Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAMBeispiele mit AWS CLI
Die folgenden Codebeispiele zeigen Ihnen, wie Sie mithilfe von AWS Command Line Interface with Aktionen ausführen und allgemeine Szenarien implementierenIAM.
Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Aktionen zeigen Ihnen zwar, wie Sie einzelne Servicefunktionen aufrufen, aber Sie können Aktionen im Kontext der zugehörigen Szenarien sehen.
Jedes Beispiel enthält einen Link zum vollständigen Quellcode, in dem Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.
Themen
Aktionen
Das folgende Codebeispiel zeigt die Verwendungadd-client-id-to-open-id-connect-provider
.
- AWS CLI
-
Um eine Client-ID (Audience) zu einem Open-ID Connect (OIDC) -Anbieter hinzuzufügen
Der folgende
add-client-id-to-open-id-connect-provider
Befehl fügt dem genannten OIDCserver.example.com
Anbietermy-application-ID
die Client-ID hinzu.aws iam add-client-id-to-open-id-connect-provider \ --client-id
my-application-ID
\ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/server.example.com
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Verwenden Sie den
create-open-id-connect-provider
Befehl, um einen OIDC Anbieter zu erstellen.Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie unter AddClientIdToOpenIdConnectProvider AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungadd-role-to-instance-profile
.
- AWS CLI
-
Um einem Instanzprofil eine Rolle hinzuzufügen
Der folgende
add-role-to-instance-profile
Befehl fügt die benannte RolleS3Access
dem genannten Instanzprofil hinzuWebserver
.aws iam add-role-to-instance-profile \ --role-name
S3Access
\ --instance-profile-nameWebserver
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Verwenden Sie den
create-instance-profile
Befehl, um ein Instanzprofil zu erstellen.Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.
-
APIEinzelheiten finden Sie AddRoleToInstanceProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungadd-user-to-group
.
- AWS CLI
-
Um einen Benutzer zu einer IAM Gruppe hinzuzufügen
Mit dem folgenden
add-user-to-group
Befehl wird der IAM Gruppe mit dem NamenBob
ein IAM Benutzer mit dem Namen hinzugefügtAdmins
.aws iam add-user-to-group \ --user-name
Bob
\ --group-nameAdmins
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im Benutzerhandbuch unter Hinzufügen und Entfernen von Benutzern in einer IAM AWS IAM Benutzergruppe.
-
APIEinzelheiten finden Sie AddUserToGroup
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungattach-group-policy
.
- AWS CLI
-
Um eine verwaltete Richtlinie an eine IAM Gruppe anzuhängen
Mit dem folgenden
attach-group-policy
Befehl wird die benannte AWS verwaltete RichtlinieReadOnlyAccess
an die angegebene IAM Gruppe angehängt.Finance
aws iam attach-group-policy \ --policy-arn
arn:aws:iam::aws:policy/ReadOnlyAccess
\ --group-nameFinance
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie AttachGroupPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungattach-role-policy
.
- AWS CLI
-
Um einer IAM Rolle eine verwaltete Richtlinie zuzuordnen
Mit dem folgenden
attach-role-policy
Befehl wird die benannte AWS verwaltete RichtlinieReadOnlyAccess
an die angegebene IAM Rolle angehängt.ReadOnlyRole
aws iam attach-role-policy \ --policy-arn
arn:aws:iam::aws:policy/ReadOnlyAccess
\ --role-nameReadOnlyRole
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie AttachRolePolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungattach-user-policy
.
- AWS CLI
-
Um einem IAM Benutzer eine verwaltete Richtlinie anzuhängen
Mit dem folgenden
attach-user-policy
Befehl wird die benannte AWS verwaltete RichtlinieAdministratorAccess
an den genannten IAMAlice
Benutzer angehängt.aws iam attach-user-policy \ --policy-arn
arn:aws:iam::aws:policy/AdministratorAccess
\ --user-nameAlice
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie AttachUserPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungchange-password
.
- AWS CLI
-
Um das Passwort für Ihren IAM Benutzer zu ändern
Um das Passwort für Ihren IAM Benutzer zu ändern, empfehlen wir, den
--cli-input-json
Parameter zu verwenden, um eine JSON Datei zu übergeben, die Ihre alten und neuen Passwörter enthält. Mit dieser Methode können Sie sichere Passwörter mit nicht alphanumerischen Zeichen verwenden. Es kann schwierig sein, Passwörter mit nicht alphanumerischen Zeichen zu verwenden, wenn Sie sie als Befehlszeilenparameter übergeben. Um den--cli-input-json
Parameter zu verwenden, verwenden Sie zunächst denchange-password
Befehl mit dem--generate-cli-skeleton
Parameter, wie im folgenden Beispiel.aws iam change-password \ --generate-cli-skeleton
>
change-password.json
Mit dem vorherigen Befehl wird eine JSON Datei mit dem Namen change-password.json erstellt, mit der Sie Ihre alten und neuen Passwörter eingeben können. Die Datei könnte beispielsweise wie folgt aussehen.
{ "OldPassword": "3s0K_;xh4~8XXI", "NewPassword": "]35d/{pB9Fo9wJ" }
Verwenden Sie als Nächstes den
change-password
Befehl erneut, um Ihr Passwort zu ändern. Übergeben Sie diesmal den--cli-input-json
Parameter zur Angabe Ihrer JSON Datei. Der folgendechange-password
Befehl verwendet den--cli-input-json
Parameter mit einer JSON Datei namens change-password.json.aws iam change-password \ --cli-input-json
file://change-password.json
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Dieser Befehl kann nur von Benutzern aufgerufen werden. IAM Wenn dieser Befehl mit AWS Kontoanmeldeinformationen (Root) aufgerufen wird, gibt der Befehl einen
InvalidUserType
Fehler zurück.Weitere Informationen finden Sie im IAMBenutzerhandbuch unter So ändert ein AWS IAMBenutzer sein eigenes Passwort.
-
APIEinzelheiten finden Sie ChangePassword
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-access-key
.
- AWS CLI
-
Um einen Zugriffsschlüssel für einen IAM Benutzer zu erstellen
Der folgende
create-access-key
Befehl erstellt einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den genannten IAM BenutzerBob
.aws iam create-access-key \ --user-name
Bob
Ausgabe:
{ "AccessKey": { "UserName": "Bob", "Status": "Active", "CreateDate": "2015-03-09T18:39:23.411Z", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" } }
Speichern Sie den geheimen Zugriffsschlüssel an einem sicheren Ort. Bei Verlust kann er nicht wiederhergestellt werden und Sie müssen einen neuen Zugriffsschlüssel erstellen.
Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffsschlüsseln für IAM AWS IAM Benutzer.
-
APIEinzelheiten finden Sie CreateAccessKey
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-account-alias
.
- AWS CLI
-
So erstellen Sie einen Konto-Alias
Der folgende
create-account-alias
Befehl erstellt den Aliasexamplecorp
für Ihr AWS Konto.aws iam create-account-alias \ --account-alias
examplecorp
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Ihre AWS Konto-ID und deren Alias im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie CreateAccountAlias
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-group
.
- AWS CLI
-
Um eine IAM Gruppe zu erstellen
Der folgende
create-group
Befehl erstellt eine IAM Gruppe mit dem NamenAdmins
.aws iam create-group \ --group-name
Admins
Ausgabe:
{ "Group": { "Path": "/", "CreateDate": "2015-03-09T20:30:24.940Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Benutzergruppen erstellen.AWS IAM
-
APIEinzelheiten finden Sie CreateGroup
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-instance-profile
.
- AWS CLI
-
So erstellen Sie ein Instance-Profil
Der folgende
create-instance-profile
-Befehl erstellt ein Instance-Profil mit dem NamenWebserver
.aws iam create-instance-profile \ --instance-profile-name
Webserver
Ausgabe:
{ "InstanceProfile": { "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE", "Roles": [], "CreateDate": "2015-03-09T20:33:19.626Z", "InstanceProfileName": "Webserver", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver" } }
Verwenden Sie den
add-role-to-instance-profile
-Befehl, um einem Instance-Profil eine Rolle hinzuzufügen.Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.
-
APIEinzelheiten finden Sie CreateInstanceProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-login-profile
.
- AWS CLI
-
Um ein Passwort für einen IAM Benutzer zu erstellen
Um ein Passwort für einen IAM Benutzer zu erstellen, empfehlen wir, den
--cli-input-json
Parameter zu verwenden, um eine JSON Datei zu übergeben, die das Passwort enthält. Mit dieser Methode können Sie ein sicheres Passwort mit nicht-alphanumerischen Zeichen erstellen. Es kann schwierig sein, ein Passwort mit nicht alphanumerischen Zeichen zu erstellen, wenn Sie es als Befehlszeilenparameter übergeben.Um den
--cli-input-json
Parameter zu verwenden, verwenden Sie zunächst dencreate-login-profile
Befehl mit dem--generate-cli-skeleton
Parameter, wie im folgenden Beispiel.aws iam create-login-profile \ --generate-cli-skeleton
>
create-login-profile.json
Mit dem vorherigen Befehl wird eine JSON Datei namens create-login-profile .json erstellt, mit der Sie die Informationen für einen nachfolgenden
create-login-profile
Befehl eingeben können. Beispielsweise:{ "UserName": "Bob", "Password": "&1-3a6u:RA0djs", "PasswordResetRequired": true }
Verwenden Sie als Nächstes den
create-login-profile
Befehl erneut, um ein Passwort für einen IAM Benutzer zu erstellen. Übergeben Sie diesmal den--cli-input-json
Parameter zur Angabe Ihrer JSON Datei. Der folgendecreate-login-profile
Befehl verwendet den--cli-input-json
Parameter mit einer JSON Datei namens create-login-profile .json.aws iam create-login-profile \ --cli-input-json
file://create-login-profile.json
Ausgabe:
{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2015-03-10T20:55:40.274Z", "PasswordResetRequired": true } }
Wenn das neue Passwort gegen die Kontopasswortrichtlinie verstößt, gibt der Befehl einen
PasswordPolicyViolation
Fehler zurück.Um das Passwort für einen Benutzer zu ändern, der bereits eines hat, verwenden Sie
update-login-profile
. Verwenden Sie denupdate-account-password-policy
Befehl, um eine Kennwortrichtlinie für das Konto festzulegen.Wenn die Kontokennwortrichtlinie dies zulässt, können IAM Benutzer ihre eigenen Passwörter mithilfe des
change-password
Befehls ändern.Weitere Informationen finden Sie im Benutzerhandbuch unter Passwörter für IAM AWS IAM Benutzer verwalten.
