使用 IAM 策略模拟器测试 IAM 策略

使用 IAM 策略模拟器,您可以通过以下方式对 IAM 和基于资源的策略进行测试和问题排查:

  • 测试附加到您 AWS 账户中的 IAM 用户、组或角色的策略。如果多个策略附加到用户、组或角色,您可以测试所有策略,也可以选择单个策略进行测试。您可以测试为特定资源所选的策略允许或拒绝哪些操作。
  • 测试附加到 AWS 资源(如 Amazon S3 存储桶、Amazon SQS 队列、Amazon SNS 主题或 Amazon S3 Glacier 文件库)的策略。
  • 如果您的 AWS 账户是 AWS Organizations 中的组织的成员,则您可以测试服务控制策略 (SCP) 对您的 IAM 策略和资源策略的影响。
  • 通过将尚未附加到用户、组或角色的新策略键入或复制到模拟器中,对这些新策略进行测试。这些仅在模拟中使用,不会保存。请注意:您不能将基于资源的策略键入或者复制到模拟器中。要在模拟器中使用基于资源的策略,您必须将相关资源包含在模拟中,并且选中复选框将该资源的策略包含在模拟中。
  • 使用所选服务、操作和资源测试策略。例如,您可以通过测试确保策略允许某个实体在 Amazon S3 服务中对特定存储桶执行 ListAllMyBucketsCreateBucket 和 DeleteBucket 操作。
  • 通过提供上下文键 (如 IP 地址或日期,包含在被测试策略的 Condition 元素中) 模拟真实方案。
  • 识别策略中导致允许或拒绝访问特定资源或操作的特定语句。

  • IAM 策略模拟器的工作方式

    模拟器评估您选择的策略,为您指定的每项操作确定有效权限。模拟器使用真实 AWS 服务请求期间所用的同一策略评估引擎。只是在以下几方面与真实 AWS 环境不同:

    • 模拟器不发出真实 AWS 服务请求,因此,您可以安全地测试在真实 AWS 环境中会进行不需要的更改的请求。
    • 因为模拟器不模拟运行所选操作,所以它不能报告对模拟请求的任何响应。返回的唯一结果是请求的操作是被允许还是被拒绝。
    • 如果您在模拟器内编辑策略,所做的更改只影响模拟器。您的 AWS 账户中的相应策略保持不变。

    使用 IAM 策略模拟器(AWS CLI 和 AWS API)

    策略模拟器命令通常需要调用 API 操作以执行两项操作:

    1. 评估策略并返回策略引用的上下文键的列表。您需要了解引用了哪些上下文键,以便在下一个步骤中提供它们的值。
    2. 模拟策略,在模拟过程中提供操作、资源和上下文键的列表。

    出于安全原因,API 操作已分为两个组:

    在这两种情况下,API 操作都将模拟一个或多个策略对操作和资源的列表的影响。每个操作都与每个资源配对,模拟将确定策略对该资源是允许还是拒绝该操作。您还可以为您的策略引用的任何上下文键提供值。通过首先调用GetContextKeysForCustomPolicy 或 GetContextKeysForPrincipalPolicy,可以获取策略引用的上下文密钥的列表。如果不提供上下文键值,模拟仍会运行。但结果可能不可靠,这是因为模拟器无法在评估中包含该上下文键。

    获取上下文密钥的列表(AWS CLI、AWS API)

    使用以下命令评估策略列表,返回策略中使用的上下文键的列表。

原文地址:https://www.cnblogs.com/cloudrivers/p/11620790.html

时间: 2024-10-24 08:36:33

使用 IAM 策略模拟器测试 IAM 策略的相关文章

App测试的策略

(一).App测试的策略 1.App测试需要考虑的方面     设备多样性     操作系统.浏览器.应用程序运行时环境.屏幕分辨率.人机交互界面和接口.人体工程学设计.屏幕尺寸等     运营商网络基础设施     自动化脚本编程与开发     可用性测试 2.基于模拟器的测试使用模拟器进行测试也许不是最佳测试方法,但通常却是最实用和最节约成本的,而且它还有一些其它优点.    第一,模拟器更加便利地进行功能测试,你可以通过单步调试发现没有满足需求设计的地方和细节.通过模拟器调试和分析bug,

