Doc AWS SDK Examples GitHub リポジトリには、他にも SDK の例があります。 [AWS](https://github.com/awsdocs/aws-doc-sdk-examples)
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用した IAM Access Analyzer の例 AWS CLI
次のコード例は、IAM Access Analyzer AWS Command Line Interface で を使用してアクションを実行し、一般的なシナリオを実装する方法を示しています。
*アクション*はより大きなプログラムからのコードの抜粋であり、コンテキスト内で実行する必要があります。アクションは個々のサービス機能を呼び出す方法を示していますが、コンテキスト内のアクションは、関連するシナリオで確認できます。
各例には完全なソースコードへのリンクが含まれており、コードの設定方法と実行方法に関する手順を確認できます。
**Topics**
+ [アクション](#actions)
## アクション
### `apply-archive-rule`
次の例では、`apply-archive-rule` を使用する方法を説明しています。
**AWS CLI**
**アーカイブルール基準を満たす既存の検出結果にアーカイブルールを適用する方法**
次の `apply-archive-rule` の例では、アーカイブルールの基準を満たす既存の検出結果にアーカイブルールを適用します。
```
aws accessanalyzer apply-archive-rule \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyArchiveRule
```
このコマンドでは何も出力されません。
詳細については、「*AWS IAM ユーザーガイド*」の「[アーカイブのルール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html)」を参照してください。
+ API の詳細については、 「*AWS CLI コマンドリファレンス*」の「[ApplyArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/apply-archive-rule.html)」を参照してください。
### `cancel-policy-generation`
次の例では、`cancel-policy-generation` を使用する方法を説明しています。
**AWS CLI**
**ポリシー生成要求をキャンセルする方法**
次の `cancel-policy-generation` 例では、リクエストされたポリシー生成ジョブ ID をキャンセルします。
```
aws accessanalyzer cancel-policy-generation \
--job-id 923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2
```
このコマンドでは何も出力されません。
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer ポリシーの生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[CancelPolicyGeneration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/cancel-policy-generation.html)」を参照してください。
### `check-access-not-granted`
次の例では、`check-access-not-granted` を使用する方法を説明しています。
**AWS CLI**
**指定されたアクセスがポリシーによって許可されていないかどうかを確認する方法**
`check-access-not-granted` の例では、指定されたアクセスがポリシーによって許可されていないかどうかを確認します。
```
aws accessanalyzer check-access-not-granted \
--policy-document file://myfile.json \
--access actions="s3:DeleteBucket","s3:GetBucketLocation" \
--policy-type IDENTITY_POLICY
```
`myfile.json` の内容:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
出力:
```
{
"result": "PASS",
"message": "The policy document does not grant access to perform one or more of the listed actions."
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer API でプレビュー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html)」を参照してください。
+ API の詳細については、 「*AWS CLI コマンドリファレンス*」の「[CheckAccessNotGranted](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/check-access-not-granted.html)」を参照してください。
### `check-no-new-access`
次の例では、`check-no-new-access` を使用する方法を説明しています。
**AWS CLI**
**既存のポリシーと比較して、更新されたポリシーで新しいアクセスが許可されるかどうかを確認する方法**
`check-no-new-access` の例では、既存のポリシーと比較して、更新されたポリシーで新しいアクセスが許可されるかどうかを確認します。
```
aws accessanalyzer check-no-new-access \
--existing-policy-document file://existing-policy.json \
--new-policy-document file://new-policy.json \
--policy-type IDENTITY_POLICY
```
`existing-policy.json` の内容:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
`new-policy.json` の内容:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectAcl",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
出力:
```
{
"result": "FAIL",
"message": "The modified permissions grant new access compared to your existing policy.",
"reasons": [
{
"description": "New access in the statement with index: 0.",
"statementIndex": 0
}
]
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer API でプレビュー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[CheckNoNewAccess](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/check-no-new-access.html)」を参照してください。
### `check-no-public-access`
次の例では、`check-no-public-access` を使用する方法を説明しています。
**AWS CLI**
**リソースポリシーが、指定したリソースタイプへのパブリックアクセスを許可できるかどうかを確認する方法**
`check-no-public-access` の例では、リソースポリシーが、指定したリソースタイプへのパブリックアクセスを許可できるかどうかを確認します。
```
aws accessanalyzer check-no-public-access \
--policy-document file://check-no-public-access-myfile.json \
--resource-type AWS::S3::Bucket
```
`myfile.json` の内容:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CheckNoPublicAccess",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:user/JohnDoe" },
"Action": [
"s3:GetObject"
]
}
]
}
```
出力:
```
{
"result": "PASS",
"message": "The resource policy does not grant public access for the given resource type."
