AWS IAM Skills
Security-first identity and access management patterns.
🚀 Core Commands
Identity Audit
�CODEBLOCK0
Role Orchestration
�CODEBLOCK1
Policy Verification
�CODEBLOCK2
🧠 Best Practices
- 1. Never use Root: Use IAM users or SSO roles for daily operations.
- Short-lived Credentials: Prefer
sts assume-role over permanent access keys. - MFA Enforcement: Enable Multi-Factor Authentication for all console and sensitive CLI access.
- Access Analyzer: Regularly run IAM Access Analyzer to find unintended public or cross-account access.
AWS IAM 技能
以安全为先的身份与访问管理模式。
🚀 核心命令
身份审计
bash
列出所有用户及其ARN和创建日期
aws iam list-users --query Users[].{User:UserName,Arn:Arn,Date:CreateDate} --output table
查找90天以上未使用的访问密钥
aws iam list-users --query Users[].UserName --output text | xargs -I {} aws iam list-access-keys --user-name {} --query AccessKeyMetadata[?Status==\Active\ && CreateDate < \2025-12-31\]
角色编排
bash
代入角色并获取临时凭证
aws sts assume-role --role-arn <角色ARN> --role-session-name OpenClawSession
列出附加到特定角色的策略
aws iam list-attached-role-policies --role-name <角色名称> --query AttachedPolicies[].PolicyName
策略验证
bash
获取生效策略文档
aws iam get-policy-version --policy-arn
--version-id --query PolicyVersion.Document
🧠 最佳实践
- 1. 绝不使用根用户:日常操作应使用IAM用户或SSO角色。
- 短期凭证:优先使用sts assume-role而非永久访问密钥。
- 强制MFA:为所有控制台和敏感CLI访问启用多因素认证。
- 访问分析器:定期运行IAM访问分析器,发现意外的公开或跨账户访问。
