AWSコマンドラインツールの認証情報をテストする方法

awsユーティリティに渡すことができるコマンド/サブコマンドはありますか。1）~/.aws/credentialsファイル内の資格情報が有効であることを確認し、2）資格情報がどのユーザーに属するかを示すことができますか？ユーザーがIAMまたは特定のサービスへのアクセス許可を持っていることを想定していない一般的なものを探しています。

この使用例は、資格情報が適切であることを確認するためのデプロイ時の健全性チェックです。理想的には、無効な資格情報がある場合に戻り値をチェックしてデプロイを中止する方法がいくつかあります。

GetCallerIdentityを使用します。
aws sts get-caller-identity

他のAPI / CLI呼び出しとは異なり、IAM権限に関係なく常に機能します。

次の形式で出力が表示されます。

{
    "Account": "123456789012", 
    "UserId": "AR#####:#####", 
    "Arn": "arn:aws:sts::123456789012:assumed-role/role-name/role-session-name"
}

正確なARN形式は資格情報のタイプによって異なりますが、多くの場合（人間の）ユーザーの名前が含まれます。

これは、標準のAWS CLIエラーコードを使用して、成功した場合は0、資格情報がない場合は255を返します。

ストレートな方法があります- aws iam get-userあなたが誰であるか（現在のIAMユーザー）についての詳細を伝える-ユーザーにiam特権がある場合

操作を実行するために必要なconfig / credがあるかどうかを示す--dry-runフラグをサポートするCLI呼び出しがいくつaws ec2 run-instancesかあります。

--auth-dry-run実際にコマンドを実行せずに、コマンドに必要な権限があるかどうかを確認するものもあります。必要な権限がある場合、コマンドはDryRunOperationを返します。それ以外の場合は、UnauthorizedOperationを返します。[ AWSドキュメントから-共通オプション ]

管理コンソールからIAMアクセスキーを一覧表示して、誰がどのキーを割り当てられているかをクロスチェックできます。

どのユーザー/ロールにどのような特権があるかを理解する最良の方法は、IAM Policy Simulatorを利用することです。