如何测试AWS命令行工具的凭据

是否有一个命令/子命令可以传递给aws实用程序,它可以1)验证~/.aws/credentials文件中的凭证是有效的,并且2)给出一些凭证属于哪个用户的指示?我正在寻找一些通用的东西,它不会对用户具有IAM或任何特定服务的权限做出任何假设。

这个用例是部署时的完整性检查,以确保凭据是正确的。理想情况下,如果凭证无效,可以通过某种方式检查返回值并中止部署。

144759 次浏览
小开

有一个简单的方法——aws iam get-user会告诉你是谁(当前IAM用户)的详细信息——前提是用户有iam特权。

有几个CLI调用支持--dry-run标志,比如aws ec2 run-instances,你会告诉你是否有必要的配置/ cred来执行操作。

还有--auth-dry-run,它检查你是否拥有命令所需的权限,而不实际运行命令。如果您拥有所需的权限,该命令返回DryRunOperation;否则,返回UnauthorizedOperation。[来自AWS文档-通用选项]

你可以从管理控制台列出IAM访问密钥,你可以交叉检查,看看谁被分配了哪个密钥。

了解哪个用户/角色拥有哪些特权的最好方法是使用IAM Policy模拟器

小开
< p >使用GetCallerIdentity: < br > aws sts get-caller-identity < / p >

与其他API/CLI调用不同,无论您的IAM权限如何,它都将始终工作。

您将得到以下格式的输出:

{
"Account": "123456789012",
"UserId": "AR#####:#####",
"Arn": "arn:aws:sts::123456789012:assumed-role/role-name/role-session-name"
}

确切的是格式将取决于凭据的类型,但通常包括(人类)用户的名称。

它使用标准AWS CLI错误码,成功时给出0,如果没有证书则给出255。

小开

我需要同样的,所以我写了aws-role

我还希望该命令输出注销前的会话时间:

enter image description here

我在许多shell脚本中使用它来自动化我的AWS使用—对我来说效果很好。

我的脚本解析~/.aws/credentials

PS:我也在考虑增强它以支持JSON输出


提交答案