-
APIEinzelheiten finden Sie CreateLoginProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-open-id-connect-provider
.
- AWS CLI
-
Um einen OpenID Connect (OIDC) -Anbieter zu erstellen
Um einen OpenID Connect (OIDC) -Anbieter zu erstellen, empfehlen wir, den
--cli-input-json
Parameter zu verwenden, um eine JSON Datei zu übergeben, die die erforderlichen Parameter enthält. Wenn Sie einen OIDC Anbieter erstellen, müssen Sie den Namen URL des Anbieters übergeben, und der URL muss mithttps://
beginnen. Es kann schwierig sein, den URL als Befehlszeilenparameter zu übergeben, da der Doppelpunkt (:) und der Schrägstrich (/) in manchen Befehlszeilenumgebungen eine besondere Bedeutung haben. Durch die Verwendung des--cli-input-json
Parameters wird diese Einschränkung umgangen.Um den
--cli-input-json
Parameter zu verwenden, verwenden Sie zunächst dencreate-open-id-connect-provider
Befehl mit dem--generate-cli-skeleton
Parameter, wie im folgenden Beispiel.aws iam create-open-id-connect-provider \ --generate-cli-skeleton
>
create-open-id-connect-provider.json
Mit dem vorherigen Befehl wird eine JSON Datei mit dem Namen create-open-id-connect -provider.json erstellt, mit der Sie die Informationen für einen nachfolgenden Befehl eingeben können.
create-open-id-connect-provider
Beispielsweise:{ "Url": "https://server.example.com", "ClientIDList": [ "example-application-ID" ], "ThumbprintList": [ "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE" ] }
Verwenden Sie als Nächstes den
create-open-id-connect-provider
Befehl erneut, um den OpenID Connect (OIDC) -Anbieter zu erstellen. Übergeben Sie diesmal den--cli-input-json
Parameter zur Angabe Ihrer JSON Datei. Der folgendecreate-open-id-connect-provider
Befehl verwendet den--cli-input-json
Parameter mit einer JSON Datei namens create-open-id-connect -provider.json.aws iam create-open-id-connect-provider \ --cli-input-json
file://create-open-id-connect-provider.json
Ausgabe:
{ "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com" }
Weitere Informationen zu OIDC Anbietern finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.
Weitere Informationen zum Abrufen von Fingerabdrücken für einen OIDC Anbieter finden Sie unter Abrufen des Fingerabdrucks für einen OpenID Connect-Identitätsanbieter im Benutzerhandbuch.AWS IAM
-
APIEinzelheiten finden Sie in der Befehlsreferenz. CreateOpenIdConnectProvider
AWS CLI
-
Das folgende Codebeispiel zeigt die Verwendungcreate-policy-version
.
- AWS CLI
-
So erstellen Sie eine neue Version einer verwalteten Richtlinie
In diesem Beispiel wird eine neue
v2
Version der IAM Richtlinie erstellt, deren Standardversion es ARN ist,arn:aws:iam::123456789012:policy/MyPolicy
und macht sie zur Standardversion.aws iam create-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --policy-documentfile://NewPolicyVersion.json
\ --set-as-defaultAusgabe:
{ "PolicyVersion": { "CreateDate": "2015-06-16T18:56:03.721Z", "VersionId": "v2", "IsDefaultVersion": true } }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMVersionierungsrichtlinien.
-
APIEinzelheiten finden Sie CreatePolicyVersion
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-policy
.
- AWS CLI
-
Beispiel 1: So erstellen Sie eine vom Kunden verwaltete Richtlinie
Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen
my-policy
erstellt.aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy
Die Datei
policy
ist ein JSON Dokument im aktuellen Ordner, das nur Lesezugriff auf denshared
Ordner in einem Amazon S3 S3-Bucket mit dem Namen gewährtmy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket/shared/*" ] } ] }
Ausgabe:
{ "Policy": { "PolicyName": "my-policy", "CreateDate": "2015-06-01T19:31:18.620Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "ZXR6A36LTYANPAI7NJ5UV", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::0123456789012:policy/my-policy", "UpdateDate": "2015-06-01T19:31:18.620Z" } }
Weitere Informationen zur Verwendung von Dateien als Eingabe für Zeichenkettenparameter finden Sie unter Angeben von Parameterwerten für AWS CLI im AWS CLIBenutzerhandbuch.
Beispiel 2: So erstellen Sie eine vom Kunden verwaltete Richtlinie mit einer Beschreibung
Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen
my-policy
und einer unveränderlichen Beschreibung erstellt:aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy.json
\ --description"This policy grants access to all Put, Get, and List actions for my-bucket"
Die Datei
policy.json
ist ein JSON Dokument im aktuellen Ordner, das Zugriff auf alle Put-, List- und Get-Aktionen für einen Amazon S3 S3-Bucket mit dem Namen gewährtmy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }
Ausgabe:
{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T22:38:47+00:00", "UpdateDate": "2023-05-24T22:38:47+00:00" } }
Weitere Informationen zu identitätsbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im Benutzerhandbuch.AWS IAM
Beispiel 3: So erstellen Sie eine vom Kunden verwaltete Richtlinie mit Tags
Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen
my-policy
mit Tags erstellt. In diesem Beispiel wird der--tags
Parameter flag mit den folgenden Tags im -Format verwendet:. JSON'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
Alternativ kann das--tags
-Flag mit Tags im Kurzformat'Key=Department,Value=Accounting Key=Location,Value=Seattle'
verwendet werden.aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy.json
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'Die Datei
policy.json
ist ein JSON Dokument im aktuellen Ordner, das Zugriff auf alle Put-, List- und Get-Aktionen für einen Amazon S3 S3-Bucket mit dem Namen gewährtmy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }
Ausgabe:
{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::12345678012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T23:16:39+00:00", "UpdateDate": "2023-05-24T23:16:39+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, "Key": "Location", "Value": "Seattle" { ] } }
Weitere Informationen zu Tagging-Richtlinien finden Sie unter Tagging von kundenverwalteten Richtlinien im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie unter CreatePolicy AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-role
.
- AWS CLI
-
Beispiel 1: Um eine IAM Rolle zu erstellen
Mit dem folgenden
create-role
-Befehl wird eine Rolle mit dem NamenTest-Role
erstellt und ihr eine Vertrauensrichtlinie angefügt.aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
Ausgabe:
{ "Role": { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AKIAIOSFODNN7EXAMPLE", "CreateDate": "2013-06-07T20:43:32.821Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }
Die Vertrauensrichtlinie ist als JSON Dokument in der Datei Test-Role-Trust-Policy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.) Die Vertrauensrichtlinie muss einen Prinzipal angeben.
Verwenden Sie den
put-role-policy
-Befehl, um die Berechtigungsrichtlinie der Rolle anzufügen.Weitere Informationen finden Sie im Benutzerhandbuch unter Rollen erstellen. IAM AWS IAM
Beispiel 2: Um eine IAM Rolle mit einer bestimmten maximalen Sitzungsdauer zu erstellen
Mit dem folgenden
create-role
-Befehl wird eine Rolle mit dem NamenTest-Role
erstellt und eine maximale Sitzungsdauer von 7 200 Sekunden (2 Stunden) festgelegt.aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
\ --max-session-duration7200
Ausgabe:
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:role/Test-Role", "CreateDate": "2023-05-24T23:50:25+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678012:root" }, "Action": "sts:AssumeRole" } ] } } }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern der maximalen Sitzungsdauer einer Rolle (AWS API).
Beispiel 3: So erstellen Sie eine IAM Rolle mit Tags
Der folgende Befehl erstellt eine IAM Rolle
Test-Role
mit Tags. In diesem Beispiel wird der--tags
Parameter flag mit den folgenden Tags im JSON -Format verwendet:.'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
Alternativ kann das--tags
-Flag mit Tags im Kurzformat'Key=Department,Value=Accounting Key=Location,Value=Seattle'
verwendet werden.aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'Ausgabe:
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/Test-Role", "CreateDate": "2023-05-25T23:29:41+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }, "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }
Weitere Informationen finden Sie unter IAMRollen taggen im AWS IAM Benutzerhandbuch.
-
APIEinzelheiten finden Sie CreateRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-saml-provider
.
- AWS CLI
-
Um einen SAML Anbieter zu erstellen
In diesem Beispiel wird ein neuer SAML Anbieter in IAM named erstellt
MySAMLProvider
. Es wird durch das SAML Metadatendokument beschrieben, das sich in der Datei befindetSAMLMetaData.xml
.aws iam create-saml-provider \ --saml-metadata-document
file://SAMLMetaData.xml
\ --nameMySAMLProvider
Ausgabe:
{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.
-
APIEinzelheiten finden Sie unter C reateSAMLProvider
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt, wie mancreate-service-linked-role
.
