我遇到的情况是这样的: 1)有些开发人员提供了用户ID(10个用户以内) 2)已经使用指向上述创建的用户ID的信任策略创建了角色。 3)我们为这些角色分配托管策略。 现在创建了这些托管策略,以使承担角色的用户ID可以完全控制台访问某些服务,例如lambda或IoT核心等。
现在,我被分配了为这些服务提供最少特权的任务。我以某种方式将我的头缠起来,但是正如我日新月异地发现的那样,一项服务本身也依赖于其他AWS服务,例如Lambda需要IAM的帮助才能通过执行策略。 DynamoDB可能需要Cloudwatch访问权限才能显示运行状况检查仪表板等。
我试图找到提供此依赖关系映射的任何目录(如果存在)。 检查每个API操作并测试服务需要花费时间。我相信这应该是更好的导航方式。 我筛选了足够多的api操作文档,但是它们非常特定于服务,并且不揭示其他服务可能存在的依赖性。 如果有人知道这种事情,您可以帮忙。一个月以来,我很着迷。 如果有专家能为我指出正确的方向,我将不胜感激。