IAM Access Analyzer 필터 키

아래의 필터 키를 사용하여 아카이브 규칙(CreateArchiveRule)을 정의하거나, 아카이브 규칙(UpdateArchiveRule)을 업데이트하거나, 조사 결과(ListFindings 및 ListFindingsV2) 목록을 검색하거나, 리소스에 대한 액세스 미리 보기 조사 결과(ListAccessPreviewFindings) 목록을 검색할 수 있습니다. 아카이브 규칙 구성에 있어 IAM API 및 AWS CloudFormation 사이에는 차이가 없습니다.

Criterion	설명	유형	아카이브 규칙	결과 나열	액세스 미리 보기 결과 나열
리소스	외부 보안 주체가 액세스할 수 있는 리소스를 고유하게 식별하는 ARN입니다. 자세한 내용은 Amazon 리소스 이름(ARN)을 참조하세요.	String	예	예	예
resourceType `AWS::S3::Bucket` \| `AWS::IAM::Role` \| `AWS::SQS::Queue` \| `AWS::Lambda::Function` \| `AWS::Lambda::LayerVersion` \|`AWS::KMS::Key` \| `AWS::SecretsManager::Secret` \| `AWS::EFS::FileSystem` \| `AWS::EC2::Snapshot` \| `AWS::ECR::Repository` \| `AWS::RDS::DBSnapshot` \| `AWS::RDS::DBClusterSnapshot` \| `AWS::SNS::Topic` \| `AWS::S3Express::DirectoryBucket` \| `AWS::DynamoDB::Table` \| `AWS::DynamoDB::Stream` \| `AWS::IAM::User`	외부 보안 주체가 액세스할 수 있는 리소스의 유형입니다.	String	예	예	예
resourceOwnerAccount	리소스를 소유한 12자리 AWS 계정 ID입니다. 자세한 내용은 AWS 계정 식별자를 참조하세요.	String	예	예	예
isPublic	결과에 퍼블릭 액세스를 허용하는 정책이 있는 리소스가 보고되는지 여부를 나타냅니다.	불	예	예	예
findingType `UnusedIAMRole` \| `UnusedIAMUserAccessKey` \| `UnusedIAMUserPassword` \| `UnusedPermission`	결과의 유형입니다. 사용되지 않은 액세스 조사 결과에 대해서는 조사 결과 유형별로만 필터링할 수 있습니다.	String	예	예	예
resourceControlPolicyRestriction `APPLICABLE` \| `FAILED_TO_EVALUATE_RCP` \| `NOT_APPLICABLE`	Organizations 리소스 제어 정책(RCP)을 사용하여 리소스 소유자가 적용하는 제한 유형입니다. 외부 액세스 조사 결과에 대한 RCP 제한으로만 필터링할 수 있습니다.	String	예	예	예
상태 `ACTIVE` \| `ARCHIVED` \| `RESOLVED`	결과의 현재 상태입니다.	String	아니요	예	예
오류	결과에 대해 보고된 오류를 나타냅니다.	String	예	예	예
principal.AWS	결과의 `Principal` 필드에 있는 리소스에 대한 액세스 권한이 부여된 계정입니다. 12자리의 AWS 계정 ID나 외부 AWS 사용자 또는 역할의 ARN을 입력합니다. 자세한 내용은 AWS 계정 식별자를 참조하세요.	String	예	예	예
principal.Federated	결과에 있는 리소스에 액세스할 수 있는 연동 자격 증명의 ARN입니다. 자세한 내용은 ID 공급자 및 연동을 참조하세요.	String	예	예	예
condition.aws:PrincipalArn	리소스 액세스 조건으로 지정된 보안 주체(IAM 사용자, 역할 또는 그룹)의 ARN입니다. 자세한 내용은 AWS 글로벌 조건 컨텍스트 키를 참조하세요.	String	예	예	예
condition.aws:PrincipalOrgID	리소스 액세스 조건으로 지정된 보안 주체의 조직 식별자입니다. 자세한 내용은 AWS 글로벌 조건 컨텍스트 키를 참조하세요.	String	예	예	예
condition.aws:PrincipalOrgPaths	리소스 액세스 조건으로 지정된 조직 또는 OU(조직 단위) ID입니다. 자세한 내용은 AWS 글로벌 조건 컨텍스트 키를 참조하세요.	String	예	예	예
condition.aws:SourceIp	지정된 IP 주소를 사용할 때 보안 주체가 리소스에 액세스할 수 있도록 허용하는 IP 주소입니다. 자세한 내용은 AWS 글로벌 조건 컨텍스트 키를 참조하세요.	IP 주소	예	예	예
condition.aws:SourceVpc	지정된 VPC를 사용할 때 보안 주체가 리소스에 액세스할 수 있도록 허용하는 VPC ID입니다. 자세한 내용은 AWS 글로벌 조건 컨텍스트 키를 참조하세요.	String	예	예	예
condition.aws:UserId	리소스 액세스 조건으로 지정된 외부 계정 IAM 사용자의 사용자 ID입니다. 자세한 내용은 AWS 글로벌 조건 컨텍스트 키를 참조하세요.	String	예	예	예
condition.cognito-identity.amazonaws.com:aud	결과에서 IAM 역할 액세스 조건으로 지정된 Amazon Cognito 자격 증명 풀 ID입니다. 자세한 내용은 IAM 및 AWS STS 조건 컨텍스트 키를 참조하세요.	String	예	예	예
condition.graph.facebook.com:app_id	결과에서 IAM 역할에 대한 Facebook으로 로그인 연동 액세스를 허용하기 위한 조건으로 지정된 Facebook 애플리케이션 ID(또는 사이트 ID)입니다. 자세한 내용은 IAM 및 AWS STS 조건 컨텍스트 키를 참조하세요.	String	예	예	예
condition.accounts.google.com:aud	IAM 역할에 대한 액세스 조건으로 지정된 Google 애플리케이션 ID입니다. 자세한 내용은 IAM 및 AWS STS 조건 컨텍스트 키를 참조하세요.	String	예	예	예
condition.kms:CallerAccount	AWS KMS를 호출하는 서비스에서 사용되는 호출 엔터티(IAM 사용자, 역할 또는 계정 루트 사용자)를 소유한 AWS 계정 ID입니다. 자세한 내용은 AWS Key Management Service에 사용되는 조건 키를 참조하세요.	String	예	예	예
condition.www.amazon.com:app_id	역할에 대한 Login with Amazon 연동 액세스를 허용하도록 조건이 지정된 Amazon 애플리케이션 ID(또는 사이트 ID)입니다. 자세한 내용은 다음을 참조하세요.	String	예	예	예
id	결과의 ID입니다.	String	아니요	예	예
changeType	액세스 미리 보기 검색 결과가 IAM Access Analyzer에서 식별된 기존 액세스와 어떻게 비교되는지에 대한 컨텍스트를 제공합니다.	String	아니요	아니요	예
existingFindingId	IAM Access Analyzer 검색 결과의 기존 ID로 액세스 미리 보기의 기존 검색 결과에 대해서만 제공됩니다.	String	아니요	아니요	예
existingFindingStatus	검색 결과의 기존 상태로 액세스 미리 보기의 기존 검색 결과에 대해서만 제공됩니다.	String	아니요	아니요	예

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

CloudTrail을 사용하여 로깅

서비스 링크 역할 사용