我有一个应用程序,用户需要输入一组具有特定权限的 AWS 凭证。我想在输入凭据时验证凭据,以确保它们具有所需的用户策略集。
有没有办法检索这些凭据的用户策略?
是的,如果他们给了你允许进行 IAM 调用的信条。您可以列出其所有 IAM 用户,然后找到一个具有您的密钥的 IAM 用户,然后读取该用户的权限。但这需要解析 IAM 权限语言,这有点复杂。
另一种方法是对要验证的任何内容进行示例调用(即列出 S3 存储桶等)只验证一两个调用可能比尝试验证每个可能的调用更好。是的,如果您缺少某些权限,您可能会在路上遇到错误,但是他们更有可能犯错字或给您错误的信条,而不是给您部分信任。
您可以考虑的另一件事是:如果他们为您提供完整的信誉,您可以创建一个仅具有您需要的信条的 IAM 用户,使用这些信誉。 IAM 中的所有内容都有一个 API,因此这是可能的。