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer API でプレビュー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[CheckNoPublicAccess](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/check-no-public-access.html)」を参照してください。
### `create-access-preview`
次の例では、`create-access-preview` を使用する方法を説明しています。
**AWS CLI**
**リソースアクセス許可をデプロイする前に、リソースの IAM Access Analyzer の検出結果をプレビューできるアクセスプレビューを作成する方法**
次の`create-access-preview`例では、 AWS アカウントにリソースアクセス許可をデプロイする前に、リソースの IAM Access Analyzer の検出結果をプレビューできるアクセスプレビューを作成します。
```
aws accessanalyzer create-access-preview \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--configurations file://myfile.json
```
`myfile.json` の内容:
```
{
"arn:aws:s3:::amzn-s3-demo-bucket": {
"s3Bucket": {
"bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::amzn-s3-demo-bucket/*\"}]}",
"bucketPublicAccessBlock": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true
},
"bucketAclGrants": [
{
"grantee": {
"id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
},
"permission": "READ"
}
]
}
}
}
```
出力:
```
{
"id": "3c65eb13-6ef9-4629-8919-a32043619e6b"
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer API でプレビュー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[CreateAccessPreview](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/create-access-preview.html)」を参照してください。
### `create-analyzer`
次の例では、`create-analyzer` を使用する方法を説明しています。
**AWS CLI**
**アナライザーを作成する方法方法**
次の の`create-analyzer`例では、 AWS アカウントにアナライザーを作成します。
```
aws accessanalyzer create-analyzer \
--analyzer-name example \
--type ACCOUNT
```
出力:
```
{
"arn": "arn:aws:access-analyzer:us-east-2:111122223333:analyzer/example"
}
```
詳細については、*AWS IAM* [ユーザーガイドの AWS Identity and Access Management Access Analyzer の検出結果の開始](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)方法を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[CreateAnalyzer](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/create-analyzer.html)」を参照してください。
### `create-archive-rule`
次の例では、`create-archive-rule` を使用する方法を説明しています。
**AWS CLI**
**指定されたアナライザーのアーカイブルールを作成する方法**
次の の`create-archive-rule`例では、 AWS アカウントで指定されたアナライザーのアーカイブルールを作成します。
```
aws accessanalyzer create-archive-rule \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyRule \
--filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'
```
このコマンドでは何も出力されません。
詳細については、「*AWS IAM ユーザーガイド*」の「[アーカイブのルール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[CreateArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/create-archive-rule.html)」を参照してください。
### `delete-analyzer`
次の例では、`delete-analyzer` を使用する方法を説明しています。
**AWS CLI**
**指定されたアナライザーを削除する方法**
次の の`delete-analyzer`例では、 AWS アカウントの指定されたアナライザーを削除します。
```
aws accessanalyzer delete-analyzer \
--analyzer-name example
```
このコマンドでは何も出力されません。
詳細については、「*AWS IAM ユーザーガイド*」の「[アーカイブのルール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[DeleteAnalyzer](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/delete-analyzer.html)」を参照してください。
### `delete-archive-rule`
次の例では、`delete-archive-rule` を使用する方法を説明しています。
**AWS CLI**
**指定されたアーカイブルールを削除する方法**
次の の`delete-archive-rule`例では、 AWS アカウントで指定されたアーカイブルールを削除します。
```
aws accessanalyzer delete-archive-rule \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyRule
```
このコマンドでは何も出力されません。
詳細については、「*AWS IAM ユーザーガイド*」の「[アーカイブのルール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[DeleteArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/delete-archive-rule.html)」を参照してください。
### `get-access-preview`
次の例では、`get-access-preview` を使用する方法を説明しています。
**AWS CLI**
**指定されたアナライザーのアクセスプレビューに関する情報を取得する方法**
次の の`get-access-preview`例では、 AWS アカウント内の指定されたアナライザーのアクセスプレビューに関する情報を取得します。
```
aws accessanalyzer get-access-preview \
--access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
```
出力:
```
{
"accessPreview": {
"id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
"analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
"configurations": {
"arn:aws:s3:::amzn-s3-demo-bucket": {
"s3Bucket": {
"bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::amzn-s3-demo-bucket/*\"}]}",
"bucketAclGrants": [
{
"permission": "READ",
"grantee": {
"id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
}
}
],
"bucketPublicAccessBlock": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true
}
}
}
},
"createdAt": "2024-02-17T00:18:44+00:00",
"status": "COMPLETED"
}
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer API でプレビュー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetAccessPreview](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-access-preview.html)」を参照してください。
### `get-analyzed-resource`
次の例では、`get-analyzed-resource` を使用する方法を説明しています。
**AWS CLI**
**分析されたリソースに関する情報を取得する方法**
次の の`get-analyzed-resource`例では、 AWS アカウントで分析されたリソースに関する情報を取得します。
```
aws accessanalyzer get-analyzed-resource \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
出力:
```
{
"resource": {
"analyzedAt": "2024-02-15T18:01:53.002000+00:00",
"isPublic": false,
"resourceArn": "arn:aws:s3:::amzn-s3-demo-bucket",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::S3::Bucket"
}
}
```
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetAnalyzedResource](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-analyzed-resource.html)」を参照してください。
### `get-analyzer`
次の例では、`get-analyzer` を使用する方法を説明しています。
**AWS CLI**
**指定した管理ポリシーに関する情報を取得する方法**
次の `get-analyzer`の例では、 AWS アカウント内の指定されたアナライザーに関する情報を取得します。
```
aws accessanalyzer get-analyzer \
--analyzer-name ConsoleAnalyzer-account
```
出力:
```
{
"analyzer": {
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
"createdAt": "2019-12-03T07:28:17+00:00",
"lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
"lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
"name": "ConsoleAnalyzer-account",
"status": "ACTIVE",
"tags": {
"auto-delete": "no"
},
"type": "ACCOUNT"
}
}
```
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetAnalyzer](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-analyzer.html)」を参照してください。
### `get-archive-rule`
次の例では、`get-archive-rule` を使用する方法を説明しています。
**AWS CLI**
**アーカイブルールに関する情報を取得する方法**
次の の`get-archive-rule`例では、 AWS アカウントのアーカイブルールに関する情報を取得します。
```
aws accessanalyzer get-archive-rule \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyArchiveRule
```
出力:
```
{
"archiveRule": {
"createdAt": "2024-02-15T00:49:27+00:00",
"filter": {
"resource": {
"contains": [
"Cognito"
]
},
"resourceType": {
"eq": [
"AWS::IAM::Role"
]
}
},
"ruleName": "MyArchiveRule",
"updatedAt": "2024-02-15T00:49:27+00:00"
}
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[アーカイブのルール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-archive-rule.html)」を参照してください。
### `get-finding-v2`
次の例では、`get-finding-v2` を使用する方法を説明しています。
**AWS CLI**
**指定された検出結果に関する情報を取得する方法**
次の の`get-finding-v2`例では、 AWS アカウントで指定された検出結果に関する情報を取得します。
```
aws accessanalyzer get-finding-v2 \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
--id 0910eedb-381e-4e95-adda-0d25c19e6e90
```
出力:
```
{
"findingDetails": [
{
"externalAccessDetails": {
"action": [
"sts:AssumeRoleWithWebIdentity"
],
"condition": {
"cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
},
"isPublic": false,
"principal": {
"Federated": "cognito-identity.amazonaws.com"
}
}
}
],
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
"status": "ACTIVE",
"error": null,
"createdAt": "2021-02-26T21:17:50.905000+00:00",
"resourceType": "AWS::IAM::Role",
"findingType": "ExternalAccess",
"resourceOwnerAccount": "111122223333",
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
"updatedAt": "2021-02-26T21:17:50.905000+00:00"
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[検出結果の確認](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetFindingV2](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-finding-v2.html)」を参照してください。
