通过试运行 API 调用进行 AWS IAM 策略验证

AWS IAM 提供策略模拟器端点，允许开发者在 AWS 上创建策略之前对其进行验证。该端点接受 JSON 格式的策略，并验证策略中的权限授予是否符合开发者预期。开发者可以提供上下文键，例如来源 IP 地址和请求的区域，以进行更准确的验证。策略模拟器有助于确保策略有效且安全，避免创建可能导致意外访问或违规的策略。

我正在开发一个工具，它将 IAM 策略作为 JSON 并在 AWS 上创建策略。我正在使用 aws-sdk-go 来构建该工具。我正在寻找一种方法，可以在 AWS 上执行策略之前验证该策略。 AWS 是否提供某种 API 来空运行策略创建或类似的东西？

我尝试过的事情： 我正在逐个字段验证策略。

• 效果字段必须为 Allow 或 Deny
• 对于操作字段，我在工具中添加了一个字典，它将服务映射到有效操作。这种方法的问题是它需要大量维护。 AWS 不断发布新的服务和操作，我必须更新字典。
• 对于资源，它应该是有效的 ARN。

添加了一些其他验证，但手动添加所有验证检查确实很困难。我相信，AWS 必须为策略提供某种试运行设施。

解决方案

AWS API 公开策略模拟器端点。您应该能够轻松使用 https://docs.aws.amazon.com/sdk-for-go/api/service/iam/（特别是 https://docs.aws.amazon.com/sdk-for-go/api/service/iam/#IAM.SimulateCustomPolicy）上的策略模拟器。

策略模拟器将允许您验证策略的 json，并验证您在策略中授予的权限的结果中是否表达了您的意图。您可以提供上下文键，例如aws:SourceIp、aws:RequestedRegion等。

终于介绍完啦！小伙伴们，这篇关于《通过试运行 API 调用进行 AWS IAM 策略验证》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布Golang相关知识，快来关注吧！