​​Утилита для формирования IAM политик по запросу с вашего компьютера:

https://github.com/iann0036/iamlive

Написана на Go, потому легко запускается на Linux/
В одном окошке запускаете один бинарник (написана на Go), в моём случае это:

iamlive --set-ini --profile=sf

(у вас может быть другой профиль или без него)

В другом окошке выполняем команду (для выбранного окружения/профиля):

aws --profile=sf s3 ls

В первом окошке для сделанного запроса отобразится IAM права для выполненного запроса:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    }
  ]
}

Полезно не только для изучения, но и для трассировки: с ключиком --fails-only можно получать лишь те политики, которые дали ошибку – прав на которые для выполнения команды у текущего пользователя/профиля нет.

#IAM

неплохо, но не то )

Господа, подскажите, а я правильно понимаю, что изнутри оффлайновой VPC создать IAM роль не получится?

Что есть оффлайновой?

оффлайновой - значит не имеющей выходов в мир. Без гейтвеев

Ну тогда логично же)

iam.amazonaws.com резолвится на внешний ип И VPC gateway к нему нет

или я чего то не заметил?

Есть же этот как его

Service endpoint

Это что за зверь.. ща гляну

Он тебе и нужен скорее всего

com.amazonaws.us-east-1.servicecatalog
Этот?

не, не то

?) Это вообще мимо. Иди в vpc там поищи

Я не нашел, по этому и спрашиваю )))

Я не за компом и одним пальцем печатаю) попозже скину немного

Спс

Похоже на это