IAM Access Analyzer フィルターキーにアクセスする
以下のフィルタキーを使用して、アーカイブルールの定義 (CreateArchiveRule)、アーカイブルールの更新 (UpdateArchiveRule)、検出結果の一覧の取得 (ListFindings および ListFindingsV2)、またはリソースのアクセスプレビューの一覧の取得 (ListAccessPreviewFindings) を行うことができます。アーカイブルールを構成するための IAM API と AWS CloudFormation の使用に違いはありません。
| Criterion | AWS Management Console フィールド | 説明 | [Type] (タイプ) | アーカイブルール | 結果の一覧表示 | アクセスプレビューの結果を一覧表示 |
|---|---|---|---|---|---|---|
| リソース | リソース | 外部プリンシパルがアクセスできるリソースを一意に識別する ARN。詳細については、「Amazon リソースネーム (ARN)」を参照してください。 | String | |||
| resourceType
|
リソースタイプ | 外部プリンシパルがアクセスできるリソースのタイプ。 | String | |||
| resourceOwnerAccount | [リソース所有者のアカウント] | リソースを所有する 12 桁の AWS アカウント ID。詳細については、「AWS アカウント識別子」を参照してください。 | String | |||
| isPublic | パブリックアクセス | パブリックアクセスを許可するポリシーを持つリソースが結果によって報告されるかどうかを示します。 | ブール値 | |||
| findingType
|
[結果のタイプ] | 結果のタイプ。未使用のアクセスの検出結果については、検出結果タイプでのフィルターのみ可能です。 | String | |||
| resourceControlPolicyRestriction
|
リソースコントロールポリシー (RCP) の制限 | Organizations リソースコントロールポリシー (RCP) を使用してリソース所有者によって適用される制限のタイプ。RCP 制限でフィルタリングできるのは、外部アクセスの検出結果のみです。 | String | |||
| status
|
ステータス | 結果の現在のステータス。 | String | |||
| error | [エラー] | 結果に対して報告されたエラーを示します。 | String | |||
| principal.AWS | [AWS アカウント] | 検出結果の Principal フィールドのリソースへのアクセスが付与されたアカウント。外部の AWS ユーザーまたはロールの 12 桁の AWS アカウント ID または ARN を入力します。詳細については、「AWS アカウント識別子」を参照してください。 |
String | |||
| principal.Federated | [フェデレーションユーザー] | 結果でリソースにアクセスできるフェデレーション ID の ARN。詳細については、「ID プロバイダーとフェデレーション」を参照してください。 | String | |||
| condition.aws:PrincipalArn | [プリンシパル ARN] | リソースアクセスの条件として示されたプリンシパル (IAM ユーザー、ロール、またはグループ) の ARN。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | String | |||
| condition.aws:PrincipalOrgID | [プリンシパル OrgID] | リソースアクセスの条件として示されるプリンシパルの組織 ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | String | |||
| condition.aws:PrincipalOrgPaths | [プリンシパル OrgPaths] | リソースアクセスの条件として示される組織または組織単位 (OU) ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | String | |||
| condition.aws:SourceIp | 送信元 IP | 指定した IP アドレスを使用するときに、リソースへのプリンシパルアクセスを許可する IP アドレス。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | IP アドレス | |||
| condition.aws:SourceVpc | [VPC ソース] | 指定された VPC を使用するときにリソースへのプリンシパルアクセスを許可する VPC ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | String | |||
| condition.aws:UserId | ユーザー ID | リソースへのアクセス条件として示された外部アカウントからの IAM ユーザーのユーザー ID。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。 | String | |||
| condition.cognito-identity.amazonaws.com:aud | [Cognito オーディエンス] | 検索で IAM ロールアクセスの条件として指定された Amazon Cognito ID プールの ID。詳細については、「 IAM および AWS STS の条件コンテキストキー」を参照してください。 | String | |||
| condition.graph.facebook.com:app_id | [Facebook アプリ ID] | [Login with Facebook (Facebook でログイン)] フェデレーションが結果の IAM ロールにアクセスできるようにするための条件として指定された Facebook アプリケーション ID (またはサイト ID)。詳細については、「IAM および AWS STS の条件コンテキストキー」を参照してください。 | String | |||
| condition.accounts.google.com:aud | [Google オーディエンス] | IAM ロールへのアクセス条件として指定された Google アプリケーション ID。詳細については、「IAM および AWS STS の条件コンテキストキー」を参照してください。 | String | |||
| condition.kms:CallerAccount | [KMS キー ID] | AWS を呼び出すサービスにより使用される呼び出し元エンティティ (IAM ユーザー、ロール、またはアカウントルートユーザー) を所有する AWS KMS アカウント ID。詳細については、「AWS Key Management Service の条件キー」を参照してください。 | String | |||
| condition.www.amazon.com:app_id | [Amazon Q Apps] | [Login with Amazon (Amazon でログイン)] フェデレーションにロールへのアクセスを許可するための条件として指定された Amazon アプリケーション ID (またはサイト ID)。詳細については、次を参照してください。 | String | |||
| id | 検出結果 ID | 結果の ID。 | String | |||
| cchangeType
|
アクセスプレビューの結果と IAM Access Analyzer で識別された既存のアクセスとの比較に関するコンテキストを提供します。 | String | ||||
| 既存の検索Id | IAM Access Analyzer での結果の既存の ID。アクセスプレビューの既存の結果に対してのみ提供されます。 | String | ||||
| 既存の検索ステータス | アクセスプレビューの既存の調査結果に対してのみ提供される、検索結果の既存のステータス。 | String |
