iam

IAM 技能提供 AWS 安全性与存取控制的全面支持，协助代理程序有效管理身分、资源与权限。此技能专为云端工程师、DevOps 从业者与信息安全架构师设计，目标是在执行「最小权限原则」的同时，确保如 Lambda、EC2 与 S3 等服务能安全地进行互动。此技能涵盖了以身分为基础与以资源为基础的策略、角色型存取控制 (RBAC) 以及跨账户存取的信任关系。

• 提供建立、修改与疑难排解 JSON 格式 IAM 策略、权限边界 (Permission Boundaries) 与服务控制策略 (SCPs) 的专业指引。

• 协助设定 IAM 角色、服务假设 (Service Assumption) 的信任关系，以及联合身分 (Federated Identity) 设定。

• 支持常见 AWS 授权问题的除错，包括 AccessDeniedException、策略模拟 (Policy Simulation) 与凭证报告分析。

• 强化安全性的工作流程，例如启用 MFA、轮替存取密钥，并透过 CloudTrail 与 IAM Access Analyzer 审核 Root 账户使用情况。

• 自动产生适用于 boto3 与 AWS CLI 的指令，确保符合规范且可重复部署的基础架构即代码 (IaC)。

• 使用者应提供特定的资源 ARN、账户 ID 或动作模式，以取得精确的策略产生建议。

• 输入需求通常包含目标服务、所需的 API 动作以及预期的主体 (使用者/角色/服务)。

• 输出内容包含完整的 JSON 策略文件、用于 CLI 执行的 Shell 指令码，或是现有设定的除错步骤。

• 请注意全域资源与区域资源之间的限制，以及 IAM 评估中「隐含拒绝」的本质。

• 务必优先考虑最小权限原则，尽可能使用明确的资源范围界定，而非使用万用字元。