全部在您的浏览器中运行 — 不会上传任何内容。
出错位置
需要注意的事项
逐条说明
关于此工具
IAM 策略是一份 JSON 文档,用于决定谁可以在某个 AWS 账户中执行哪些操作。每条语句都由一个效果(Allow 或 Deny)、一组操作(Action)、它们所适用的资源(Resource)、可选的主体(Principal),以及必须满足的条件组合而成。其语法精确却密集——几个通配符和条件运算符就足以掩盖一份策略实际授予了多大的访问权限。
本工具会解析该文档,并将每条语句改写成一句话:允许或拒绝哪些操作、作用于哪些资源、面向谁、以及在什么条件下生效。随后它会突出显示值得再次审视的模式——完整的管理员权限、公开的主体、宽泛的服务通配符、NotAction/NotResource 这类容易出错的写法以及提权操作——并指出诸如强制 MFA 或 TLS 之类的良好控制措施。
解析在本地进行——你粘贴的策略绝不会离开你的浏览器。该解读是对 JSON 的确定性转换,而非法律或安全建议;请始终对照你自己的需求进行审查。
常见问题
它会把我的策略发送到任何地方,或使用 LLM 吗?
不会。该解读由一个完全运行在你浏览器中的确定性规则引擎生成。不会上传任何内容,也不会调用任何 AI 服务,因此账户 ID、ARN 和主体都会留在你的设备上。
它能理解哪些类型的策略?
基于身份的策略、基于资源的策略以及角色信任策略。它会规范化单条或多条语句、字符串或数组形式的值、Principal 块,以及常见的条件运算符和全局条件键。
这些风险提示是一次完整的安全审计吗?
不是。它们会标记常见的高影响模式——完整管理员权限(Action 和 Resource 同时为 "*")、公开的主体、宽泛的服务通配符、NotAction/NotResource 以及提权操作——但这些只是启发式判断,无法替代最小权限审查或 IAM Access Analyzer 之类的工具。