### `get-finding`
次の例では、`get-finding` を使用する方法を説明しています。
**AWS CLI**
**指定された検出結果に関する情報を取得する方法**
次の の`get-finding`例では、 AWS アカウントで指定された検出結果に関する情報を取得します。
```
aws accessanalyzer get-finding \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
--id 0910eedb-381e-4e95-adda-0d25c19e6e90
```
出力:
```
{
"finding": {
"id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
"principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"action": [
"sts:AssumeRoleWithWebIdentity"
],
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
"isPublic": false,
"resourceType": "AWS::IAM::Role",
"condition": {
"cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
},
"createdAt": "2021-02-26T21:17:50.905000+00:00",
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"updatedAt": "2021-02-26T21:17:50.905000+00:00",
"status": "ACTIVE",
"resourceOwnerAccount": "111122223333"
}
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[検出結果の確認](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetFinding](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-finding.html)」を参照してください。
### `get-generated-policy`
次の例では、`get-generated-policy` を使用する方法を説明しています。
**AWS CLI**
**`StartPolicyGeneration ` API を使用して生成されたポリシーを取得する方法**
次の の`get-generated-policy`例では、 AWS アカウントの StartPolicyGeneration API を使用して生成されたポリシーを取得します。
```
aws accessanalyzer get-generated-policy \
--job-id c557dc4a-0338-4489-95dd-739014860ff9
```
出力:
```
{
"generatedPolicyResult": {
"generatedPolicies": [
{
"policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"SupportedServiceSid0\",\"Effect\":\"Allow\",\"Action\":[\"access-analyzer:GetAnalyzer\",\"access-analyzer:ListAnalyzers\",\"access-analyzer:ListArchiveRules\",\"access-analyzer:ListFindings\",\"cloudtrail:DescribeTrails\",\"cloudtrail:GetEventDataStore\",\"cloudtrail:GetEventSelectors\",\"cloudtrail:GetInsightSelectors\",\"cloudtrail:GetTrailStatus\",\"cloudtrail:ListChannels\",\"cloudtrail:ListEventDataStores\",\"cloudtrail:ListQueries\",\"cloudtrail:ListTags\",\"cloudtrail:LookupEvents\",\"ec2:DescribeRegions\",\"iam:GetAccountSummary\",\"iam:GetOpenIDConnectProvider\",\"iam:GetRole\",\"iam:ListAccessKeys\",\"iam:ListAccountAliases\",\"iam:ListOpenIDConnectProviders\",\"iam:ListRoles\",\"iam:ListSAMLProviders\",\"kms:ListAliases\",\"s3:GetBucketLocation\",\"s3:ListAllMyBuckets\"],\"Resource\":\"*\"}]}"
}
],
"properties": {
"cloudTrailProperties": {
"endTime": "2024-02-14T22:44:40+00:00",
"startTime": "2024-02-13T00:30:00+00:00",
"trailProperties": [
{
"allRegions": true,
"cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail",
"regions": []
}
]
},
"isComplete": false,
"principalArn": "arn:aws:iam::111122223333:role/Admin"
}
},
"jobDetails": {
"completedOn": "2024-02-14T22:47:01+00:00",
"jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
"startedOn": "2024-02-14T22:44:41+00:00",
"status": "SUCCEEDED"
}
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer ポリシーの生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[GetGeneratedPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-generated-policy.html)」を参照してください。
### `list-access-preview-findings`
次の例では、`list-access-preview-findings` を使用する方法を説明しています。
**AWS CLI**
**指定されたアクセスプレビューによって生成されたアクセスプレビュー検出結果の一覧を取得する方法**
次の の`list-access-preview-findings`例では、 AWS アカウントで指定されたアクセスプレビューによって生成されたアクセスプレビューの検出結果のリストを取得します。
```
aws accessanalyzer list-access-preview-findings \
--access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
```
出力:
```
{
"findings": [
{
"id": "e22fc158-1c87-4c32-9464-e7f405ce8d74",
"principal": {
"AWS": "111122223333"
},
"action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"condition": {},
"resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"isPublic": false,
"resourceType": "AWS::S3::Bucket",
"createdAt": "2024-02-17T00:18:46+00:00",
"changeType": "NEW",
"status": "ACTIVE",
"resourceOwnerAccount": "111122223333",