- AWS CLI
-
So erstellen Sie eine serviceverknüpfte Rolle
Im folgenden
create-service-linked-role
Beispiel wird eine dienstbezogene Rolle für den angegebenen AWS Dienst erstellt und die angegebene Beschreibung angehängt.aws iam create-service-linked-role \ --aws-service-name
lex.amazonaws.com
\ --description"My service-linked role to support Lex"
Ausgabe:
{ "Role": { "Path": "/aws-service-role/lex.amazonaws.com/", "RoleName": "AWSServiceRoleForLexBots", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots", "CreateDate": "2019-04-17T20:34:14+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "lex.amazonaws.com" ] } } ] } } }
Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von dienstbezogenen Rollen.AWS IAM
-
APIEinzelheiten finden Sie CreateServiceLinkedRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-service-specific-credential
.
- AWS CLI
-
Erstellen Sie einen Satz dienstspezifischer Anmeldeinformationen für einen Benutzer
Im folgenden
create-service-specific-credential
Beispiel werden ein Benutzername und ein Passwort erstellt, die nur für den Zugriff auf den konfigurierten Dienst verwendet werden können.aws iam create-service-specific-credential \ --user-name
sofia
\ --service-namecodecommit.amazonaws.com
Ausgabe:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.
-
APIEinzelheiten finden Sie CreateServiceSpecificCredential
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-user
.
- AWS CLI
-
Beispiel 1: Um einen IAM Benutzer zu erstellen
Der folgende
create-user
Befehl erstellt einen IAM Benutzer mitBob
dem Namen des aktuellen Kontos.aws iam create-user \ --user-name
Bob
Ausgabe:
{ "User": { "UserName": "Bob", "Path": "/", "CreateDate": "2023-06-08T03:20:41.270Z", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } }
Weitere Informationen finden Sie im IAM Benutzerhandbuch unter Einen Benutzer in Ihrem AWS Konto erstellen.AWS IAM
Beispiel 2: Um einen IAM Benutzer in einem bestimmten Pfad zu erstellen
Der folgende
create-user
Befehl erstellt einen IAM Benutzer mit dem NamenBob
im angegebenen Pfad.aws iam create-user \ --user-name
Bob
\ --path/division_abc/subdivision_xyz/
Ausgabe:
{ "User": { "Path": "/division_abc/subdivision_xyz/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob", "CreateDate": "2023-05-24T18:20:17+00:00" } }
Weitere Informationen finden Sie unter IAMIdentifikatoren im AWS IAMBenutzerhandbuch.
Beispiel 3: So erstellen Sie einen IAM Benutzer mit Tags
Der folgende
create-user
Befehl erstellt einen IAM Benutzer mit einem NamenBob
mit Tags. In diesem Beispiel wird das--tags
Parameter-Flag mit den folgenden Tags im JSON -Format verwendet:.'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
Alternativ kann das--tags
-Flag mit Tags im Kurzformat'Key=Department,Value=Accounting Key=Location,Value=Seattle'
verwendet werden.aws iam create-user \ --user-name
Bob
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'Ausgabe:
{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-25T17:14:21+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }
Weitere Informationen finden Sie unter IAMBenutzer taggen im AWS IAM Benutzerhandbuch.
Beispiel 3: So erstellen Sie einen IAM Benutzer mit einer festgelegten Berechtigungsgrenze
Mit dem folgenden
create-user
Befehl wird ein IAM BenutzerBob
mit der Berechtigungsgrenze von AmazonS3 erstellt. FullAccessaws iam create-user \ --user-name
Bob
\ --permissions-boundaryarn:aws:iam::aws:policy/AmazonS3FullAccess
Ausgabe:
{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-24T17:50:53+00:00", "PermissionsBoundary": { "PermissionsBoundaryType": "Policy", "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" } } }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.
-
APIEinzelheiten finden Sie CreateUser
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungcreate-virtual-mfa-device
.
- AWS CLI
-
Um ein virtuelles MFA Gerät zu erstellen
In diesem Beispiel wird ein neues virtuelles MFA Gerät mit dem Namen erstellt
BobsMFADevice
. Es erstellt eine Datei, die Bootstrap-Informationen enthält,QRCode.png
und platziert sie imC:/
Verzeichnis. Die in diesem Beispiel verwendete Bootstrap-Methode ist.QRCodePNG
aws iam create-virtual-mfa-device \ --virtual-mfa-device-name
BobsMFADevice
\ --outfileC:/QRCode.png
\ --bootstrap-methodQRCodePNG
Ausgabe:
{ "VirtualMFADevice": { "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice" }
Weitere Informationen finden Sie im AWSAWS IAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).
-
APIEinzelheiten finden Sie CreateVirtualMfaDevice
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdeactivate-mfa-device
.
- AWS CLI
-
Um ein MFA Gerät zu deaktivieren
Dieser Befehl deaktiviert das virtuelle MFA Gerät mit dem ARN
arn:aws:iam::210987654321:mfa/BobsMFADevice
, das dem BenutzerBob
zugeordnet ist.aws iam deactivate-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWSAWS IAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).
-
APIEinzelheiten finden Sie DeactivateMfaDevice
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdecode-authorization-message
.
- AWS CLI
-
Um eine Meldung über einen Autorisierungsfehler zu dekodieren
Im folgenden
decode-authorization-message
Beispiel wird die Meldung dekodiert, die von der EC2 Konsole zurückgegeben wird, wenn versucht wird, eine Instance ohne die erforderlichen Berechtigungen zu starten.aws sts decode-authorization-message \ --encoded-message
lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk
Die Ausgabe ist als einzeilige Textzeichenfolge formatiert, die Sie mit einem beliebigen JSON Textverarbeitungsprogramm analysieren können. JSON
{ "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}" }
Weitere Informationen finden Sie unter Wie kann ich eine Meldung mit einem Autorisierungsfehler dekodieren, nachdem ich beim Start einer Instanz einen Fehler "UnauthorizedOperation" erhalten habe? EC2
in AWS re:POST. -
APIEinzelheiten finden Sie DecodeAuthorizationMessage
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-access-key
.
- AWS CLI
-
Um einen Zugriffsschlüssel für einen IAM Benutzer zu löschen
Der folgende
delete-access-key
Befehl löscht den angegebenen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den genannten IAMBob
Benutzer.aws iam delete-access-key \ --access-key-id
AKIDPMS9RO4H3FEXAMPLE
\ --user-nameBob
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Verwenden Sie den
list-access-keys
Befehl, um die für einen IAM Benutzer definierten Zugriffsschlüssel aufzulisten.Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffsschlüsseln für IAM AWS IAM Benutzer.
-
APIEinzelheiten finden Sie DeleteAccessKey
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-account-alias
.
- AWS CLI
-
So löschen Sie einen Konto-Alias
Mit dem folgenden
delete-account-alias
-Befehl wird der Aliasmycompany
für das aktuelle Konto entfernt.aws iam delete-account-alias \ --account-alias
mycompany
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Ihre AWS Konto-ID und ihr Alias im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie DeleteAccountAlias
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-account-password-policy
.
- AWS CLI
-
Um die Passwortrichtlinie für das aktuelle Konto zu löschen
Mit dem folgenden
delete-account-password-policy
Befehl wird die Kennwortrichtlinie für das aktuelle Konto entfernt.aws iam delete-account-password-policy
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im Benutzerhandbuch unter Einrichten einer Kontokennwortrichtlinie für IAM AWS IAM Benutzer.
-
APIEinzelheiten finden Sie DeleteAccountPasswordPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-group-policy
.
- AWS CLI
-
Um eine Richtlinie aus einer IAM Gruppe zu löschen
Mit dem folgenden
delete-group-policy
-Befehl wird die Richtlinie mit dem NamenExamplePolicy
aus der Gruppe mit dem NamenAdmins
gelöscht.aws iam delete-group-policy \ --group-name
Admins
\ --policy-nameExamplePolicy
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Verwenden Sie den
list-group-policies
-Befehl, um die einer Gruppe zugeordneten Richtlinien anzuzeigen.Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRichtlinien verwalten.
-
APIEinzelheiten finden Sie DeleteGroupPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-group
.
- AWS CLI
-
Um eine IAM Gruppe zu löschen
Der folgende
delete-group
Befehl löscht eine IAM Gruppe mit dem NamenMyTestGroup
.aws iam delete-group \ --group-name
MyTestGroup
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer AWS IAMBenutzergruppe.
-
APIEinzelheiten finden Sie DeleteGroup
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-instance-profile
.
- AWS CLI
-
So löschen Sie ein Instance-Profil
Mit dem folgenden
delete-instance-profile
-Befehl wird das Instance-Profil mit dem NamenExampleInstanceProfile
gelöscht.aws iam delete-instance-profile \ --instance-profile-name
ExampleInstanceProfile
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von Instanzprofilen.
-
APIEinzelheiten finden Sie DeleteInstanceProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-login-profile
.
- AWS CLI
-
Um ein Passwort für einen IAM Benutzer zu löschen
Der folgende
delete-login-profile
Befehl löscht das Passwort für den genannten IAMBob
Benutzer.aws iam delete-login-profile \ --user-name
Bob
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im Benutzerhandbuch unter Passwörter für IAM AWS IAM Benutzer verwalten.
-
APIEinzelheiten finden Sie DeleteLoginProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-open-id-connect-provider
.
- AWS CLI
-
Um einen IAM OpenID Connect-Identitätsanbieter zu löschen
In diesem Beispiel wird der IAM OIDC Anbieter gelöscht, der eine Verbindung zum Anbieter herstellt.
example.oidcprovider.com
aws iam delete-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie unter DeleteOpenIdConnectProvider AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-policy-version
.
- AWS CLI
-
Um eine Version einer verwalteten Richtlinie zu löschen
In diesem Beispiel wird die als identifizierte Version
v2
aus der Richtlinie gelöscht, deren ARN istarn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam delete-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie DeletePolicyVersion
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-policy
.
