本着提供最低权限的精神,我经常发现自己在寻找完成特定任务所需的权限,或为他人提供访问权限。AWS中的拒绝访问消息通常很好,并列出了所需的权限。然而,在其他情况下,错误消息可能是模糊的,尤其是当一个服务依赖于另一个服务时。有比尝试完成一个操作并逐个授予所需权限更好的方法吗?是否存在列表或某种工具?
AWS现在拥有AWS访问分析器,可用于生成基于IAM用户/角色的IAM策略。
以下是文档:https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html
您还可以使用AWS CLI基于IAM活动生成策略:
aws accessanalyzer start-policy-generation --policy-generation-details
然后,获取生成的策略:
aws accessanalyzer get-generated-policy --job-id <>
另一种方式是,您可以从AWS控制台使用用户的访问活动,查看该用户一直在使用和没有使用什么,并在此基础上创建您的策略。