"sources": [
{
"type": "POLICY"
}
]
}
]
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer API でプレビュー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListAccessPreviewFindings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-access-preview-findings.html)」を参照してください。
### `list-access-previews`
次の例では、`list-access-previews` を使用する方法を説明しています。
**AWS CLI**
**指定されたアナライザーのアクセスプレビューの一覧を取得する方法**
次の の`list-access-previews`例では、 AWS アカウント内の指定されたアナライザーのアクセスプレビューのリストを取得します。
```
aws accessanalyzer list-access-previews \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
```
出力:
```
{
"accessPreviews": [
{
"id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
"analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
"createdAt": "2024-02-17T00:18:44+00:00",
"status": "COMPLETED"
}
]
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer API でプレビュー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListAccessPreviews](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-access-previews.html)」を参照してください。
### `list-analyzed-resources`
次の例では、`list-analyzed-resources` を使用する方法を説明しています。
**AWS CLI**
**使用可能なウィジェットを一覧表示するには**
次の の`list-analyzed-resources`例では、 AWS アカウントで使用可能なウィジェットを一覧表示します。
```
aws accessanalyzer list-analyzed-resources \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--resource-type AWS::IAM::Role
```
出力:
```
{
"analyzedResources": [
{
"resourceArn": "arn:aws:sns:us-west-2:111122223333:Validation-Email",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::SNS::Topic"
},
{
"resourceArn": "arn:aws:sns:us-west-2:111122223333:admin-alerts",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::SNS::Topic"
},
{
"resourceArn": "arn:aws:sns:us-west-2:111122223333:config-topic",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::SNS::Topic"
},
{
"resourceArn": "arn:aws:sns:us-west-2:111122223333:inspector-topic",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::SNS::Topic"
}
]
}
```
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListAnalyzedResources](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-analyzed-resources.html)」を参照してください。
### `list-analyzers`
次の例では、`list-analyzers` を使用する方法を説明しています。
**AWS CLI**
**アナライザーの一覧を取得する方法**
次の の`list-analyzers`例では、 AWS アカウントのアナライザーのリストを取得します。
```
aws accessanalyzer list-analyzers
```
出力:
```
{
"analyzers": [
{
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization",
"createdAt": "2024-02-15T00:46:40+00:00",
"name": "UnusedAccess-ConsoleAnalyzer-organization",
"status": "ACTIVE",
"tags": {
"auto-delete": "no"
},
"type": "ORGANIZATION_UNUSED_ACCESS"
},
{
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization",
"createdAt": "2020-04-25T07:43:28+00:00",
"lastResourceAnalyzed": "arn:aws:s3:::amzn-s3-demo-bucket",
"lastResourceAnalyzedAt": "2024-02-15T21:51:56.517000+00:00",
"name": "ConsoleAnalyzer-organization",
"status": "ACTIVE",
"tags": {
"auto-delete": "no"
},
"type": "ORGANIZATION"
},
{
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
"createdAt": "2019-12-03T07:28:17+00:00",
"lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
"lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
"name": "ConsoleAnalyzer-account",
"status": "ACTIVE",
"tags": {
"auto-delete": "no"
},
"type": "ACCOUNT"
}
]
}
```
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListAnalyzers](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-analyzers.html)」を参照してください。
### `list-archive-rules`
次の例では、`list-archive-rules` を使用する方法を説明しています。
**AWS CLI**
**指定されたアナライザー用に作成されたアーカイブルールの一覧を取得する方法**
次の の`list-archive-rules`例では、 AWS アカウント内の指定されたアナライザー用に作成されたアーカイブルールのリストを取得します。
```
aws accessanalyzer list-archive-rules \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization
```
出力:
```
{
"archiveRules": [
{
"createdAt": "2024-02-15T00:49:27+00:00",
"filter": {
"resource": {
"contains": [
"Cognito"
]
},
"resourceType": {
