我需要使用boto3使用Deny语句更新/附加IAM角色信任策略。如果我使用 update_assume_role_policy ,它将覆盖以前的策略,而不是附加新的更改。因此,我尝试使用 get_role 阅读现有政策,然后将其声明附加到其中,但是遇到了以下挑战
policy = '"Statement" : [ {"Sid": "Test","Effect": "Deny","Principal":{"AWS": "123456"},"Action": "*","Resource": "*"},{'
response = iam.get_role(RoleName= ResourceName)
current_policy=str(response['Role']['AssumeRolePolicyDocument'])
updated_policy = current_policy.replace('"Statement" : [ {', policy)
仅当策略字符串匹配““ Statement”:[{“时,此方法才有效。它区分大小写,并且如果以前的策略在Statement周围使用单引号(')而不是双quote(“),则它不起作用。我可以使用” re“模块并在其周围编写多个条件,但是会增加太多的复杂性。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
},
"{
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::890123:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}"
]
}
是否有更好,更轻松的方法来更新IAM角色信任策略?
答案 0 :(得分:0)
我不确定为什么要为此进行字符串操作。您只需替换信任策略中的单个组件即可。
例如:
import boto3
iam = boto3.client('iam')
response = iam.get_role(RoleName='<role-name>')
trust_policy = response['Role']['AssumeRolePolicyDocument']
print(trust_policy)
# change effect to `Deny`
trust_policy['Statement'][0]['Effect'] = 'Deny'
# change principle to '123456'
trust_policy['Statement'][0]['Principal']['AWS'] = '123456'
print(trust_policy)
您可以对其他组件执行相同的操作。