (ListAccessPreviewFindings). Não há diferença entre usar a API do IAM e o AWS CloudFormation para configurar regras de arquivamento.

Criterion Campo AWS Management Console Descrição Tipo Regra de arquivamento Listar descobertas Listar descobertas de pré-visualização de acesso
recurso Recurso O ARN identifica exclusivamente o recurso ao qual o principal externo tem acesso. Para saber mais, consulte Nomes de recursos da Amazon (ARNs). String Sim Sim Sim
resourceType

AWS::S3::Bucket | AWS::IAM::Role | AWS::SQS::Queue | AWS::Lambda::Function | AWS::Lambda::LayerVersion |AWS::KMS::Key | AWS::SecretsManager::Secret | AWS::EFS::FileSystem | AWS::EC2::Snapshot | AWS::ECR::Repository | AWS::RDS::DBSnapshot | AWS::RDS::DBClusterSnapshot | AWS::SNS::Topic | AWS::S3Express::DirectoryBucket | AWS::DynamoDB::Table | AWS::DynamoDB::Stream | AWS::IAM::User

Tipo de recurso O tipo de recurso ao qual o principal externo tem acesso. String Sim Sim Sim
resourceOwnerAccount Conta proprietária do recurso O ID de 12 dígitos da conta da AWS que possui o recurso. Para saber mais, consulte Identificadores de conta da AWS. String Sim Sim Sim
isPublic Acesso público Indica se a descoberta relata um recurso que tem uma política que permite o acesso público. Booliano Sim Sim Sim
findingType

UnusedIAMRole | UnusedIAMUserAccessKey | UnusedIAMUserPassword | UnusedPermission

Tipo de descoberta O tipo da descoberta. É possível filtrar por tipo de descoberta somente para descobertas de acesso não utilizadas. String Sim Sim Sim
resourceControlPolicyRestriction

APPLICABLE | FAILED_TO_EVALUATE_RCP | NOT_APPLICABLE

Restrição da política de controle de recursos (RCP) O tipo de restrição aplicada pelo proprietário do recurso com uma política de controle de recursos (RCP) do Organizations. É possível filtrar por restrição de RCP somente para descobertas de acesso externo. String Sim Sim Sim
status

ACTIVE | ARCHIVED | RESOLVED

Status O status atual da descoberta. String Não Sim Sim
error Erro Indica o erro relatado para a descoberta. String Sim Sim Sim
principal.AWS Conta da AWS A conta que recebeu acesso ao recurso no campo Principal da descoberta. Insira o ID de 12 dígitos da conta AWS ou o ARN do usuário ou função externa da AWS. Para saber mais, consulte Identificadores de conta da AWS. String Sim Sim Sim
principal.Federated Usuário federado O ARN da identidade federada que tem acesso ao recurso na descoberta. Para saber mais, consulte Federação e provedores de identidade String Sim Sim Sim
condition.aws:PrincipalArn ARN da entidade principal O ARN da entidade principal (usuário, perfil ou grupo do IAM) indicado como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Sim Sim
condition.aws:PrincipalOrgID OrgID da entidade principal O identificador da organização do principal indicado como a condição para o acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Sim Sim
condition.aws:PrincipalOrgPaths OrgPaths da entidade principal O ID da organização ou da unidade organizacional (UO) indicada como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Sim Sim
condition.aws:SourceIp IP de origem O endereço IP que permite ao principal acesso ao recurso ao usar o endereço IP especificado. Para saber mais, consulte Chaves de contexto de condição globais da AWS. Endereço IP Sim Sim Sim
condition.aws:SourceVpc VPC de origem O ID da VPC que permite ao principal acesso ao recurso ao usar a VPC especificada. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Sim Sim
condition.aws:UserId ID de usuário O ID do usuário do IAM de uma conta externa indicada como a condição de acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. String Sim Sim Sim
condition.cognito-identity.amazonaws.com:aud Público do Cognito O ID do grupo de identidades do Amazon Cognito especificado como uma condição para o acesso à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Sim Sim
condition.graph.facebook.com:app_id ID da aplicação do Facebook O ID da aplicação do Facebook (ou o ID do site) especificado como uma condição para permitir o acesso à federação do Login with Facebook à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Sim Sim
condition.accounts.google.com:aud Público do Google O ID da aplicação do Google especificado como uma condição para o acesso à função do IAM. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. String Sim Sim Sim
condition.kms:CallerAccount ID da chave do KMS O ID da conta da AWS que possui a entidade que faz a chamada (usuário, perfil ou usuário-raiz da conta do IAM) usada por serviços que chamam o AWS KMS. Para saber mais, consulte Chaves de condição para AWS Key Management Service. String Sim Sim Sim
condition.www.amazon.com:app_id ID da aplicação da Amazon O ID da aplicação da Amazon (ou o ID do site) especificada como uma condição para permitir o acesso à federação do Login with Amazon à função. Para saber mais, consulte String Sim Sim Sim
id ID da descoberta O ID da descoberta. String Não Sim Sim
changeType

CHANGED | NEW | UNCHANGED

Fornece contexto sobre como a descoberta de pré-visualização de acesso se compara ao acesso existente identificado no IAM Access Analyzer. String Não Não Sim
existingFindingId O ID existente da descoberta no IAM Access Analyzer, fornecido apenas para descobertas existentes na pré-visualização de acesso. String Não Não Sim
existingFindingStatus O status existente da descoberta, fornecido apenas para descobertas existentes na pré-visualização de acesso. String Não Não Sim