"eq": [
"AWS::IAM::Role"
]
}
},
"ruleName": "MyArchiveRule",
"updatedAt": "2024-02-15T00:49:27+00:00"
},
{
"createdAt": "2024-02-15T23:27:45+00:00",
"filter": {
"findingType": {
"eq": [
"UnusedIAMUserAccessKey"
]
}
},
"ruleName": "ArchiveRule-56125a39-e517-4ff8-afb1-ef06f58db612",
"updatedAt": "2024-02-15T23:27:45+00:00"
}
]
}
```
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListArchiveRules](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-archive-rules.html)」を参照してください。
### `list-findings-v2`
次の例では、`list-findings-v2` を使用する方法を説明しています。
**AWS CLI**
**指定されたアナライザーによって生成された検出結果の一覧を取得する方法**
次の の`list-findings-v2`例では、 AWS アカウントの指定されたアナライザーによって生成された結果のリストを取得します。この例では、名前に「`Cognito`」が含まれている IAM ロールのみが含まれるように結果をフィルタリングします。
```
aws accessanalyzer list-findings-v2 \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'
```
出力:
```
{
"findings": [
{
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"createdAt": "2021-02-26T21:17:24.710000+00:00",
"id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
"resourceType": "AWS::IAM::Role",
"resourceOwnerAccount": "111122223333",
"status": "ACTIVE",
"updatedAt": "2021-02-26T21:17:24.710000+00:00",
"findingType": "ExternalAccess"
},
{
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"createdAt": "2021-02-26T21:17:50.905000+00:00",
"id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
"resourceType": "AWS::IAM::Role",
"resourceOwnerAccount": "111122223333",
"status": "ACTIVE",
"updatedAt": "2021-02-26T21:17:50.905000+00:00",
"findingType": "ExternalAccess"
}
]
}
```
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListFindingsV2](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-findings-v2.html)」を参照してください。
### `list-findings`
次の例では、`list-findings` を使用する方法を説明しています。
**AWS CLI**
**指定されたアナライザーによって生成された検出結果の一覧を取得する方法**
次の の`list-findings`例では、 AWS アカウントの指定されたアナライザーによって生成された結果のリストを取得します。この例では、名前に「`Cognito`」が含まれている IAM ロールのみが含まれるように結果をフィルタリングします。
```
aws accessanalyzer list-findings \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'
```
出力:
```
{
"findings": [
{
"id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
"principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"action": [
"sts:AssumeRoleWithWebIdentity"
],
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
"isPublic": false,
"resourceType": "AWS::IAM::Role",
"condition": {
"cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
},
"createdAt": "2021-02-26T21:17:24.710000+00:00",
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"updatedAt": "2021-02-26T21:17:24.710000+00:00",
"status": "ACTIVE",
"resourceOwnerAccount": "111122223333"
},
{
"id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
"principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"action": [
"sts:AssumeRoleWithWebIdentity"
],
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
"isPublic": false,
"resourceType": "AWS::IAM::Role",
"condition": {
"cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
},
"createdAt": "2021-02-26T21:17:50.905000+00:00",
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"updatedAt": "2021-02-26T21:17:50.905000+00:00",
"status": "ACTIVE",
"resourceOwnerAccount": "111122223333"
}
]
}
```
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListFindings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-findings.html)」を参照してください。
### `list-policy-generations`
次の例では、`list-policy-generations` を使用する方法を説明しています。
**AWS CLI**
**過去 7 日間にリクエストされたすべてのポリシー生成を一覧表示する方法**
次の の`list-policy-generations`例では、 AWS アカウントで過去 7 日間にリクエストされたすべてのポリシー生成を一覧表示します。
```
aws accessanalyzer list-policy-generations
```
出力:
```
{
"policyGenerations": [
{
"completedOn": "2024-02-14T23:43:38+00:00",
"jobId": "923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2",
"principalArn": "arn:aws:iam::111122223333:role/Admin",
"startedOn": "2024-02-14T23:43:02+00:00",
"status": "CANCELED"
