有没有办法使用 boto3 获取信任关系策略文档?我正在尝试审核允许第三方访问我的 AWS 环境的角色。
我一直在搜索 boto3 API 以找到适用的函数调用,并尝试了iam.client.get_role_policy和iam.client.get_account_authorization_details。
但是,我无法根据特定角色所需的策略信息确定要传递哪些参数,因此我不确定这些函数是否会返回我正在寻找的信息。
本质上,对于我账户中的每个 IAM 角色,我正在尝试查找以下信息:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{acctID}:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": {externalID}
}
}
}
]
}
我认为,如果"sts:ExternalId": {externalID}是信任关系的一部分,那么该策略将授予第三方访问权限。
如果有更好的方法,我很想知道。我对 IAM 角色/策略没有太多经验。
您应该使用 GetRole API 来检索信任,即承担角色策略。