如何列出所有用户策略、组以及关联的权限，并将其提取到CSV中

问题描述

希望扩展现有的AWS IAM（身份和访问管理）命令行脚本，以便在生成的CSV文件中包含用户、组和关联权限的信息。目前脚本只展示了与策略直接相关的用户，而没有包含组的信息。用户请求帮助来修改脚本，使其可以显示关联的组以及它们各自的权限。

解决方案

注意：在进行任何操作之前，请确保你已经理解了脚本的作用以及可能造成的影响。执行命令时请小心，特别是在生产环境中。

以下是如何修改现有的AWS IAM命令行脚本，以便在CSV中包含用户、组和关联权限信息的步骤：

步骤1：修改脚本以包含组信息

首先，我们需要修改脚本，以便获取用户关联的组信息。可以通过调用aws iam list-groups-for-user命令来获取用户所属的组列表。将以下代码添加到现有的脚本中：

groups="$(aws iam list-groups-for-user --user-name ${u_name} | jq -r '.Groups[].GroupName' | tr '\n' ' ')"

这将获取用户关联的所有组，并将它们以空格分隔的形式存储在变量groups中。

步骤2：修改脚本以包含组的权限信息

接下来，我们需要获取每个组的权限信息。可以使用类似的方法，调用aws iam list-attached-group-policies命令来获取每个组关联的策略列表。将以下代码添加到脚本中：

group_permissions=""
for group_name in ${groups}; do
  group_permissions+="Group: ${group_name}, "
  policies="$(aws iam list-attached-group-policies --group-name ${group_name} | jq -r '.AttachedPolicies[].PolicyArn' | awk -F'policy/' '{print $NF}' | tr '\n' ' ')"
  group_permissions+="${policies}"
done

这将为每个组获取关联的策略信息，并将它们存储在变量group_permissions中。

步骤3：将用户、组和权限信息写入CSV文件

最后，我们将用户、组和权限信息写入CSV文件。修改以下代码以添加组和权限信息：

echo "${u_name}, ${permissions}, ${group_permissions}" >> iam_users.csv

完整脚本示例

以下是修改后的完整脚本示例：

#!/bin/bash

# 清空CSV文件
> iam_users.csv

# 获取所有用户名
for u_name in $(aws iam list-users | jq -r '.Users[].UserName'); do
  permissions="$(aws iam list-attached-user-policies --user-name ${u_name} | jq -r '.AttachedPolicies[].PolicyArn' | awk -F'policy/' '{print $NF}' | tr '\n' ' ')"

  # 获取用户关联的组信息
  groups="$(aws iam list-groups-for-user --user-name ${u_name} | jq -r '.Groups[].GroupName' | tr '\n' ' ')"

  # 获取组的权限信息
  group_permissions=""
  for group_name in ${groups}; do
    group_permissions+="Group: ${group_name}, "
    policies="$(aws iam list-attached-group-policies --group-name ${group_name} | jq -r '.AttachedPolicies[].PolicyArn' | awk -F'policy/' '{print $NF}' | tr '\n' ' ')"
    group_permissions+="${policies}"
  done

  # 将用户、组和权限信息写入CSV文件
  echo "${u_name}, ${permissions}, ${group_permissions}" >> iam_users.csv
done

在上述脚本中，我们在循环中获取每个用户的权限信息、关联的组信息以及组的权限信息，并将所有这些信息写入CSV文件中。

请注意，由于组和权限的复杂性，以上脚本可能需要根据实际需求进行调整和优化。执行脚本时，请确保你已经具备足够的AWS IAM权限以及足够的测试环境。

总结

通过修改现有的AWS IAM命令行脚本，我们可以获取用户、组和关联权限的信息，并将其写入CSV文件中。这有助于更全面地了解AWS IAM中的权限分配情况，以及用户与组之间的关联关系。在执行脚本时，请务必小心谨慎，以防止意外情况的发生。