# IAM Access Analyzer フィルターキーにアクセスする
以下のフィルタキーを使用して、アーカイブルールの定義 ([https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CreateArchiveRule.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CreateArchiveRule.html))、アーカイブルールの更新 ([https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_UpdateArchiveRule.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_UpdateArchiveRule.html))、検出結果の一覧の取得 ([https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindings.html) および [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindingsV2.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindingsV2.html))、またはリソースのアクセスプレビューの一覧の取得 ([https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAccessPreviewFindings.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAccessPreviewFindings.html)) を行うことができます。アーカイブルールを構成するための IAM API と CloudFormation の使用に違いはありません。
| **Criterion** | **AWS マネジメントコンソール フィールド** | **説明** | **タイプ** | **アーカイブルール** | **結果の一覧表示** | **アクセスプレビューの結果を一覧表示** | **サポートされているアナライザータイプ** |
| --- | --- | --- | --- | --- | --- | --- | --- |
| リソース | [リソース] | 外部プリンシパルがアクセスできるリソースを一意に識別する ARN。詳細については、「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。 | String |  はい |  はい |  はい | 外部
内部
未使用 |
| resourceType`AWS::S3::Bucket` \| `AWS::IAM::Role` \| `AWS::SQS::Queue` \| `AWS::Lambda::Function` \| `AWS::Lambda::LayerVersion` \|`AWS::KMS::Key` \| `AWS::SecretsManager::Secret` \| `AWS::EFS::FileSystem` \| `AWS::EC2::Snapshot` \| `AWS::ECR::Repository` \| `AWS::RDS::DBSnapshot` \| `AWS::RDS::DBClusterSnapshot` \| `AWS::SNS::Topic` \| `AWS::S3Express::DirectoryBucket` \| `AWS::DynamoDB::Table` \| `AWS::DynamoDB::Stream` \| `AWS::IAM::User` | リソースタイプ | 外部プリンシパルがアクセスできるリソースのタイプ。 内部アクセスアナライザーは、外部アクセスアナライザーがサポートするすべてのリソースタイプをサポートしているわけではありません。未使用のアクセスアナライザーは、IAM ユーザーとロールのみをサポートします。詳細については、「[外部アクセスと内部アクセスのサポートされている IAM Access Analyzer リソースタイプ](access-analyzer-resources.md)」を参照してください。 | String |  はい |  はい |  はい | 外部
内部
未使用 |
| resourceOwnerAccount | [リソース所有者のアカウント] | リソースを所有する 12 桁の AWS アカウント ID。詳細については、「[AWS アカウント識別子](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)」を参照してください。 | String |  はい |  はい |  はい | 外部
内部
未使用 |
| isPublic | パブリックアクセス | パブリックアクセスを許可するポリシーを持つリソースが結果によって報告されるかどうかを示します。 | ブール値 |  はい |  はい |  はい | 外部 |
| findingType`ExternalAccess` \| `UnusedIAMRole` \| `UnusedIAMUserAccessKey` \| `UnusedIAMUserPassword` \| `UnusedPermission` \| `InternalAccess` | [結果のタイプ] | 結果のタイプ。外部アクセスアナライザーの場合、タイプは ExternalAccess です。未使用のアクセスアナライザーの場合、タイプは UnusedIAMRole、UnusedIAMUserAccessKey、UnusedIAMUserPassword、または UnusedPermission です。内部アクセスアナライザーの場合、タイプは InternalAccess です。 | String |  はい |  はい |  はい | 外部
内部
未使用 |
| resourceControlPolicyRestriction`APPLIED` \| `APPLICABLE` \| `FAILED_TO_EVALUATE_RCP` \| `NOT_APPLICABLE` | リソースコントロールポリシー (RCP) の制限 | Organizations リソースコントロールポリシー (RCP) を使用してリソース所有者によって適用される制限のタイプ。このフィルターキーの値の詳細については、「IAM Access Analyzer API リファレンス」の「[ExternalAccessDetails](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ExternalAccessDetails.html)」と[InternalAccessDetails](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_InternalAccessDetails.html)」を参照してください。 | String |  はい |  はい |  はい | 外部
内部 |
| serviceControlPolicyRestriction`APPLIED` \| `APPLICABLE` \| `FAILED_TO_EVALUATE_SCP` \| `NOT_APPLICABLE` | サービスコントロールポリシー (SCP) の制限 | Organizations サービスコントロールポリシー (SCP) によって適用される制限のタイプ。このフィルターキーの値の詳細については、IAM Access Analyzer API リファレンスの「[InternalAccessDetails](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_InternalAccessDetails.html)」を参照してください。 | String |  はい |  はい |  はい | 内部 |