},
{
"completedOn": "2024-02-14T22:47:01+00:00",
"jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
"principalArn": "arn:aws:iam::111122223333:role/Admin",
"startedOn": "2024-02-14T22:44:41+00:00",
"status": "SUCCEEDED"
}
]
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer ポリシーの生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListPolicyGenerations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-policy-generations.html)」を参照してください。
### `list-tags-for-resource`
次の例では、`list-tags-for-resource` を使用する方法を説明しています。
**AWS CLI**
**指定されたリソースに適用されたタグの一覧を取得する方法**
次の の`list-tags-for-resource`例では、 AWS アカウントの指定されたリソースに適用されるタグのリストを取得します。
```
aws accessanalyzer list-tags-for-resource \
--resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
```
出力:
```
{
"tags": {
"Zone-of-trust": "Account",
"Name": "ConsoleAnalyzer"
}
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer ポリシーの生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ListTagsForResource](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-tags-for-resource.html)」を参照してください。
### `start-policy-generation`
次の例では、`start-policy-generation` を使用する方法を説明しています。
**AWS CLI**
**ポリシー生成リクエストを開始する方法**
次の の`start-policy-generation`例では、 AWS アカウントでポリシー生成リクエストを開始します。
```
aws accessanalyzer start-policy-generation \
--policy-generation-details '{"principalArn":"arn:aws:iam::111122223333:role/Admin"}' \
--cloud-trail-details file://myfile.json
```
`myfile.json` の内容:
```
{
"accessRole": "arn:aws:iam::111122223333:role/service-role/AccessAnalyzerMonitorServiceRole",
"startTime": "2024-02-13T00:30:00Z",
"trails": [
{
"allRegions": true,
"cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail"
}
]
}
```
出力:
```
{
"jobId": "c557dc4a-0338-4489-95dd-739014860ff9"
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer ポリシーの生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[StartPolicyGeneration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/start-policy-generation.html)」を参照してください。
### `start-resource-scan`
次の例では、`start-resource-scan` を使用する方法を説明しています。
**AWS CLI**
**指定されたリソースに適用されるポリシーのスキャンをすぐに開始する方法**
次の の`start-resource-scan`例では、 AWS アカウント内の指定されたリソースに適用されるポリシーのスキャンをすぐに開始します。
```
aws accessanalyzer start-resource-scan \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--resource-arn arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role
```
このコマンドでは何も出力されません。
詳細については、「*AWS IAM ユーザーガイド*」の「[IAM Access Analyzer ポリシーの生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[StartResourceScan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/start-resource-scan.html)」を参照してください。
### `tag-resource`
次の例では、`tag-resource` を使用する方法を説明しています。
**AWS CLI**
**指定されたリソースにタグを追加する方法**
次の の`tag-resource`例では、 AWS アカウントの指定されたリソースにタグを追加します。
```
aws accessanalyzer tag-resource \
--resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--tags Environment=dev,Purpose=testing
```
このコマンドでは何も出力されません。
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[TagResource](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/tag-resource.html)」を参照してください。
### `untag-resource`
次の例では、`untag-resource` を使用する方法を説明しています。
**AWS CLI**
**指定されたリソースからタグを削除する方法**
次の の`untag-resource`例では、 AWS アカウントの指定されたリソースからタグを削除します。
```
aws accessanalyzer untag-resource \
--resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--tag-keys Environment Purpose
```
このコマンドでは何も出力されません。
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「AWS CLI コマンドリファレンス」の「[UntagResource](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/untag-resource.html)」を参照してください。
### `update-archive-rule`
次の例では、`update-archive-rule` を使用する方法を説明しています。
**AWS CLI**
**指定されたアーカイブルールの基準と値を更新する方法**
次の の`update-archive-rule`例では、 AWS アカウントで指定されたアーカイブルールの基準と値を更新します。
```
aws accessanalyzer update-archive-rule \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyArchiveRule \
--filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'
