Donc, je voudrais vérifier si un rôle est configuré avec une relation d'approbation. Existe-t-il un moyen pour moi de faire un rôle à sec pour vérifier la relation de confiance sans demander des informations d'identification temporaires? Je sais que d'autres appels aws api ont des options de course à sec qui ont des effets similaires, mais je n'en ai pas vu pour les sts assumer le rôle.Comment faire un appel à sec sur un appel Assume rôle?
2
A
Répondre
2
Vous avez raison - il ne semble pas y avoir d'option --dry-run
pour assume-role
.
Cela ne fonctionnerait probablement pas de toute façon parce que Dry Run est utilisé pour vérifier si vous êtes autorisé à faire l'appel de l'API lui-même, pas si l'appel de l'API réussirait.
Par exemple, ici, je tente de supprimer un instantané avec Dry Run:
$ aws ec2 delete-snapshot --snapshot-id snap-23 --dry-run
An error occurred (DryRunOperation) when calling the DeleteSnapshot
operation: Request would have succeeded, but DryRun flag is set.
Et là, il est sans Dry Run:
$ aws ec2 delete-snapshot --snapshot-id snap-23
An error occurred (InvalidSnapshot.NotFound) when calling the
DeleteSnapshot operation: The snapshot 'snap-00000023' does not exist.
Une chose que je trouve qui était un peu utile et est le simulateur de politique http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html vous permet de voir ce qu'un rôle avec une politique spécifique serait autorisé à faire. Pas exactement ce que je demandais, mais tangentiellement lié. – jeffrey