Redis的过期策略和内存淘汰策略

自己将Redis的过期策略和内存淘汰策略搞混淆了. Redis的过期策略 我们都知道,Redis是key-value数据库,我们可以设置Redis中缓存的key的过期时间.Redis的过期策略就是指当Redis中缓存的key过期了,Redis如何处理. 过期策略通常有以下三种: 定时过期:每个设置过期时间的key都需要创建一个定时器,到过期时间就会立即清除.该策略可以立即清除过期的数据,对内存很友好:但是会占用大量的CPU资源去处理过期的数据,从而影响缓存的响应时间和吞吐量. 惰性过期:只有当访

[问八系列] Windows 8 开发 (6) - 使用 Windows 8 模拟器测试应用程序

今天因缘际会间,得知了 Visual Studio "11" 可以使用模拟器来测试应用程序,马上就试用了,不但简单,速度也很令人满意.而且只要一个简单的步骤,就能采用模拟器来启动自己的 Metro-style application. 在 Windows 8 中使用 Visual Studio "11" 开发 Metro-style application,最常用的测试方式应该会是直接按 F5 启动,然后用本机来测试应用程序,这是笔者之前所做的开发与测试方式,但老实

五大常见算法策略——递归与分治策略

摘要:递归与分治策略是五大常见算法策略之一,分治策略的思想就是分而治之,即先将一个规模较大的大问题分解成若干个规模较小的小问题,再对这些小问题进行解决,得到的解,在将其组合起来得到最终的解.而分治与递归很多情况下都是一起结合使用的,能发挥出奇效(1+1>2),这篇文章我们将先从递归说起,再逐渐向分治过渡,主要讲解方式是通过9个例题来说明问题的,问题都是根据难度由简到难,由浅入深,对递归与分治能有个大概的了解雏形,当然最重要还是要做大量练习才能掌握. 1.递归 我们第一次接触递归一般都是在初学C语

Monkey测试的策略和分析

Monkey测试针对不同的对象和不同的目的采用不同的测试方案,首先测试的对象.目的及类型如下: 测试的类型分为:应用程序的稳定性测试和压力测试 测试对象分为:单一apk和apk集合 测试的目的分为:解决问题的测试(忽略异常的测试)和验收测试(不忽略异常的测试) 对于应用程序的稳定性测试有两中情况 在针对单个apk是,对不忽略异常的,在进行单个apk的验收测试时,则使用单一apk且不忽略异常的命令执行.对忽略异常的,在进行单个apk的解决问题的测试时,则使用单一apk且忽略异常的命令执行,这样可以

组策略 之   调整 组策略的刷新间隔

位置: 编辑 "default domain policy"策略,找到   计算机配置------策略------管理模板:从本地计算机中检索的策略定义(ADMX文件)--------系统----------组策略---------找到 1.配置计算机的组策略的刷新间隔 2.设置域控制器的组策略刷新间隔

Discuz下积分策略的添加及策略限制的实现

转:http://www.zlnxn.com/discuz%E4%B8%8B%E7%A7%AF%E5%88%86%E7%AD%96%E7%95%A5%E7%9A%84%E6%B7%BB%E5%8A%A0%E5%8F%8A%E7%AD%96%E7%95%A5%E9%99%90%E5%88%B6%E7%9A%84%E5%AE%9E%E7%8E%B0/ 最近新的项目主要是做一个积分&金币&勋章体系,是基于Discuz的二次开发,所以难免要去研究一下Discuz的积分体系.首先去看了一下后台的积分

最实用的手机在线模拟器测试工具!

1. Responsinator 只要打开Responsinator这个网站,在上端的输入框中输入你想测试的网站URL,接下来点击搜索框旁边的GO按钮就可以在各种移动设备模拟器上看到你网站的预览效果了!而且手机网站在每个移动设备模拟器上是实时同步更新的时间. 网址:http://www.responsinator.com/ 2. RWD-Demonstrating RWD-Demonstrating是一个适合设计师和前端人员使用的在线响应式设计工具,工具使用十分简单,有5个Apple设备选择,分

Mac上搭建Xcode9.0+appium1.6.5过程及链接模拟器测试app

Mac上搭建在ios模拟器上运行测试APP相对在真机上要简单些.不过笔者真的是折腾了2 天了,百度谷歌搜了个遍,大脑快炸了,遇到各种坑,笔者装的是Xode9.0版本, 不过最终还是坚持弄好了.先给大家讲讲完成在模拟器上测试app的详细步骤. 前提: 1.  已安装Xcode8.0及以上 2.  Mac 10.12以上(笔者写文章时的mac最新系统是10.12.6) 3.  已安装appium1.6.5(可以安装桌面版的也可以通过npm命令安装:npm install –g appium) 一.