Boto3を使用してAWSのIAMパスワードポリシーをチェックする方法は？

Question

すべてのユーザーに対してすべてのIAMユーザーのパスワードポリシーを取得する予定です。

IAMの確認方法Boto3を使用しているAWSアカウントのすべてのユーザーに対して、パスワードポリシーを有効または無効にしていますか？

Answer 1

パスワードポリシーはアカウントレベルで設定され、個々のユーザーには設定されません。

In [1]: import boto3 
In [2]: iam = boto3.client('iam') 
In [3]: iam.get_account_password_policy() 
Out[3]: 
{u'PasswordPolicy': {u'AllowUsersToChangePassword': True, 
    u'ExpirePasswords': False, 
    u'MinimumPasswordLength': 8, 
    u'RequireLowercaseCharacters': True, 
    u'RequireNumbers': True, 
    u'RequireSymbols': True, 
    u'RequireUppercaseCharacters': True}, 
'ResponseMetadata': {'HTTPStatusCode': 200, 
'RequestId': 'f9a8fc8e-fbfc-11e5-992f-df20f934a99a'}} 

アカウントの現在のポリシーを確認するには、次のようにします。すべてのユーザーがポリシーに従っていることを確認したい場合は、定期的にパスワードを期限切れにしてください。その場合、ユーザーはポリシーに準拠した新しいパスワードを作成する必要があります。

Answer 2

iam_policy module for Ansibleを使用すると、ユーザー、グループ、および役割のIAMポリシーを管理できます。 IAMユーザー、グループ、または役割のIAMポリシーをアップロードまたは削除することができます。

iam_policy.py fileには、boto.iamのコード例があります。例えば。

current_policies = [cp for cp in iam.list_role_policies(name).list_role_policies_result.policy_names] 
for pol in current_policies: 
    if urllib.unquote(iam.get_role_policy(name, pol).get_role_policy_result.policy_document) == pdoc: 
     policy_match = True 
     if policy_match: 
      # msg = ("The policy document you specified already exists " 
      #  "under the name %s." % pol) 
      pass