- AWS CLI
-
Um eine IAM Richtlinie zu löschen
In diesem Beispiel wird die Richtlinie gelöscht, deren ARN ist
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam delete-policy \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie DeletePolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-role-permissions-boundary
.
- AWS CLI
-
Um eine Berechtigungsgrenze aus einer IAM Rolle zu löschen
Im folgenden
delete-role-permissions-boundary
Beispiel wird die Berechtigungsgrenze für die angegebene IAM Rolle gelöscht. Verwenden Sie denput-role-permissions-boundary
Befehl, um einer Rolle eine Berechtigungsgrenze zuzuweisen.aws iam delete-role-permissions-boundary \ --role-name
lambda-application-role
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie DeleteRolePermissionsBoundary
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-role-policy
.
- AWS CLI
-
Um eine Richtlinie aus einer IAM Rolle zu entfernen
Mit dem folgenden
delete-role-policy
-Befehl wird die Richtlinie mit dem NamenExamplePolicy
aus der Rolle mit dem NamenTest-Role
entfernt.aws iam delete-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.
-
APIEinzelheiten finden Sie DeleteRolePolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-role
.
- AWS CLI
-
Um eine IAM Rolle zu löschen
Mit dem folgenden
delete-role
-Befehl wird die Rolle mit dem NamenTest-Role
entfernt.aws iam delete-role \ --role-name
Test-Role
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Bevor Sie eine Rolle löschen können, müssen Sie die Rolle aus allen Instance-Profilen entfernen (
remove-role-from-instance-profile
), alle verwalteten Richtlinien entfernen (detach-role-policy
) und alle eingebundenen Richtlinien, die der Rolle angefügt sind (delete-role-policy
), löschen.Weitere Informationen finden Sie unter IAMRollen erstellen und Instanzprofile verwenden im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie DeleteRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-saml-provider
.
- AWS CLI
-
Um einen SAML Anbieter zu löschen
In diesem Beispiel wird der IAM SAML 2.0-Anbieter gelöscht, dessen ARN ist
arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider
.aws iam delete-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.
-
APIEinzelheiten finden Sie unter D eleteSAMLProvider
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt, wie mandelete-server-certificate
.
- AWS CLI
-
Um ein Serverzertifikat aus Ihrem AWS Konto zu löschen
Mit dem folgenden
delete-server-certificate
Befehl wird das angegebene Serverzertifikat aus Ihrem AWS Konto entfernt.aws iam delete-server-certificate \ --server-certificate-name
myUpdatedServerCertificate
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Verwenden Sie den
list-server-certificates
Befehl, um die in Ihrem AWS Konto verfügbaren Serverzertifikate aufzulisten.Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Verwalten von Serverzertifikaten.
-
APIEinzelheiten finden Sie DeleteServerCertificate
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-service-linked-role
.
- AWS CLI
-
So löschen Sie eine serviceverknüpfte Rolle
Im folgenden
delete-service-linked-role
-Beispiel wird die angegebene serviceverknüpfte Rolle, die Sie nicht mehr benötigen, gelöscht. Der Löschvorgang erfolgt asynchron. Sie können den Status des Löschvorgangs mithilfe desget-service-linked-role-deletion-status
-Befehls überprüfen und bestätigen, wann der Vorgang abgeschlossen ist.aws iam delete-service-linked-role \ --role-name
AWSServiceRoleForLexBots
Ausgabe:
{ "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von serviceverknüpften Rollen.
-
APIEinzelheiten finden Sie DeleteServiceLinkedRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-service-specific-credential
.
- AWS CLI
-
Beispiel 1: Löschen Sie dienstspezifische Anmeldeinformationen für den anfragenden Benutzer
Im folgenden
delete-service-specific-credential
Beispiel werden die angegebenen dienstspezifischen Anmeldeinformationen für den Benutzer gelöscht, der die Anfrage stellt. Dasservice-specific-credential-id
wird bereitgestellt, wenn Sie die Anmeldeinformationen erstellen, und Sie können sie mithilfe des Befehls abrufen.list-service-specific-credentials
aws iam delete-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Beispiel 2: Löschen Sie dienstspezifische Anmeldeinformationen für einen bestimmten Benutzer
Im folgenden
delete-service-specific-credential
Beispiel werden die angegebenen dienstspezifischen Anmeldeinformationen für den angegebenen Benutzer gelöscht. Dasservice-specific-credential-id
wird bereitgestellt, wenn Sie die Anmeldeinformationen erstellen, und Sie können sie mithilfe des Befehls abrufen.list-service-specific-credentials
aws iam delete-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.
-
APIEinzelheiten finden Sie DeleteServiceSpecificCredential
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-signing-certificate
.
- AWS CLI
-
Um ein Signaturzertifikat für einen IAM Benutzer zu löschen
Der folgende
delete-signing-certificate
Befehl löscht das angegebene Signaturzertifikat für den genannten IAMBob
Benutzer.aws iam delete-signing-certificate \ --user-name
Bob
\ --certificate-idTA7SMP42TDN5Z26OBPJE7EXAMPLE
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Verwenden Sie den
list-signing-certificates
Befehl, um die ID für ein Signaturzertifikat abzurufen.Weitere Informationen finden Sie unter Signaturzertifikate verwalten im EC2Amazon-Benutzerhandbuch.
-
APIEinzelheiten finden Sie DeleteSigningCertificate
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-ssh-public-key
.
- AWS CLI
-
Um einen SSH öffentlichen Schlüssel zu löschen, der einem IAM Benutzer zugewiesen ist
Der folgende
delete-ssh-public-key
Befehl löscht den angegebenen SSH öffentlichen Schlüssel, der dem IAM Benutzersofia
zugewiesen ist.aws iam delete-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Verwenden von SSH Schlüsseln und SSH mit CodeCommit im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie DeleteSshPublicKey
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-user-permissions-boundary
.
- AWS CLI
-
Um eine Berechtigungsgrenze für einen IAM Benutzer zu löschen
Im folgenden
delete-user-permissions-boundary
Beispiel wird die dem genannten IAMintern
Benutzer zugeordnete Berechtigungsgrenze gelöscht. Verwenden Sie denput-user-permissions-boundary
Befehl, um einem Benutzer eine Berechtigungsgrenze zuzuweisen.aws iam delete-user-permissions-boundary \ --user-name
intern
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie DeleteUserPermissionsBoundary
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-user-policy
.
- AWS CLI
-
Um eine Richtlinie von einem IAM Benutzer zu entfernen
Mit dem folgenden
delete-user-policy
Befehl wird die angegebene Richtlinie von dem genannten IAM Benutzer entferntBob
.aws iam delete-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Verwenden Sie den
list-user-policies
Befehl, um eine Liste der Richtlinien für einen IAM Benutzer abzurufen.Weitere Informationen finden Sie im IAM Benutzerhandbuch unter Einen Benutzer in Ihrem AWS Konto erstellen.AWS IAM
-
APIEinzelheiten finden Sie DeleteUserPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-user
.
- AWS CLI
-
Um einen IAM Benutzer zu löschen
Mit dem folgenden
delete-user
Befehl wird der IAM angegebene BenutzerBob
aus dem aktuellen Konto entfernt.aws iam delete-user \ --user-name
Bob
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen eines AWS IAMBenutzers.
-
APIEinzelheiten finden Sie DeleteUser
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdelete-virtual-mfa-device
.
- AWS CLI
-
Um ein virtuelles MFA Gerät zu entfernen
Mit dem folgenden
delete-virtual-mfa-device
Befehl wird das angegebene MFA Gerät aus dem aktuellen Konto entfernt.aws iam delete-virtual-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/MFATest
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Deaktivierung von MFA Geräten.
-
APIEinzelheiten finden Sie DeleteVirtualMfaDevice
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdetach-group-policy
.
- AWS CLI
-
Um eine Richtlinie von einer Gruppe zu trennen
In diesem Beispiel wird die verwaltete Richtlinie mit dem Namen ARN
arn:aws:iam::123456789012:policy/TesterAccessPolicy
Testers
aus der Gruppe entfernt.aws iam detach-group-policy \ --group-name
Testers
\ --policy-arnarn:aws:iam::123456789012:policy/TesterAccessPolicy
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Benutzergruppen verwalten.AWS IAM
-
APIEinzelheiten finden Sie DetachGroupPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdetach-role-policy
.
- AWS CLI
-
So trennen Sie eine Richtlinie von einer Rolle
In diesem Beispiel wird die verwaltete Richtlinie mit dem Namen ARN
arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy
aus der Rolle entferntFedTesterRole
.aws iam detach-role-policy \ --role-name
FedTesterRole
\ --policy-arnarn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.
-
APIEinzelheiten finden Sie DetachRolePolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungdetach-user-policy
.
- AWS CLI
-
So trennen Sie eine Richtlinie von einem Benutzer
In diesem Beispiel wird die verwaltete Richtlinie mit dem ARN
arn:aws:iam::123456789012:policy/TesterPolicy
vom Benutzer entferntBob
.aws iam detach-user-policy \ --user-name
Bob
\ --policy-arnarn:aws:iam::123456789012:policy/TesterPolicy
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Ändern der Berechtigungen für einen AWS IAMBenutzer.
-
APIEinzelheiten finden Sie DetachUserPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungenable-mfa-device
.
