Как посмотреть действия IAM, необходимые для данного вызова API AWS?

Question

Есть ли способ поиска разрешений, которые вам понадобятся для вызова API AWS?

Например, я хочу вызвать PutMetricAlarm в API CloudWatch, поэтому мне нужно, по крайней мере, действие cloudwatch:PutMetricAlarm Разрешено для этого ресурса. Но какой еще минимум мне нужен?

Answer 1

Существует отношение один-к-одному между действиями, определенными в действиях API и IAM.

В вашем примере с PutMetricAlarm не требуется никакого другого разрешения, кроме cloudwatch:PutMetricAlarm.

Имя действия IAM (часть после :) всегда совпадает с именем действия в API.

Префикс (часть перед :) является константой для каждой службы, но не всегда идентичен имени службы (например, CloudWatch Logs - logs, Firewall Manager - fms).

Также обратите внимание, что префикс и имя действия без учета регистра .

Хорошие ссылки:

• Действия, ресурсы и ключи условий для сервисов AWS
• Генератор политик AWS
• Полный справочник по AWS IAM (облачно)