iam

此技能提供對 AWS Identity and Access Management (IAM) 的全面支援，是雲端工程師與開發人員維護 AWS 基礎架構安全的關鍵工具。它作為定義細粒度安全控制、自動化使用者生命週期管理以及在複雜多帳號環境中落實最小權限原則的專業助手。無論您是在建構無伺服器應用程式、管理 Kubernetes 叢集或編排資料管線，此技能皆可協助編寫強健的 JSON IAM 策略、排解 AccessDenied 例外狀況，以及架構安全的跨帳號角色承擔工作流程。

• 專業產生基於身分的策略、基於資源的策略、權限邊界與服務控制策略 (SCP)。

• 提供設定 IAM 角色、信任關係與透過 STS (Security Token Service) 處理臨時安全性權杖工作流程的指引。

• 針對 AWS CLI 與 SDK (boto3) 錯誤提供疑難排解協助，包含策略評估邏輯與條件鍵驗證。

• 落實安全最佳實務，例如強制執行多重驗證 (MFA)、憑證輪替策略與使用 IAM Access Analyzer。

• 支援進階驗證模式，如聯合存取、OIDC 以及與 IAM Identity Center 進行企業級 SSO 整合。

• 使用者應提供具體情境，例如目標 AWS 服務、所需的存取範圍以及涉及的特定主體 (使用者或服務)。

• 預期輸出包含可直接使用的 JSON 策略文件、建立或附加角色的 CLI 指令，以及權限偵錯的逐步診斷程序。

• 限制：始終優先考慮最小權限原則，並避免使用硬編碼憑證。此技能專為自動化基礎架構即程式碼 (IaC) 環境與手動 CLI 操作而設計。

• 對於管理 DynamoDB、S3、Lambda 或 EKS 資源的使用者，若細粒度存取控制對系統穩定性至關重要，則強烈建議使用此技能。