我想知道我是否可以检查策略或角色是否可以查看、列出或编辑资源。
可以是任何类型的资源、S3 存储桶、Secrets Manager、EC2 实例等。
我也会尝试通过 boto3 来做到这一点。
答案 0 :(得分:2)
你可以Test IAM policies with the IAM policy simulator - AWS Identity and Access Management。这允许您指定策略和资源(包括条件)并测试是否允许 API 调用。
如果您希望通过 boto3 执行此操作,可以使用 simulate_custom_policy():
模拟一组 IAM 策略和可选的基于资源的策略如何与 API 操作和 AWS 资源列表一起工作,以确定策略的有效权限。政策以字符串形式提供。
模拟不执行API操作;它只检查授权以确定模拟策略是允许还是拒绝操作。
如果您想模拟附加到 IAM 用户、组或角色的现有策略,请改用 simulate_principal_policy()。