0

有没有一种方法可以检查具有某些权限的 IAM 用户是否满足给定的策略集?

例子。我想检查用户是否可以触发以下策略中提到的所有操作。这也是通过一些 api 调用或使用 amazon sdk(基本上不是手动)。一种方法是尝试触发一些操作并进行检查,但我正在寻找其他方法。

{
    "Version": Ignore,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:image/*"
            ]
        } 
     ] 
}
4

1 回答 1

1

模拟自定义策略

模拟不执行API操作;它只检查授权以确定模拟策略是允许还是拒绝操作。您可以模拟账户中不存在的资源

于 2022-02-17T22:35:09.887 回答