在亚马逊密钥管理服务中,可以在客户主密钥上列出赠款。这返回授予对象的列表。每个都有一个getGranteeprincipal()方法,该方法返回类似于AIDAJBVZPN4EIJ44R7AZM的字符串。这应该映射到该赠款相关的用户/角色,但是,我不知道如何将此字符串映射到用户。这不是他们的IAM钥匙或ARN。有什么方法可以将此字符串与原始用户相关联?
您很可能正在查看唯一ID:
IAM创建用户,组,角色,策略,实例配置文件或 服务器证书,它为每个实体分配一个唯一的ID 喜欢以下示例:
AIDAJQABLZS4A3QDU576Q在大多数情况下,您使用时使用友好的名称和arns IAM实体,因此您不需要了解特定的唯一ID 实体。但是,唯一的ID有时在不使用时会很有用 使用友好的名字可实用。
如上一段中提到(并在引用文档中进一步概述),唯一的ID通常被隐藏起来以支持友好的名称,但是当用户离开组织和另一个具有相同友好名称的唯一性时,必须保证唯一性例如,可能会加入。
另一个提供的示例似乎可以解释手头的情况(显然也适用于您自己的用例):
另一个可以有用的用户ID的示例是,如果您维护自己的IAM用户信息的数据库(或其他商店)。唯一的ID可以为您创建的每个IAM用户提供唯一的标识符,即使随着时间的流逝,您具有重复使用名称的IAM用户,就像上一个示例一样。
获得唯一的ID
resp中概述。 e节,IAM实体的唯一ID在IAM控制台中不可用。但是,您可以使用AWS CLI命令或IAM API调用来获取它,例如对于用户:
- get-user(aws cli)
- getuser(iam api)
不幸的是,似乎不可能直接搜索它,因此您需要迭代所有用户并单独检索它以生成所需的映射。
- 如果您碰巧以编程方式生成用户/角色,则resp返回唯一ID。至少立即致电,例如createuser。