- AWS CLI
-
Um ein MFA Gerät zu aktivieren
Nachdem Sie mit dem
create-virtual-mfa-device
Befehl ein neues virtuelles MFA Gerät erstellt haben, können Sie das MFA Gerät einem Benutzer zuweisen. Im folgendenenable-mfa-device
Beispiel wird dem Benutzer MFABob
das Gerät mit der Seriennummerarn:aws:iam::210987654321:mfa/BobsMFADevice
zugewiesen. Der Befehl synchronisiert auch das Gerät mit, AWS indem die ersten beiden Codes nacheinander aus dem virtuellen MFA Gerät eingefügt werden.aws iam enable-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
\ --authentication-code1123456
\ --authentication-code2789012
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Aktivieren eines Geräts mit virtueller Multifaktor-Authentifizierung (MFA).
-
APIEinzelheiten finden Sie EnableMfaDevice
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunggenerate-credential-report
.
- AWS CLI
-
So erstellen Sie einen Bericht zu Anmeldeinformationen
Im folgenden Beispiel wird versucht, einen Anmeldeinformationsbericht für das AWS Konto zu generieren.
aws iam generate-credential-report
Ausgabe:
{ "State": "STARTED", "Description": "No report exists. Starting a new report generation task" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Berichte über Anmeldeinformationen für Ihr AWS Konto abrufen.
-
APIEinzelheiten finden Sie unter GenerateCredentialReport AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunggenerate-organizations-access-report
.
- AWS CLI
-
Beispiel 1: Um einen Zugriffsbericht für einen Stamm in einer Organisation zu generieren
Im folgenden
generate-organizations-access-report
Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für den angegebenen Stamm in einer Organisation zu erstellen. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie denget-organizations-access-report
Befehl ausführen.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb
Ausgabe:
{ "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359" }
Beispiel 2: Um einen Zugriffsbericht für ein Konto in einer Organisation zu generieren
Im folgenden
generate-organizations-access-report
Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für die Konto-ID123456789012
in der Organisation zu erstelleno-4fxmplt198
. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie denget-organizations-access-report
Befehl ausführen.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb/123456789012
Ausgabe:
{ "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2" }
Beispiel 3: Um einen Zugriffsbericht für ein Konto in einer Organisationseinheit in einer Organisation zu generieren
Im folgenden
generate-organizations-access-report
Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für die Konto-ID234567890123
in der Organisationseinheitou-c3xb-lmu7j2yg
der Organisation zu erstelleno-4fxmplt198
. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie denget-organizations-access-report
Befehl ausführen.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123
Ausgabe:
{ "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af" }
Verwenden Sie die
organizations list-organizational-units-for-parent
Befehle und, um Details zu Stammverzeichnissenorganizations list-roots
und Organisationseinheiten in Ihrer Organisation abzurufen.Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.
-
APIEinzelheiten finden Sie GenerateOrganizationsAccessReport
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunggenerate-service-last-accessed-details
.
- AWS CLI
-
Beispiel 1: Um einen Servicezugriffsbericht für eine benutzerdefinierte Richtlinie zu generieren
Im folgenden
generate-service-last-accessed-details
Beispiel wird ein Hintergrundjob gestartet, um einen Bericht zu generieren, der die Dienste auflistet, auf die IAM Benutzer und andere Entitäten zugreifen, mit einer benutzerdefinierten Richtlinie namensintern-boundary
. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie denget-service-last-accessed-details
Befehl ausführen.aws iam generate-service-last-accessed-details \ --arn
arn:aws:iam::123456789012:policy/intern-boundary
Ausgabe:
{ "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc" }
Beispiel 2: Um einen Servicezugriffsbericht für die AWS verwaltete AdministratorAccess Richtlinie zu generieren
Im folgenden
generate-service-last-accessed-details
Beispiel wird ein Hintergrundjob gestartet, um einen Bericht zu generieren, der die Dienste auflistet, auf die IAM Benutzer und andere Entitäten mit der AWS verwaltetenAdministratorAccess
Richtlinie zugreifen. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie denget-service-last-accessed-details
Befehl ausführen.aws iam generate-service-last-accessed-details \ --arn
arn:aws:iam::aws:policy/AdministratorAccess
Ausgabe:
{ "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.
-
APIEinzelheiten finden Sie GenerateServiceLastAccessedDetails
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-access-key-last-used
.
- AWS CLI
-
So rufen Sie Informationen darüber ab, wann der angegebene Zugriffsschlüssel zuletzt verwendet wurde
Im folgenden Beispiel werden Informationen darüber abgerufen, wann der Zugriffsschlüssel
ABCDEXAMPLE
zuletzt verwendet wurde.aws iam get-access-key-last-used \ --access-key-id
ABCDEXAMPLE
Ausgabe:
{ "UserName": "Bob", "AccessKeyLastUsed": { "Region": "us-east-1", "ServiceName": "iam", "LastUsedDate": "2015-06-16T22:45:00Z" } }
Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffsschlüsseln für IAM AWS IAM Benutzer.
-
APIEinzelheiten finden Sie GetAccessKeyLastUsed
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-account-authorization-details
.
- AWS CLI
-
Um IAM Benutzer, Gruppen, Rollen und Richtlinien eines AWS Kontos aufzulisten
Der folgende
get-account-authorization-details
Befehl gibt Informationen zu allen IAM Benutzern, Gruppen, Rollen und Richtlinien im AWS Konto zurück.aws iam get-account-authorization-details
Ausgabe:
{ "RoleDetailList": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileList": [ { "InstanceProfileId": "AIPA1234567890EXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "RoleName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role" } ], "RoleName": "EC2role", "Path": "/", "AttachedManagedPolicies": [ { "PolicyName": "AmazonS3FullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" }, { "PolicyName": "AmazonDynamoDBFullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess" } ], "RoleLastUsed": { "Region": "us-west-2", "LastUsedDate": "2019-11-13T17:30:00Z" }, "RolePolicyList": [], "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "GroupDetailList": [ { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, "GroupName": "Admins", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Admins", "CreateDate": "2013-10-14T18:32:24Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" }, "GroupName": "Dev", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Dev", "CreateDate": "2013-10-14T18:33:55Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": [], "GroupName": "Finance", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Finance", "CreateDate": "2013-10-14T18:57:48Z", "GroupPolicyList": [ { "PolicyName": "policygen-201310141157", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "aws-portal:*", "Sid": "Stmt1381777017000", "Resource": "*", "Effect": "Allow" } ] } } ] } ], "UserDetailList": [ { "UserName": "Alice", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:24Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Alice" }, { "UserName": "Bob", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:25Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [ { "PolicyName": "DenyBillingAndIAMPolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } } } ], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Bob" }, { "UserName": "Charlie", "GroupList": [ "Dev" ], "CreateDate": "2013-10-14T18:33:56Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Charlie" } ], "Policies": [ { "PolicyName": "create-update-delete-set-managed-policies", "CreateDate": "2015-02-06T19:58:34Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-02-06T19:58:34Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies", "UpdateDate": "2015-02-06T19:58:34Z" }, { "PolicyName": "S3-read-only-specific-bucket", "CreateDate": "2015-01-21T21:39:41Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-01-21T21:39:41Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::example-bucket", "arn:aws:s3:::example-bucket/*" ] } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket", "UpdateDate": "2015-01-21T23:39:41Z" }, { "PolicyName": "AmazonEC2FullAccess", "CreateDate": "2015-02-06T18:40:15Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2014-10-30T20:59:46Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:*", "Resource": "*" }, { "Effect": "Allow", "Action": "cloudwatch:*", "Resource": "*" }, { "Effect": "Allow", "Action": "autoscaling:*", "Resource": "*" } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess", "UpdateDate": "2015-02-06T18:40:15Z" } ], "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE", "IsTruncated": true }
Weitere Informationen finden Sie in den Richtlinien für AWS Sicherheitsaudits im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie GetAccountAuthorizationDetails
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-account-password-policy
.
- AWS CLI
-
So zeigen Sie die Passwortrichtlinie für das aktuelle Konto an
Mit dem folgenden
get-account-password-policy
-Befehl werden Details zur Passwortrichtlinie für das aktuelle Konto angezeigt.aws iam get-account-password-policy
Ausgabe:
{ "PasswordPolicy": { "AllowUsersToChangePassword": false, "RequireLowercaseCharacters": false, "RequireUppercaseCharacters": false, "MinimumPasswordLength": 8, "RequireNumbers": true, "RequireSymbols": true } }
Wenn keine Passwortwortrichtlinie für das Konto definiert ist, gibt der Befehl einen
NoSuchEntity
-Fehler zurück.Weitere Informationen finden Sie im Benutzerhandbuch unter Einrichten einer Kontokennwortrichtlinie für IAM AWS IAM Benutzer.
-
APIEinzelheiten finden Sie GetAccountPasswordPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-account-summary
.
- AWS CLI
-
Um Informationen über die Nutzung von IAM Entitäten und die IAM Kontingente im aktuellen Konto zu erhalten
Der folgende
get-account-summary
Befehl gibt Informationen zur aktuellen IAM Entitätsnutzung und zu den aktuellen IAM Entitätskontingenten im Konto zurück.aws iam get-account-summary
Ausgabe:
{ "SummaryMap": { "UsersQuota": 5000, "GroupsQuota": 100, "InstanceProfiles": 6, "SigningCertificatesPerUserQuota": 2, "AccountAccessKeysPresent": 0, "RolesQuota": 250, "RolePolicySizeQuota": 10240, "AccountSigningCertificatesPresent": 0, "Users": 27, "ServerCertificatesQuota": 20, "ServerCertificates": 0, "AssumeRolePolicySizeQuota": 2048, "Groups": 7, "MFADevicesInUse": 1, "Roles": 3, "AccountMFAEnabled": 1, "MFADevices": 3, "GroupsPerUserQuota": 10, "GroupPolicySizeQuota": 5120, "InstanceProfilesQuota": 100, "AccessKeysPerUserQuota": 2, "Providers": 0, "UserPolicySizeQuota": 2048 } }
Weitere Informationen zu Entitätsbeschränkungen finden Sie unter IAMund unter AWS STS Kontingente im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie GetAccountSummary
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-context-keys-for-custom-policy
.
