Verwendung IAM in der AWS CLI - AWS Command Line Interface
Erstellen von IAM-Benutzern und -GruppenEinem Benutzer eine IAM verwaltete Richtlinie zuordnenEin erstes Passwort für einen IAM Benutzer einrichtenEinen Zugriffsschlüssel für einen IAM Benutzer erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung IAM in der AWS CLI

Eine Einführung in AWS Identity and Access Management

Sie können mit dem AWS Identity and Access Management (IAM) auf die Funktionen von AWS Command Line Interface (AWS CLI) zugreifen. Verwenden Sie den folgenden BefehlIAM, um die AWS CLI Befehle für aufzulisten.

aws iam help

Dieses Thema enthält Beispiele für AWS CLI Befehle, mit denen allgemeine Aufgaben für ausgeführt IAM werden.

Bevor Sie Befehle ausführen, richten Sie die Standardanmeldeinformationen ein. Weitere Informationen finden Sie unter Konfiguration der Einstellungen für den AWS CLI.

Weitere Informationen zum IAM Dienst finden Sie im AWS Identity and Access Management Benutzerhandbuch.

Erstellen von IAM-Benutzern und -Gruppen

So erstellen Sie eine Gruppe und fügen dieser einen neuen Benutzer hinzu

  1. Verwenden Sie den Befehl create-group, um die Gruppe zu erstellen.

    $ aws iam create-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52.834Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    }
}

  2. Verwenden Sie den Befehl create-user, um den Benutzer zu erstellen.

    $ aws iam create-user --user-name MyUser
{
    "User": {
        "UserName": "MyUser",
        "Path": "/",
        "CreateDate": "2018-12-14T03:13:02.581Z",
        "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/MyUser"
    }
}

  3. Fügen Sie mit dem Befehl add-user-to-group den Benutzer zur Gruppe hinzu.

    $ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup

  4. Vergewissern Sie sich, dass die MyIamGroup-Gruppe MyUser enthält. Nutzen Sie dazu den Befehl get-group.

    $ aws iam get-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    },
    "Users": [
        {
            "UserName": "MyUser",
            "Path": "/",
            "CreateDate": "2018-12-14T03:13:02Z",
            "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/MyUser"
        }
    ],
    "IsTruncated": "false"
}

Einem Benutzer eine IAM verwaltete Richtlinie zuordnen

Die Richtlinie dieses Beispiels stattet den Benutzer mit "Hauptbenutzerberechtigungen" aus.

Um eine IAM verwaltete Richtlinie an einen Benutzer anzuhängen

  1. Ermitteln Sie den Amazon-Ressourcennamen (ARN) der anzuhängenden Richtlinie. Der folgende Befehl verwendetlist-policies, um ARN die Richtlinie mit dem Namen zu findenPowerUserAccess. Das wird dann ARN in einer Umgebungsvariablen gespeichert.

    $ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text)       ~
$ echo $POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess

  2. Um die Richtlinie anzuhängen, verwenden Sie den Befehl und verweisen Sie auf die Umgebungsvariable, die die Richtlinie enthältARN.

    $ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN

  3. Überprüfen Sie, ob die Richtlinie dem Benutzer zugewiesen ist, indem Sie den Befehl list-attached-user-policies ausführen.

    $ aws iam list-attached-user-policies --user-name MyUser
{
    "AttachedPolicies": [
        {
            "PolicyName": "PowerUserAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
        }
    ]
}

Weitere Informationen finden Sie unter Zugriffsmanagementressourcen. Dieses Thema enthält Links zu einer Übersicht über Berechtigungen und Richtlinien sowie Links zu Beispielen für Richtlinien für den Zugriff auf Amazon S3EC2, Amazon und andere Services.

Ein erstes Passwort für einen IAM Benutzer einrichten

Im folgenden Befehl wird create-login-profile verwendet, um ein Anfangspasswort für den angegebenen Benutzer festzulegen. Wenn sich der Benutzer zum ersten Mal anmeldet, wird er aufgefordert, das Passwort zu einem Passwort zu ändern, dass nur er kennt.

$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required
{
    "LoginProfile": {
        "UserName": "MyUser",
        "CreateDate": "2018-12-14T17:27:18Z",
        "PasswordResetRequired": true
    }
}

Verwenden Sie den Befehl update-login-profile zum Ändern des Passworts für einen Benutzer.

$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword

Einen Zugriffsschlüssel für einen IAM Benutzer erstellen

Sie können den Befehl create-access-key verwenden, um einen Zugriffsschlüssel für einen Benutzer zu erstellen. Ein Zugriffsschlüssel ist ein Satz von Sicherheits-Anmeldeinformationen bestehend aus einer Zugriffsschlüssel-ID und einem geheimen Schlüssel.

Ein Benutzer kann gleichzeitig maximal zwei Zugriffsschlüssel erstellen. Wenn Sie versuchen, einen dritten Satz zu erstellen, gibt der Befehl einen LimitExceeded-Fehler aus.

$ aws iam create-access-key --user-name MyUser
{
    "AccessKey": {
        "UserName": "MyUser",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "Status": "Active",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "CreateDate": "2018-12-14T17:34:16Z"
    }
}

Verwenden Sie den Befehl delete-access-key, um einen Zugriffsschlüssel für einen Benutzer zu löschen. Geben Sie mit der Zugriffsschlüssel-ID an, welcher Zugriffsschlüssel gelöscht werden soll.

$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE