如何测试 AWS 命令行工具的凭证

使用 GetCallerIdentity:

aws sts get-caller-identity

与其他 API/CLI 调用不同，无论您的 IAM 权限如何，它都将始终有效。

您将获得以下格式的输出：

{
    "Account": "123456789012", 
    "UserId": "AR#####:#####", 
    "Arn": "arn:aws:sts::123456789012:assumed-role/role-name/role-session-name"
}

确切的 ARN 格式取决于凭证的类型，但通常包括（人类）用户的名称。

它使用标准 AWS CLI 错误代码 成功时给出 0，如果您没有凭证则给出 255。

有一种简单的方法 -

aws iam get-user

会告诉您是谁（当前 IAM 用户）的详细信息 - 前提是用户拥有

iam

权限。

有几个 CLI 调用支持

--dry-run

标志，例如

aws ec2 run-instances

，您可以告诉您是否有必要的配置/信用来执行该操作。

还有

--auth-dry-run

，它会检查您是否拥有该命令所需的权限，而无需实际运行该命令。如果您拥有所需的权限，该命令将返回 DryRunOperation；否则，返回 UnauthorizedOperation。 [ 来自 AWS 文档 - 常用选项 ]

您将能够从管理控制台列出 IAM 访问密钥，您可以交叉检查以查看谁已分配了哪个密钥。

了解哪个用户/角色拥有哪些权限的最佳方法是使用 IAM 策略模拟器。

我也需要同样的东西，所以我写了

aws-role

我还希望该命令输出注销前剩余的会话时间：

我在许多 shell 脚本中使用它来自动化我的 AWS 使用——对我来说效果很好。

我的脚本解析

~/.aws/credentials

_{PS：也在考虑增强它以支持JSON输出}