- AWS CLI
-
Beispiel 1: Um die Kontextschlüssel aufzulisten, auf die von einer oder mehreren benutzerdefinierten JSON Richtlinien verwiesen wird, die als Parameter in der Befehlszeile bereitgestellt werden
Der folgende
get-context-keys-for-custom-policy
Befehl analysiert jede angegebene Richtlinie und listet die von diesen Richtlinien verwendeten Kontextschlüssel auf. Verwenden Sie diesen Befehl, um zu ermitteln, welche Kontextschlüsselwerte Sie angeben müssen, um die Richtliniensimulatorbefehlesimulate-custom-policy
undsimulate-custom-policy
erfolgreich verwenden zu können. Mit demget-context-keys-for-custom-policy
Befehl können Sie auch die Liste der Kontextschlüssel abrufen, die von allen Richtlinien verwendet werden, die einem IAM Benutzer oder einer Rolle zugeordnet sind. Parameterwerte, die mit beginnen,file://
weisen den Befehl an, die Datei zu lesen und den Inhalt anstelle des Dateinamens selbst als Wert für den Parameter zu verwenden.aws iam get-context-keys-for-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}
'Ausgabe:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Beispiel 2: Um die Kontextschlüssel aufzulisten, auf die in einer oder mehreren benutzerdefinierten JSON Richtlinien verwiesen wird, die als Dateieingabe bereitgestellt werden
Der folgende
get-context-keys-for-custom-policy
Befehl entspricht dem vorherigen Beispiel, außer dass die Richtlinien in einer Datei und nicht als Parameter bereitgestellt werden. Da der Befehl eine JSON Liste von Zeichenfolgen und keine Liste von JSON Strukturen erwartet, muss die Datei wie folgt strukturiert sein, obwohl Sie sie zu einer einzigen zusammenfassen können.[ "Policy1", "Policy2" ]
Eine Datei, die die Richtlinie aus dem vorherigen Beispiel enthält, muss also wie folgt aussehen. Sie müssen jedem eingebetteten doppelten Anführungszeichen in der Richtlinienzeichenfolge einen umgekehrten Schrägstrich voranstellen.
[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]
Diese Datei kann dann an den folgenden Befehl gesendet werden.
aws iam get-context-keys-for-custom-policy \ --policy-input-list
file://policyfile.json
Ausgabe:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Weitere Informationen finden Sie unter Verwenden des IAM Richtliniensimulators (AWS CLIund AWS API) im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie GetContextKeysForCustomPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-context-keys-for-principal-policy
.
- AWS CLI
-
Um die Kontextschlüssel aufzulisten, auf die von allen Richtlinien verwiesen wird, die einem IAM Prinzipal zugeordnet sind
Mit dem folgenden
get-context-keys-for-principal-policy
Befehl werden alle Richtlinien abgerufen, die dem Benutzersaanvi
und allen Gruppen, denen er angehört, zugeordnet sind. Anschließend analysiert er die einzelnen Richtlinien und listet die von diesen Richtlinien verwendeten Kontextschlüssel auf. Verwenden Sie diesen Befehl, um zu ermitteln, welche Kontextschlüsselwerte Sie angeben müssen, um diesimulate-principal-policy
Befehlesimulate-custom-policy
und erfolgreich verwenden zu können. Mit demget-context-keys-for-custom-policy
Befehl können Sie auch die Liste der Kontextschlüssel abrufen, die von einer beliebigen JSON Richtlinie verwendet werden.aws iam get-context-keys-for-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/saanvi
Ausgabe:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Weitere Informationen finden Sie unter Verwenden des IAM Richtliniensimulators (AWS CLIund AWS API) im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie GetContextKeysForPrincipalPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-credential-report
.
- AWS CLI
-
So rufen Sie einen Bericht zu Anmeldeinformationen ab
In diesem Beispiel wird der zurückgegebene Bericht geöffnet und als Array von Textzeilen an die Pipeline ausgegeben.
aws iam get-credential-report
Ausgabe:
{ "GeneratedTime": "2015-06-17T19:11:50Z", "ReportFormat": "text/csv" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Berichte über Anmeldeinformationen für Ihr AWS Konto abrufen.
-
APIEinzelheiten finden Sie unter GetCredentialReport AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-group-policy
.
- AWS CLI
-
Um Informationen über eine Richtlinie abzurufen, die einer IAM Gruppe zugeordnet ist
Mit dem folgenden
get-group-policy
Befehl werden Informationen über die angegebene Richtlinie abgerufen, die der genannten Gruppe zugeordnet istTest-Group
.aws iam get-group-policy \ --group-name
Test-Group
\ --policy-nameS3-ReadOnly-Policy
Ausgabe:
{ "GroupName": "Test-Group", "PolicyDocument": { "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*", "Effect": "Allow" } ] }, "PolicyName": "S3-ReadOnly-Policy" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRichtlinien verwalten.
-
APIEinzelheiten finden Sie GetGroupPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-group
.
- AWS CLI
-
Um eine IAM Gruppe zu bekommen
In diesem Beispiel werden Details zur IAM Gruppe zurückgegeben
Admins
.aws iam get-group \ --group-name
Admins
Ausgabe:
{ "Group": { "Path": "/", "CreateDate": "2015-06-16T19:41:48Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, "Users": [] }
Weitere Informationen finden Sie unter IAMIdentitäten (Benutzer, Benutzergruppen und Rollen) im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie unter GetGroup AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-instance-profile
.
- AWS CLI
-
Um Informationen über ein Instanzprofil abzurufen
Der folgende
get-instance-profile
Befehl ruft Informationen über das angegebene Instanzprofil abExampleInstanceProfile
.aws iam get-instance-profile \ --instance-profile-name
ExampleInstanceProfile
Ausgabe:
{ "InstanceProfile": { "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDGPMS9RO4H3FEXAMPLE", "CreateDate": "2013-01-09T06:33:26Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::336924118301:role/Test-Role" } ], "CreateDate": "2013-06-12T23:52:02Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile" } }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von Instanzprofilen.
-
APIEinzelheiten finden Sie GetInstanceProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-login-profile
.
- AWS CLI
-
Um Passwortinformationen für einen IAM Benutzer abzurufen
Der folgende
get-login-profile
Befehl ruft Informationen über das Passwort für den genannten IAM Benutzer abBob
.aws iam get-login-profile \ --user-name
Bob
Ausgabe:
{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2012-09-21T23:03:39Z" } }
Der
get-login-profile
Befehl kann verwendet werden, um zu überprüfen, ob ein IAM Benutzer ein Passwort hat. Der Befehl gibt einenNoSuchEntity
Fehler zurück, wenn kein Passwort für den Benutzer definiert ist.Mit diesem Befehl können Sie kein Passwort anzeigen. Wenn das Passwort verloren gegangen ist, können Sie das Passwort (
update-login-profile
) für den Benutzer zurücksetzen. Alternativ können Sie das Anmeldeprofil (delete-login-profile
) für den Benutzer löschen und dann ein neues erstellen (create-login-profile
).Weitere Informationen finden Sie im Benutzerhandbuch unter Passwörter für IAM AWS IAM Benutzer verwalten.
-
APIEinzelheiten finden Sie GetLoginProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-mfa-device
.
- AWS CLI
-
Um Informationen über einen FIDO Sicherheitsschlüssel abzurufen
Das folgende
get-mfa-device
Befehlsbeispiel ruft Informationen über den angegebenen FIDO Sicherheitsschlüssel ab.aws iam get-mfa-device \ --serial-number
arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE
Ausgabe:
{ "UserName": "alice", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00", "Certifications": { "FIDO": "L1" } }
Weitere Informationen finden Sie im AWSAWS IAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).
-
APIEinzelheiten finden Sie GetMfaDevice
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-open-id-connect-provider
.
- AWS CLI
-
Um Informationen über den angegebenen OpenID Connect-Anbieter zurückzugeben
Dieses Beispiel gibt Details über den OpenID Connect-Anbieter zurück, dessen ARN ist
arn:aws:iam::123456789012:oidc-provider/server.example.com
.aws iam get-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
Ausgabe:
{ "Url": "server.example.com" "CreateDate": "2015-06-16T19:41:48Z", "ThumbprintList": [ "12345abcdefghijk67890lmnopqrst987example" ], "ClientIDList": [ "example-application-ID" ] }
Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie unter GetOpenIdConnectProvider AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-organizations-access-report
.
- AWS CLI
-
Um einen Zugriffsbericht abzurufen
Im folgenden
get-organizations-access-report
Beispiel wird ein zuvor generierter Zugriffsbericht für eine AWS Organisationseinheit angezeigt. Verwenden Sie dengenerate-organizations-access-report
Befehl, um einen Bericht zu generieren.aws iam get-organizations-access-report \ --job-id
a8b6c06f-aaa4-8xmp-28bc-81da71836359
Ausgabe:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-09-30T06:53:36.187Z", "JobCompletionDate": "2019-09-30T06:53:37.547Z", "NumberOfServicesAccessible": 188, "NumberOfServicesNotAccessed": 171, "AccessDetails": [ { "ServiceName": "Alexa for Business", "ServiceNamespace": "a4b", "TotalAuthenticatedEntities": 0 }, ... }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.
-
APIEinzelheiten finden Sie GetOrganizationsAccessReport
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-policy-version
.
- AWS CLI
-
So rufen Sie Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab
In diesem Beispiel wird das Richtliniendokument für die Version 2 der Richtlinie zurückgegeben, deren ARN ist
arn:aws:iam::123456789012:policy/MyManagedPolicy
.aws iam get-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Ausgabe:
{ "PolicyVersion": { "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } ] }, "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2023-04-11T00:22:54+00:00" } }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie GetPolicyVersion
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-policy
.
