Chaves de filtro do IAM Access Analyzer
É possível usar as chaves de filtro abaixo para definir uma regra de arquivamento (CreateArchiveRule), atualizar uma regra de arquivamento (UpdateArchiveRule), recuperar uma lista de descobertas (ListFindings e ListFindingsV2) ou recuperar uma lista de descobertas de pré-visualização de acesso para um recurso (ListAccessPreviewFindings). Não há diferença entre usar a API do IAM e o AWS CloudFormation para configurar regras de arquivamento.
| Criterion | Campo AWS Management Console | Descrição | Tipo | Regra de arquivamento | Listar descobertas | Listar descobertas de pré-visualização de acesso |
|---|---|---|---|---|---|---|
| recurso | Recurso | O ARN identifica exclusivamente o recurso ao qual o principal externo tem acesso. Para saber mais, consulte Nomes de recursos da Amazon (ARNs). | String | |||
| resourceType
|
Tipo de recurso | O tipo de recurso ao qual o principal externo tem acesso. | String | |||
| resourceOwnerAccount | Conta proprietária do recurso | O ID de 12 dígitos da conta da AWS que possui o recurso. Para saber mais, consulte Identificadores de conta da AWS. | String | |||
| isPublic | Acesso público | Indica se a descoberta relata um recurso que tem uma política que permite o acesso público. | Booliano | |||
| findingType
|
Tipo de descoberta | O tipo da descoberta. É possível filtrar por tipo de descoberta somente para descobertas de acesso não utilizadas. | String | |||
| resourceControlPolicyRestriction
|
Restrição da política de controle de recursos (RCP) | O tipo de restrição aplicada pelo proprietário do recurso com uma política de controle de recursos (RCP) do Organizations. É possível filtrar por restrição de RCP somente para descobertas de acesso externo. | String | |||
| status
|
Status | O status atual da descoberta. | String | |||
| error | Erro | Indica o erro relatado para a descoberta. | String | |||
| principal.AWS | Conta da AWS | A conta que recebeu acesso ao recurso no campo Principal da descoberta. Insira o ID de 12 dígitos da conta AWS ou o ARN do usuário ou função externa da AWS. Para saber mais, consulte Identificadores de conta da AWS. |
String | |||
| principal.Federated | Usuário federado | O ARN da identidade federada que tem acesso ao recurso na descoberta. Para saber mais, consulte Federação e provedores de identidade | String | |||
| condition.aws:PrincipalArn | ARN da entidade principal | O ARN da entidade principal (usuário, perfil ou grupo do IAM) indicado como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. | String | |||
| condition.aws:PrincipalOrgID | OrgID da entidade principal | O identificador da organização do principal indicado como a condição para o acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. | String | |||
| condition.aws:PrincipalOrgPaths | OrgPaths da entidade principal | O ID da organização ou da unidade organizacional (UO) indicada como a condição para acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. | String | |||
| condition.aws:SourceIp | IP de origem | O endereço IP que permite ao principal acesso ao recurso ao usar o endereço IP especificado. Para saber mais, consulte Chaves de contexto de condição globais da AWS. | Endereço IP | |||
| condition.aws:SourceVpc | VPC de origem | O ID da VPC que permite ao principal acesso ao recurso ao usar a VPC especificada. Para saber mais, consulte Chaves de contexto de condição globais da AWS. | String | |||
| condition.aws:UserId | ID de usuário | O ID do usuário do IAM de uma conta externa indicada como a condição de acesso ao recurso. Para saber mais, consulte Chaves de contexto de condição globais da AWS. | String | |||
| condition.cognito-identity.amazonaws.com:aud | Público do Cognito | O ID do grupo de identidades do Amazon Cognito especificado como uma condição para o acesso à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. | String | |||
| condition.graph.facebook.com:app_id | ID da aplicação do Facebook | O ID da aplicação do Facebook (ou o ID do site) especificado como uma condição para permitir o acesso à federação do Login with Facebook à função do IAM na descoberta. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. | String | |||
| condition.accounts.google.com:aud | Público do Google | O ID da aplicação do Google especificado como uma condição para o acesso à função do IAM. Para saber mais, consulte Chaves de contexto de condição do IAM e do AWS STS. | String | |||
| condition.kms:CallerAccount | ID da chave do KMS | O ID da conta da AWS que possui a entidade que faz a chamada (usuário, perfil ou usuário-raiz da conta do IAM) usada por serviços que chamam o AWS KMS. Para saber mais, consulte Chaves de condição para AWS Key Management Service. | String | |||
| condition.www.amazon.com:app_id | ID da aplicação da Amazon | O ID da aplicação da Amazon (ou o ID do site) especificada como uma condição para permitir o acesso à federação do Login with Amazon à função. Para saber mais, consulte | String | |||
| id | ID da descoberta | O ID da descoberta. | String | |||
| changeType
|
Fornece contexto sobre como a descoberta de pré-visualização de acesso se compara ao acesso existente identificado no IAM Access Analyzer. | String | ||||
| existingFindingId | O ID existente da descoberta no IAM Access Analyzer, fornecido apenas para descobertas existentes na pré-visualização de acesso. | String | ||||
| existingFindingStatus | O status existente da descoberta, fornecido apenas para descobertas existentes na pré-visualização de acesso. | String |
