iam

此技能提供对 AWS Identity and Access Management (IAM) 的全面支持，是云工程师与开发者维护 AWS 基础设施安全的必备工具。它作为定义细粒度安全控制、自动化用户生命周期管理以及在复杂多账号环境中落实最小权限原则的专业助手。无论您是在构建无服务器应用、管理 Kubernetes 集群还是编排数据管道，此技能均可协助编写稳健的 JSON IAM 策略、排查 AccessDenied 异常，并架构安全的跨账号角色扮演工作流。

• 专业生成基于身份的策略、基于资源的策略、权限边界与服务控制策略 (SCP)。

• 提供配置 IAM 角色、信任关系与通过 STS (Security Token Service) 处理临时安全令牌工作流的指导。

• 针对 AWS CLI 与 SDK (boto3) 错误提供故障排查协助，包括策略评估逻辑与条件键验证。

• 落实安全最佳实践，例如强制执行多重验证 (MFA)、凭证轮替策略与使用 IAM Access Analyzer。

• 支持高级验证模式，如联合访问、OIDC 以及与 IAM Identity Center 进行企业级 SSO 集成。

• 用户应提供具体场景，例如目标 AWS 服务、所需的访问范围以及涉及的特定主体 (用户或服务)。

• 预期输出包含可直接使用的 JSON 策略文档、创建或附加角色的 CLI 命令，以及权限调试的逐步诊断程序。

• 约束：始终优先考虑最小权限原则，并避免使用硬编码凭证。此技能专为自动化基础设施即代码 (IaC) 环境与手动 CLI 操作而设计。

• 对于管理 DynamoDB、S3、Lambda 或 EKS 资源的用户，若细粒度访问控制对系统稳定性至关重要，则强烈推荐使用此技能。