是否有一个命令/子命令可以传递给aws实用程序,可以1)验证~/。Aws /凭证文件是有效的,并且2)给出一些指示凭证属于哪个用户?我正在寻找一些通用的东西,它不会对用户具有IAM或任何特定服务的权限做出任何假设。
这个用例是部署时的完整性检查,以确保凭据是正确的。理想情况下,如果凭证无效,可以通过某种方式检查返回值并中止部署。
是否有一个命令/子命令可以传递给aws实用程序,可以1)验证~/。Aws /凭证文件是有效的,并且2)给出一些指示凭证属于哪个用户?我正在寻找一些通用的东西,它不会对用户具有IAM或任何特定服务的权限做出任何假设。
这个用例是部署时的完整性检查,以确保凭据是正确的。理想情况下,如果凭证无效,可以通过某种方式检查返回值并中止部署。
有一个简单的方法——aws iam get-user会告诉你是谁(当前iam用户)的详细信息——前提是用户有iam特权。
有几个CLI调用支持——dry-run标志,如aws ec2 run-instances,它会告诉你是否有必要的配置/ cred来执行操作。
还有——auth-dry-run,它可以在不实际运行命令的情况下检查您是否拥有命令所需的权限。如果您拥有所需的权限,该命令返回DryRunOperation;否则,返回UnauthorizedOperation。[来自AWS文档-通用选项]
你可以从管理控制台列出IAM访问密钥,你可以交叉检查,看看谁被分配了哪个密钥。
了解哪个用户/角色拥有哪些特权的最好方法是使用IAM Policy Simulator。
使用GetCallerIdentity: Aws STS获取呼叫者标识
与其他API/CLI调用不同,无论您的IAM权限如何,它都将始终工作。
您将得到以下格式的输出:
{
"Account": "123456789012",
"UserId": "AR#####:#####",
"Arn": "arn:aws:sts::123456789012:assumed-role/role-name/role-session-name"
}
确切的ARN格式将取决于凭据的类型,但通常包括(人工)用户的名称。
它使用标准的AWS CLI错误代码,成功时给出0,如果没有凭据则给出255。
我也需要这个,所以我写了aws-role
我还希望该命令输出注销前的会话时间:
我在许多shell脚本中使用它来自动化我的AWS使用—对我来说效果很好。
我的脚本解析~/.aws/凭证
PS:我也在考虑增强它以支持JSON输出