Как проверить и получить разрешения на доступ к Amazon ARN?

Как мы можем проверить стороннее имя ресурса Amazon ( ARN) и получить все примененные разрешения IAM или подтвердить определенные разрешения IAM с помощью AWS SDK для Java?


amazon-web-services amazon-iam
person Udit Bhatia    schedule 21.07.2014    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Я не знаю возможности активного получения всех разрешений AWS IAM подал заявку на ARN для доступа к API между учетными записями с использованием Роли IAM (если это то, что вам нужно).

Однако вы можете использовать DecodeAuthorizationMessage Действие API (соответственно AWS SDK для Java, decodeAuthorizationMessage(...)), чтобы получить дополнительную информацию о статусе авторизации запроса из закодированного сообщения, возвращенного в ответ на запрос AWS. :

Расшифрованное сообщение включает в себя следующий тип информации:

  • Был ли запрос отклонен из-за явного запрета или из-за отсутствия явного разрешения. Дополнительные сведения см. в разделе Определение того, разрешен ли запрос или Отказано в использовании IAM.
  • Принципал, сделавший запрос.
  • Требуемое действие.
  • Запрашиваемый ресурс.
  • Значения ключей условий в контексте запроса пользователя.

Это должно, по крайней мере, позволить вам заранее проверить определенные разрешения и/или предоставить вашим пользователям более точные рекомендации по исключениям при сбоях запросов из-за отсутствия разрешения.

person Steffen Opel    schedule 21.07.2014
comment
Спасибо за ответ, в API AssumeRoleRequest есть один метод getPolicy(). Мы не можем получить политику от этого метода и, в свою очередь, получить разрешенные действия для этой политики? Я пытался это сделать, но взамен получил null. Нужны ли нам какие-то разрешения, чтобы получить это. - person Udit Bhatia; 22.07.2014
comment
@UditBhatia — класс AssumeRoleRequest (и аналогичный классу AssumeRoleResult) — это просто объекты передачи данных (DTO), то есть артефакты того, как AWS SDK для Java обрабатывает параметры запроса/ответа для базовой AssumeRole действие API - следовательно, getPolicy()/setPolicy() - это просто пара методов получения/установки для (необязательного) параметра запроса Policy в AssumeRoleRequest DTO, который вы, в свою очередь, передадите методу assumeRole(...). - person Steffen Opel; 22.07.2014