```
このコマンドでは何も出力されません。
詳細については、「*AWS IAM ユーザーガイド*」の「[アーカイブのルール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[UpdateArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/update-archive-rule.html)」を参照してください。
### `update-findings`
次の例では、`update-findings` を使用する方法を説明しています。
**AWS CLI**
**指定された検出結果のステータスを更新する方法**
次の の`update-findings`例では、 AWS アカウントで指定された検出結果のステータスを更新します。
```
aws accessanalyzer update-findings \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
--ids 4f319ac3-2e0c-4dc4-bf51-7013a086b6ae 780d586a-2cce-4f72-aff6-359d450e7500 \
--status ARCHIVED
```
このコマンドでは何も出力されません。
詳細については、*AWS IAM ユーザーガイド*の [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) の使用を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[UpdateFindings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/update-findings.html)」を参照してください。
### `validate-policy`
次の例では、`validate-policy` を使用する方法を説明しています。
**AWS CLI**
**ポリシーの検証をリクエストし、検出結果の一覧を返す方法**
次の `validate-policy` の例では、ポリシーの検証をリクエストし、検出結果の一覧を返します。この例のポリシーは、ウェブ ID フェデレーションに使用される Amazon Cognito ロールのロール信頼ポリシーです。信頼ポリシーから生成された検出結果は、使用されているロールの引き受けアクション「`sts:AssumeRole`」が正しくないため、空の `Sid` の要素の値とポリシープリンシパルが一致しません。Cognito で使用する正しいロールの引き受けアクションは「`sts:AssumeRoleWithWebIdentity`」です。
```
aws accessanalyzer validate-policy \
--policy-document file://myfile.json \
--policy-type RESOURCE_POLICY
```
`myfile.json` の内容:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"cognito-identity.amazonaws.com:aud": "us-west-2_EXAMPLE"
}
}
}
]
}
```
出力:
```
{
"findings": [
{
"findingDetails": "Add a value to the empty string in the Sid element.",
"findingType": "SUGGESTION",
"issueCode": "EMPTY_SID_VALUE",
"learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-suggestion-empty-sid-value",
"locations": [
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Sid"
}
],
"span": {
"end": {
"column": 21,
"line": 5,
"offset": 81
},
"start": {
"column": 19,
"line": 5,
"offset": 79
}
}
}
]
},
{
"findingDetails": "The sts:AssumeRole action is invalid with the following principal(s): cognito-identity.amazonaws.com. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.",
"findingType": "ERROR",
"issueCode": "MISMATCHED_ACTION_FOR_PRINCIPAL",
"learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-mismatched-action-for-principal",
"locations": [
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Action"
},
{
"index": 0
}
],
"span": {
"end": {
"column": 32,
"line": 11,
"offset": 274
},
"start": {
"column": 16,
"line": 11,
"offset": 258
}
}
},
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Principal"
},
{
"value": "Federated"
}
],
"span": {
"end": {
"column": 61,
"line": 8,
"offset": 202
},
"start": {
"column": 29,
"line": 8,
"offset": 170
}
}
}
]
},
{
"findingDetails": "The following actions: sts:TagSession are not supported by the condition key cognito-identity.amazonaws.com:aud. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.",
"findingType": "ERROR",
"issueCode": "UNSUPPORTED_ACTION_FOR_CONDITION_KEY",
"learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-unsupported-action-for-condition-key",
"locations": [
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Action"
},
{
"index": 1
}
],
"span": {
"end": {
"column": 32,
"line": 12,
"offset": 308
},
"start": {
"column": 16,
"line": 12,
"offset": 292
}
}
},
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Condition"
},
{
"value": "StringEquals"
},
{
"value": "cognito-identity.amazonaws.com:aud"
}
],
"span": {
"end": {
"column": 79,
"line": 16,
"offset": 464
},
"start": {
"column": 58,
"line": 16,
"offset": 443
}
}
}
]
}
]
}
```
詳細については、「*AWS IAM ユーザーガイド*」の「[ポリシーを検証する際の確認事項](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-checks-validating-policies.html)」を参照してください。
+ API の詳細については、「*AWS CLI コマンドリファレンス*」の「[ValidatePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/validate-policy.html)」を参照してください。