iam

IAM 技能提供 AWS 安全性與存取控制的全面支援，協助代理程式有效管理身分、資源與權限。此技能專為雲端工程師、DevOps 從業者與資訊安全架構師設計，目標是在執行「最小權限原則」的同時，確保如 Lambda、EC2 與 S3 等服務能安全地進行互動。此技能涵蓋了以身分為基礎與以資源為基礎的策略、角色型存取控制 (RBAC) 以及跨帳戶存取的信任關係。

• 提供建立、修改與疑難排解 JSON 格式 IAM 策略、權限邊界 (Permission Boundaries) 與服務控制策略 (SCPs) 的專業指引。

• 協助設定 IAM 角色、服務假設 (Service Assumption) 的信任關係，以及聯邦身分 (Federated Identity) 設定。

• 支援常見 AWS 授權問題的除錯，包括 AccessDeniedException、策略模擬 (Policy Simulation) 與憑證報告分析。

• 強化安全性的工作流程，例如啟用 MFA、輪替存取金鑰，並透過 CloudTrail 與 IAM Access Analyzer 審核 Root 帳戶使用情況。

• 自動產生適用於 boto3 與 AWS CLI 的指令，確保符合規範且可重複部署的基礎架構即程式碼 (IaC)。

• 使用者應提供特定的資源 ARN、帳戶 ID 或動作模式，以取得精確的策略產生建議。

• 輸入需求通常包含目標服務、所需的 API 動作以及預期的主體 (使用者/角色/服務)。

• 輸出內容包含完整的 JSON 策略文件、用於 CLI 執行的 Shell 指令碼，或是現有設定的除錯步驟。

• 請注意全域資源與區域資源之間的限制，以及 IAM 評估中「隱含拒絕」的本質。

• 務必優先考慮最小權限原則，盡可能使用明確的資源範圍界定，而非使用萬用字元。