- AWS CLI
-
So rufen Sie Informationen über die angegebene verwaltete Richtlinie ab
In diesem Beispiel werden Details zu der verwalteten Richtlinie zurückgegeben, deren ARN ist
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam get-policy \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Ausgabe:
{ "Policy": { "PolicyName": "MySamplePolicy", "CreateDate": "2015-06-17T19:23;32Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy", "UpdateDate": "2015-06-17T19:23:32Z" } }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie GetPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-role-policy
.
- AWS CLI
-
Um Informationen über eine Richtlinie abzurufen, die einer IAM Rolle zugeordnet ist
Der folgende
get-role-policy
Befehl ruft Informationen über die angegebene Richtlinie ab, die der genannten Rolle zugeordnet istTest-Role
.aws iam get-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
Ausgabe:
{ "RoleName": "Test-Role", "PolicyDocument": { "Statement": [ { "Action": [ "s3:ListBucket", "s3:Put*", "s3:Get*", "s3:*MultipartUpload*" ], "Resource": "*", "Effect": "Allow", "Sid": "1" } ] } "PolicyName": "ExamplePolicy" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.
-
APIEinzelheiten finden Sie GetRolePolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-role
.
- AWS CLI
-
Um Informationen über eine IAM Rolle zu erhalten
Mit dem folgenden
get-role
-Befehl werden Informationen über die Rolle mit dem NamenTest-Role
abgerufen.aws iam get-role \ --role-name
Test-Role
Ausgabe:
{ "Role": { "Description": "Test Role", "AssumeRolePolicyDocument":"<URL-encoded-JSON>", "MaxSessionDuration": 3600, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2019-11-13T16:45:56Z", "RoleName": "Test-Role", "Path": "/", "RoleLastUsed": { "Region": "us-east-1", "LastUsedDate": "2019-11-13T17:14:00Z" }, "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }
Der Befehl zeigt die Vertrauensrichtlinie an, die der Rolle zugeordnet ist. Verwenden Sie den
list-role-policies
-Befehl, um die einer Rolle zugeordneten Berechtigungsrichtlinien aufzulisten.Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.
-
APIEinzelheiten finden Sie GetRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-saml-provider
.
- AWS CLI
-
Um das SAML Provider-Metadokument abzurufen
In diesem Beispiel werden die Details über den SAML 2.0-Anbieter abgerufen, dessen ist. ARM
arn:aws:iam::123456789012:saml-provider/SAMLADFS
Die Antwort enthält das Metadatendokument, das Sie vom Identitätsanbieter zur Erstellung der AWS SAML Anbieterentität erhalten haben, sowie die Erstellungs- und Ablaufdaten.aws iam get-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/SAMLADFS
Ausgabe:
{ "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...", "CreateDate": "2017-03-06T22:29:46+00:00", "ValidUntil": "2117-03-06T22:29:46.433000+00:00", "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.
-
APIEinzelheiten finden Sie GetSamlProvider
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-server-certificate
.
- AWS CLI
-
Um Details zu einem Serverzertifikat in Ihrem AWS Konto abzurufen
Mit dem folgenden
get-server-certificate
Befehl werden alle Details zum angegebenen Serverzertifikat in Ihrem AWS Konto abgerufen.aws iam get-server-certificate \ --server-certificate-name
myUpdatedServerCertificate
Ausgabe:
{ "ServerCertificate": { "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, "CertificateBody": "-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----", "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md 7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----" } }
Verwenden Sie den
list-server-certificates
Befehl, um die in Ihrem AWS Konto verfügbaren Serverzertifikate aufzulisten.Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Verwalten von Serverzertifikaten.
-
APIEinzelheiten finden Sie GetServerCertificate
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-service-last-accessed-details-with-entities
.
- AWS CLI
-
Um einen Servicezugriffsbericht mit Details für einen Dienst abzurufen
Im folgenden
get-service-last-accessed-details-with-entities
Beispiel wird ein Bericht abgerufen, der Details zu IAM Benutzern und anderen Entitäten enthält, die auf den angegebenen Dienst zugegriffen haben. Verwenden Sie dengenerate-service-last-accessed-details
Befehl, um einen Bericht zu generieren. Um eine Liste der Dienste abzurufen, auf die über Namespaces zugegriffen wird, verwenden Sie.get-service-last-accessed-details
aws iam get-service-last-accessed-details-with-entities \ --job-id
78b6c2ba-d09e-6xmp-7039-ecde30b26916
\ --service-namespacelambda
Ausgabe:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:55:41.756Z", "JobCompletionDate": "2019-10-01T03:55:42.533Z", "EntityDetailsList": [ { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/admin", "Name": "admin", "Type": "USER", "Id": "AIDAIO2XMPLENQEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-30T23:02:00Z" }, { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/developer", "Name": "developer", "Type": "USER", "Id": "AIDAIBEYXMPL2YEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-16T19:34:00Z" } ] }
Weitere Informationen finden Sie im Benutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.AWS IAM
-
APIEinzelheiten finden Sie GetServiceLastAccessedDetailsWithEntities
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-service-last-accessed-details
.
- AWS CLI
-
Um einen Servicezugriffsbericht abzurufen
Im folgenden
get-service-last-accessed-details
Beispiel wird ein zuvor generierter Bericht abgerufen, der die Dienste auflistet, auf die IAM Entitäten zugreifen. Verwenden Sie dengenerate-service-last-accessed-details
Befehl, um einen Bericht zu generieren.aws iam get-service-last-accessed-details \ --job-id
2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc
Ausgabe:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:50:35.929Z", "ServicesLastAccessed": [ ... { "ServiceName": "AWS Lambda", "LastAuthenticated": "2019-09-30T23:02:00Z", "ServiceNamespace": "lambda", "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin", "TotalAuthenticatedEntities": 6 }, ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.
-
APIEinzelheiten finden Sie GetServiceLastAccessedDetails
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-service-linked-role-deletion-status
.
- AWS CLI
-
So überprüfen Sie den Status einer Anfrage zum Löschen einer serviceverknüpften Rolle
Im folgenden
get-service-linked-role-deletion-status
-Beispiel wird der Status einer früheren Anfrage zum Löschen einer serviceverknüpften Rolle angezeigt. Der Löschvorgang erfolgt asynchron. Wenn Sie die Anfrage stellen, erhalten Sie einenDeletionTaskId
-Wert, den Sie als Parameter für diesen Befehl angeben.aws iam get-service-linked-role-deletion-status \ --deletion-task-id
task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE
Ausgabe:
{ "Status": "SUCCEEDED" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von serviceverknüpften Rollen.
-
APIEinzelheiten finden Sie GetServiceLinkedRoleDeletionStatus
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-ssh-public-key
.
- AWS CLI
-
Beispiel 1: Um einen SSH öffentlichen Schlüssel abzurufen, der an einen IAM Benutzer in SSH codierter Form angehängt ist
Der folgende
get-ssh-public-key
Befehl ruft den angegebenen SSH öffentlichen Schlüssel vom IAM Benutzer ab.sofia
Die Ausgabe erfolgt in SSH Kodierung.aws iam get-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
\ --encodingSSH
Ausgabe:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Beispiel 2: Um einen SSH öffentlichen Schlüssel abzurufen, der an einen IAM Benutzer in PEM codierter Form angehängt ist
Der folgende
get-ssh-public-key
Befehl ruft den angegebenen SSH öffentlichen Schlüssel vom IAM Benutzer ab.sofia
Die Ausgabe erfolgt in PEM Kodierung.aws iam get-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
\ --encodingPEM
Ausgabe:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Weitere Informationen finden Sie unter SSHTasten und SSH mit verwenden CodeCommit im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie GetSshPublicKey
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-user-policy
.
- AWS CLI
-
Um Richtliniendetails für einen IAM Benutzer aufzulisten
Der folgende
get-user-policy
Befehl listet die Details der angegebenen Richtlinie auf, die dem genannten IAM Benutzer zugeordnet istBob
.aws iam get-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
Ausgabe:
{ "UserName": "Bob", "PolicyName": "ExamplePolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow" } ] } }
Verwenden Sie den
list-user-policies
Befehl, um eine Liste der Richtlinien für einen IAM Benutzer abzurufen.Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie GetUserPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungget-user
.
- AWS CLI
-
Um Informationen über einen IAM Benutzer zu erhalten
Mit dem folgenden
get-user
Befehl werden Informationen über den genannten IAM Benutzer abgerufenPaulo
.aws iam get-user \ --user-name
Paulo
Ausgabe:
{ "User": { "UserName": "Paulo", "Path": "/", "CreateDate": "2019-09-21T23:03:13Z", "UserId": "AIDA123456789EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Paulo" } }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Benutzer verwalten.
-
APIEinzelheiten finden Sie GetUser
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-access-keys
.
- AWS CLI
-
Um den Zugriffsschlüssel IDs für einen IAM Benutzer aufzulisten
Der folgende
list-access-keys
Befehl listet die Zugriffsschlüssel IDs für den genannten IAM Benutzer aufBob
.aws iam list-access-keys \ --user-name
Bob
Ausgabe:
{ "AccessKeyMetadata": [ { "UserName": "Bob", "Status": "Active", "CreateDate": "2013-06-04T18:17:34Z", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" }, { "UserName": "Bob", "Status": "Inactive", "CreateDate": "2013-06-06T20:42:26Z", "AccessKeyId": "AKIAI44QH8DHBEXAMPLE" } ] }
Sie können die geheimen Zugriffsschlüssel für IAM Benutzer nicht auflisten. Bei Verlust der geheimen Zugangsschlüssel müssen Sie mit dem
create-access-keys
-Befehl neue Zugangsschlüssel erstellen.Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffsschlüsseln für IAM AWS IAM Benutzer.