| status`ACTIVE` \| `ARCHIVED` \| `RESOLVED` | ステータス | 結果の現在のステータス。 | String |  いいえ |  はい |  はい | 外部
内部
未使用 |
| error | [エラー] | 結果に対して報告されたエラーを示します。 | String |  はい |  はい |  はい | 外部
内部 |
| principal.AWS | [AWS アカウント] | 検出結果の Principal フィールドのリソースへのアクセスが付与されたアカウント。外部の AWS ユーザーまたはロールの 12 桁の AWS アカウント ID または ARN を入力します。詳細については、「[AWS アカウント識別子](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| principal.Federated | [フェデレーションユーザー] | 結果でリソースにアクセスできるフェデレーション ID の ARN。詳細については、「[ID プロバイダーとフェデレーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.aws:PrincipalArn | [プリンシパル ARN] | リソースアクセスの条件として示されたプリンシパル (IAM ユーザー、ロール、またはグループ) の ARN。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.aws:PrincipalOrgID | [プリンシパル OrgID] | リソースアクセスの条件として示されるプリンシパルの組織 ID。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.aws:PrincipalOrgPaths | [プリンシパル OrgPaths] | リソースアクセスの条件として示される組織または組織単位 (OU) ID。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.aws:SourceIp | 送信元 IP | 指定した IP アドレスを使用するときに、リソースへのプリンシパルアクセスを許可する IP アドレス。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | IP アドレス |  はい |  はい |  はい | 外部 |
| condition.aws:SourceVpc | [VPC ソース] | 指定された VPC を使用するときにリソースへのプリンシパルアクセスを許可する VPC ID。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.aws:UserId | ユーザー ID | リソースへのアクセス条件として示された外部アカウントからの IAM ユーザーのユーザー ID。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.aws:VpceAccount | VPCE アカウント | プリンシパルにリソースへのアクセスを許可する VPC エンドポイントのアカウント ID。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部
内部 |
| condition.aws:SourceVpcArn | Source VPC Arn | 指定された VPC を使用する際にプリンシパルにリソースへのアクセスを許可する VPC ARN。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | ARN |  はい |  はい |  はい | 外部 |
| condition.aws:VpceOrgID | VPCE OrgID | プリンシパルにリソースへのアクセスを許可する VPC エンドポイントの組織 ID。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部
内部 |
| condition.aws:VpceOrgPaths | VPCE OrgPaths | プリンシパルにリソースへのアクセスを許可する VPC エンドポイントの組織単位 (OU)。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | 文字列 (リスト) |  はい |  はい |  はい | 外部
内部 |
| condition.cognito-identity.amazonaws.com:aud | [Cognito オーディエンス] | 検索で IAM ロールアクセスの条件として指定された Amazon Cognito ID プールの ID。詳細については、「[ IAM および AWS STS の条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.graph.facebook.com:app\_id | [Facebook アプリ ID] | [Login with Facebook (Facebook でログイン)] フェデレーションが結果の IAM ロールにアクセスできるようにするための条件として指定された Facebook アプリケーション ID (またはサイト ID)。詳細については、「[IAM および AWS STS の条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.accounts.google.com:aud | [Google オーディエンス] | IAM ロールへのアクセス条件として指定された Google アプリケーション ID。詳細については、「[IAM および AWS STS の条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.kms:CallerAccount | [KMS キー ID] | AWS を呼び出すサービスにより使用される呼び出し元エンティティ (IAM ユーザー、ロール、またはアカウントルートユーザー) を所有する AWS KMS アカウント ID。詳細については、「[AWS Key Management Service の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys)」を参照してください。 | String |  はい |  はい |  はい | 外部 |
| condition.www.amazon.com:app\_id | [Amazon Q Apps] | [Login with Amazon (Amazon でログイン)] フェデレーションにロールへのアクセスを許可するための条件として指定された Amazon アプリケーション ID (またはサイト ID)。詳細については、次を参照してください。 | String |  はい |  はい |  はい | 外部 |
| id | 検出結果 ID | 結果の ID。 | String |  いいえ |  はい |  はい | 外部
内部
未使用 |
| cchangeType`CHANGED` \| `NEW` \| `UNCHANGED` | | アクセスプレビューの結果と IAM Access Analyzer で識別された既存のアクセスとの比較に関するコンテキストを提供します。 | String |  いいえ |  いいえ |  はい | 外部 |
| 既存の検索Id | | IAM Access Analyzer での結果の既存の ID。アクセスプレビューの既存の結果に対してのみ提供されます。 | String |  いいえ |  いいえ |  はい | 外部 |
| 既存の検索ステータス | | アクセスプレビューの既存の調査結果に対してのみ提供される、検索結果の既存のステータス。 | String |  いいえ |  いいえ |  はい | 外部 |