我来帮你搞定IAM用户克隆的需求！不管是用AWS CLI还是Terraform，都有可行的方案，下面给你详细拆解：

你可以通过一系列CLI命令组合，或者写个简单的shell脚本来自动化完成克隆操作，步骤如下：

1. 收集原用户的权限与组信息 #

首先获取原用户的所有关键配置：

• 列出内联策略：

  aws iam list-user-policies --user-name ORIGINAL_USER_NAME
  

• 获取每个内联策略的具体内容：

  aws iam get-user-policy --user-name ORIGINAL_USER_NAME --policy-name POLICY_NAME
  

• 列出附加的托管策略：

  aws iam list-attached-user-policies --user-name ORIGINAL_USER_NAME
  

• 列出用户所属的组：

  aws iam list-groups-for-user --user-name ORIGINAL_USER_NAME
  

2. 创建新的测试用户 #

aws iam create-user --user-name TEST_USER_NAME

3. 复制内联策略 #

可以用循环批量处理所有内联策略：

ORIGINAL_USER="original-user"
TEST_USER="test-user"

# 遍历所有内联策略
for policy in $(aws iam list-user-policies --user-name $ORIGINAL_USER --query 'PolicyNames' --output text); do
    # 获取策略文档
    policy_doc=$(aws iam get-user-policy --user-name $ORIGINAL_USER --policy-name $policy --query 'PolicyDocument' --output json)
    # 给新用户添加内联策略
    aws iam put-user-policy --user-name $TEST_USER --policy-name $policy --policy-document "$policy_doc"
done

4. 附加托管策略 #

同样用循环处理：

# 遍历所有托管策略
for policy_arn in $(aws iam list-attached-user-policies --user-name $ORIGINAL_USER --query 'AttachedPolicies[].PolicyArn' --output text); do
    aws iam attach-user-policy --user-name $TEST_USER --policy-arn $policy_arn
done

5. 添加到对应用户组 #

# 遍历所有所属组
for group in $(aws iam list-groups-for-user --user-name $ORIGINAL_USER --query 'Groups[].GroupName' --output text); do
    aws iam add-user-to-group --group-name $group --user-name $TEST_USER
done

可选：复制控制台登录配置 #

如果需要测试控制台登录权限，可以复制登录配置（注意：密码需要手动设置或生成）：

# 生成随机密码（可选）
password=$(aws secretsmanager get-random-password --password-length 16 --require-each-included-type --output text --query 'RandomPassword')

# 创建登录配置
aws iam create-login-profile --user-name $TEST_USER --password "$password" --password-reset-required

Terraform可以通过数据源读取原用户的配置，然后动态创建新用户的对应资源，示例配置如下：

1. 定义数据源读取原用户信息 #

# 读取原用户基本信息
data "aws_iam_user" "original" {
  user_name = "ORIGINAL_USER_NAME"
}

# 读取原用户的内联策略
data "aws_iam_user_policies" "original" {
  user_name = data.aws_iam_user.original.name
}

# 读取原用户附加的托管策略
data "aws_iam_attached_user_policies" "original" {
  user_name = data.aws_iam_user.original.name
}

# 读取原用户所属的组
data "aws_iam_groups_for_user" "original" {
  user_name = data.aws_iam_user.original.name
}

2. 创建测试用户及关联资源 #

# 创建测试用户
resource "aws_iam_user" "test" {
  name = "TEST_USER_NAME"
  path = data.aws_iam_user.original.path # 保持和原用户相同的路径
}

# 动态创建内联策略
resource "aws_iam_user_policy" "test" {
  for_each = toset(data.aws_iam_user_policies.original.names)
  name     = each.value
  user     = aws_iam_user.test.name

  policy = data.aws_iam_user_policy.original[each.value].policy
}

# 动态获取每个内联策略的文档
data "aws_iam_user_policy" "original" {
  for_each = toset(data.aws_iam_user_policies.original.names)
  user_name = data.aws_iam_user.original.name
  name      = each.value
}

# 动态附加托管策略
resource "aws_iam_user_policy_attachment" "test" {
  for_each = toset(data.aws_iam_attached_user_policies.original.policy_arns)
  user      = aws_iam_user.test.name
  policy_arn = each.value
}

# 动态添加用户到组
resource "aws_iam_group_membership" "test" {
  for_each = toset(data.aws_iam_groups_for_user.original.group_names)
  name     = "${aws_iam_user.test.name}-${each.value}"
  group    = each.value
  users    = [aws_iam_user.test.name]
}

注意事项 #

• 如果你不需要复制原用户的访问密钥或密码，可以跳过相关资源的创建
• Terraform执行前记得先terraform init，然后terraform apply即可完成克隆

内容的提问来源于stack exchange，提问作者Manish Bhatt