如何验证第三方Amazon Resource Name (ARN)并获得所有应用的IAM权限或使用AWS SDK for Java验证某些IAM权限?
我不知道是否有一个选项可以主动检索应用于ARN的所有AWS IAM权限,以便使用IAM角色进行跨帐户API访问(假设这就是您所追求的)。
但是,您可以使用AWS安全令牌服务(STS)的DecodeAuthorizationMessage API操作(resp.)。(用于Java的decodeAuthorizationMessage(...)方法的AWS SDK)从响应AWS请求返回的编码消息中获取有关请求授权状态的附加信息:
解码后的消息包括以下类型的信息:
- 请求是否由于显式拒绝或由于缺乏显式允许而被拒绝。有关更多信息,请参见确定在使用IAM.
时请求是否被允许或拒绝- 提出请求的主体。
- 请求的操作。
- 请求的资源。
- 用户请求上下文中的条件键值。
这至少应该允许您预先验证某些权限和/或为您的用户提供更好的指导,以处理由于缺乏权限而导致的请求失败的异常。