0

这是我在这里的第一篇文章,我正在开发一个 AWS CodePipeline,它创建新的 AWS 账户并通过 AWS SSO 分配用户,它的权限集具有特定的托管 IAM 策略和内联策略作为用户组的权限边界集。我想使用一个测试管道来测试所售 AWS 账户中的特定用户角色,并测试用户是否能够执行某些操作,例如启用 Internet 访问、创建策略等,并根据结果继续执行进一步的管道步骤.

示例:在 POC 环境中运行的管道创建一个帐户,然后必须对 SSO 用户/本地 IAM 用户运行测试,以检查用户是否可以创建 Internet 网关等,通常这可以是 IAM 策略模拟器 cli 并且结果用户操作是否允许。我的管道流应该继续将源移动到生产环境的“主”分支,这取决于测试结果,如果失败则丢弃。

我正在尝试一些工具,例如 Taskcat 和其他工具,其中大多数不执行此类功能测试,只检查资源是否存在。

对于可以让我作为管道的一部分执行此类功能测试的工具的任何建议,我们将不胜感激。

提前致谢。

4

1 回答 1

0

我设法使用“awspec”来实现 AWS 资源的功能测试,我特别寻找的是使用以下“awspec”资源的 IAM 策略模拟器。

describe iam_role('my-iam-role') do
  it { should be_allowed_action('ec2:DescribeInstances') }
  it { should be_allowed_action('s3:Put*').resource_arn('arn:aws:s3:::my-bucket-name/*') }
end
于 2021-12-02T15:30:44.867 回答