使用AWS API：获取IAM用户当前生效的IAM策略文档

这在AWS中并不是真正支持的，因为IAM主体可以执行的操作分布在AWS中；它们没有存储在任何一个地方。访问决策在发出请求时应用，因此您应该根据发出请求来考虑IAM策略。
当AWS API接收到请求时，高层次上的内容会介入以确定调用是否被授权：

• 基于身份的策略（附加到用户、他们的组或角色的策略）
• 基于资源的策略（附加到用户请求的资源上；例如S3存储桶或EC2实例）
• IAM权限边界
• 服务控制策略（SCP）（通过AWS组织定义）
• 会话策略（在使用临时凭证和AssumeRole创建会话时应用）

以上每个都需要Allow用户访问操作。
所以，你可以看到，实际授权的访问权限分散在很多地方。上面的列表仅适用于单个帐户。跨帐户访问甚至更加分散。
如果您只对基于身份的策略感兴趣，那么您正在进行的 API 调用已经涵盖了它，但是任何其他调用都可能具有拒绝效果，即使基于身份的策略允许该操作，因此您将只能获得部分信息。
根据您使用此功能的目的，我建议不要提前获取用户的完整访问权限，因为您实质上将查询每个用户的每个 AWS 服务。唯一的例外是安全审计，在这种情况下，有一系列工具可以尝试为您完成此操作，但请注意：IAM 是一个复杂的问题，对其进行审计是一个棘手的问题。

我对你的使用情况没有深入了解，但根据我的经验，大多数情况下可以回滚。为了检查策略是否符合要求，请检查用户是否具有关键权限...... 这可能不适用于您的情况，但我仍然想分享一下。
为了检查这些内容，可以使用AWS Config来评估用户是否具有调用特定动作的权限。可以使用AWS IAM策略模拟器API来完成此操作。

https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html

不必只有一个有效的用户策略。实际上，应用的策略是直接或通过组分配给IAM用户的所有策略的总和。根据您的实际用例，它可能是单个策略文档，也可能不是。

请记住，如果一个规则允许执行某个操作，而另一个规则禁止该操作，则拒绝规则将获胜。

您可以在IAM控制台中模拟用户是否能够执行某个操作。

如果您只对某些AWS服务的权限感兴趣，您也可以考虑使用下面的命令。但是，我认为您不会找到一个“一站式商店”来获取所有权限的API调用。 aws iam list-policies-granting-service-access