-
APIEinzelheiten finden Sie ListAccessKeys
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-account-aliases
.
- AWS CLI
-
So listen Sie Konto-Aliase auf
Der folgende
list-account-aliases
-Befehl listet die Aliase für das aktuelle Konto auf.aws iam list-account-aliases
Ausgabe:
{ "AccountAliases": [ "mycompany" ] }
Weitere Informationen finden Sie unter Ihre AWS Konto-ID und ihr Alias im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie ListAccountAliases
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-attached-group-policies
.
- AWS CLI
-
Um alle verwalteten Richtlinien aufzulisten, die der angegebenen Gruppe zugeordnet sind
In diesem Beispiel werden die Namen und die Namen ARNs der verwalteten Richtlinien zurückgegeben, die der
Admins
im AWS Konto genannten IAM Gruppe zugeordnet sind.aws iam list-attached-group-policies \ --group-name
Admins
Ausgabe:
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie ListAttachedGroupPolicies
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-attached-role-policies
.
- AWS CLI
-
So listen Sie alle verwalteten Richtlinien auf, die der angegebenen Rolle angefügt sind
Dieser Befehl gibt die Namen und die Namen ARNs der verwalteten Richtlinien zurück, die der
SecurityAuditRole
im AWS Konto genannten IAM Rolle zugeordnet sind.aws iam list-attached-role-policies \ --role-name
SecurityAuditRole
Ausgabe:
{ "AttachedPolicies": [ { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie ListAttachedRolePolicies
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-attached-user-policies
.
- AWS CLI
-
Um alle verwalteten Richtlinien aufzulisten, die dem angegebenen Benutzer zugeordnet sind
Dieser Befehl gibt die Namen und ARNs die verwalteten Richtlinien für den
Bob
im AWS Konto genannten IAM Benutzer zurück.aws iam list-attached-user-policies \ --user-name
Bob
Ausgabe:
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie ListAttachedUserPolicies
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-entities-for-policy
.
- AWS CLI
-
Um alle Benutzer, Gruppen und Rollen aufzulisten, denen die angegebene verwaltete Richtlinie zugeordnet ist
In diesem Beispiel wird eine Liste von IAM Gruppen, Rollen und Benutzern zurückgegeben, denen die Richtlinie
arn:aws:iam::123456789012:policy/TestPolicy
angehängt ist.aws iam list-entities-for-policy \ --policy-arn
arn:aws:iam::123456789012:policy/TestPolicy
Ausgabe:
{ "PolicyGroups": [ { "GroupName": "Admins", "GroupId": "AGPACKCEVSQ6C2EXAMPLE" } ], "PolicyUsers": [ { "UserName": "Alice", "UserId": "AIDACKCEVSQ6C2EXAMPLE" } ], "PolicyRoles": [ { "RoleName": "DevRole", "RoleId": "AROADBQP57FF2AEXAMPLE" } ], "IsTruncated": false }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie ListEntitiesForPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-group-policies
.
- AWS CLI
-
Um alle Inline-Richtlinien aufzulisten, die der angegebenen Gruppe zugeordnet sind
Der folgende
list-group-policies
Befehl listet die Namen der Inline-Richtlinien auf, die derAdmins
im aktuellen Konto genannten IAM Gruppe zugeordnet sind.aws iam list-group-policies \ --group-name
Admins
Ausgabe:
{ "PolicyNames": [ "AdminRoot", "ExamplePolicy" ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRichtlinien verwalten.
-
APIEinzelheiten finden Sie ListGroupPolicies
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-groups-for-user
.
- AWS CLI
-
Um die Gruppen aufzulisten, zu denen ein IAM Benutzer gehört
Der folgende
list-groups-for-user
Befehl zeigt die Gruppen an, zu denen der angegebene IAM BenutzerBob
gehört.aws iam list-groups-for-user \ --user-name
Bob
Ausgabe:
{ "Groups": [ { "Path": "/", "CreateDate": "2013-05-06T01:18:08Z", "GroupId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admin", "GroupName": "Admin" }, { "Path": "/", "CreateDate": "2013-05-06T01:37:28Z", "GroupId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/s3-Users", "GroupName": "s3-Users" } ] }
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Benutzergruppen verwalten.AWS IAM
-
APIEinzelheiten finden Sie ListGroupsForUser
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-groups
.
- AWS CLI
-
Um die IAM Gruppen für das Girokonto aufzulisten
Der folgende
list-groups
Befehl listet die IAM Gruppen im aktuellen Konto auf.aws iam list-groups
Ausgabe:
{ "Groups": [ { "Path": "/", "CreateDate": "2013-06-04T20:27:27.972Z", "GroupId": "AIDACKCEVSQ6C2EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, { "Path": "/", "CreateDate": "2013-04-16T20:30:42Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/S3-Admins", "GroupName": "S3-Admins" } ] }
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Benutzergruppen verwalten.AWS IAM
-
APIEinzelheiten finden Sie ListGroups
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-instance-profile-tags
.
- AWS CLI
-
Um die einem Instanzprofil angehängten Tags aufzulisten
Mit dem folgenden
list-instance-profile-tags
Befehl wird die Liste der Tags abgerufen, die dem angegebenen Instanzprofil zugeordnet sind.aws iam list-instance-profile-tags \ --instance-profile-name
deployment-role
Ausgabe:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie ListInstanceProfileTags
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-instance-profiles-for-role
.
- AWS CLI
-
Um die Instanzprofile für eine IAM Rolle aufzulisten
Der folgende
list-instance-profiles-for-role
Befehl listet die Instanzprofile auf, die der Rolle zugeordnet sindTest-Role
.aws iam list-instance-profiles-for-role \ --role-name
Test-Role
Ausgabe:
{ "InstanceProfiles": [ { "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDACKCEVSQ6C2EXAMPLE", "CreateDate": "2013-06-07T20:42:15Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } ], "CreateDate": "2013-06-07T21:05:24Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile" } ] }
Weitere Informationen finden Sie unter Verwenden von Instanzprofilen im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie ListInstanceProfilesForRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-instance-profiles
.
- AWS CLI
-
Um die Instanzprofile für das Konto aufzulisten
Der folgende
list-instance-profiles
Befehl listet die Instanzprofile auf, die dem aktuellen Konto zugeordnet sind.aws iam list-instance-profiles
Ausgabe:
{ "InstanceProfiles": [ { "Path": "/", "InstanceProfileName": "example-dev-role", "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role", "CreateDate": "2023-09-21T18:17:41+00:00", "Roles": [ { "Path": "/", "RoleName": "example-dev-role", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-dev-role", "CreateDate": "2023-09-21T18:17:40+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] }, { "Path": "/", "InstanceProfileName": "example-s3-role", "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role", "CreateDate": "2023-09-21T18:18:50+00:00", "Roles": [ { "Path": "/", "RoleName": "example-s3-role", "RoleId": "AROAINUBC5O7XLEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-s3-role", "CreateDate": "2023-09-21T18:18:49+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von Instanzprofilen.
-
APIEinzelheiten finden Sie ListInstanceProfiles
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-mfa-device-tags
.
- AWS CLI
-
Um die an ein MFA Gerät angeschlossenen Tags aufzulisten
Mit dem folgenden
list-mfa-device-tags
Befehl wird die Liste der Tags abgerufen, die dem angegebenen MFA Gerät zugeordnet sind.aws iam list-mfa-device-tags \ --serial-number
arn:aws:iam::123456789012:mfa/alice
Ausgabe:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen kennzeichnen.
-
APIEinzelheiten finden Sie ListMfaDeviceTags
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-mfa-devices
.
- AWS CLI
-
Um alle MFA Geräte für einen bestimmten Benutzer aufzulisten
In diesem Beispiel werden Details zu dem dem IAM Benutzer zugewiesenen MFA Gerät zurückgegeben
Bob
.aws iam list-mfa-devices \ --user-name
Bob
Ausgabe:
{ "MFADevices": [ { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob", "EnableDate": "2019-10-28T20:37:09+00:00" }, { "UserName": "Bob", "SerialNumber": "GAKT12345678", "EnableDate": "2023-02-18T21:44:42+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE", "EnableDate": "2023-09-19T02:25:35+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00" } ] }
Weitere Informationen finden Sie im AWSAWS IAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).
-
APIEinzelheiten finden Sie ListMfaDevices
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-open-id-connect-provider-tags
.
- AWS CLI
-
Um die Tags aufzulisten, die an einen OpenID Connect (OIDC) -kompatiblen Identitätsanbieter angehängt sind
Der folgende
list-open-id-connect-provider-tags
Befehl ruft die Liste der Tags ab, die dem angegebenen OIDC Identitätsanbieter zugeordnet sind.aws iam list-open-id-connect-provider-tags \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
Ausgabe:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen mit Tags versehen.
-
APIEinzelheiten finden Sie ListOpenIdConnectProviderTags
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-open-id-connect-providers
.
- AWS CLI
-
Um Informationen über die OpenID Connect-Anbieter im AWS Konto aufzulisten
Dieses Beispiel gibt eine Liste ARNS aller OpenID Connect-Anbieter zurück, die im aktuellen AWS Konto definiert sind.
aws iam list-open-id-connect-providers
Ausgabe:
{ "OpenIDConnectProviderList": [ { "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com" } ] }
Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie unter ListOpenIdConnectProviders AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-policies-granting-service-access
.
- AWS CLI
-
Um die Richtlinien aufzulisten, die einem Prinzipalzugriff auf den angegebenen Dienst gewähren
Im folgenden
list-policies-granting-service-access
Beispiel wird die Liste der Richtlinien abgerufen, die dem IAM Benutzersofia
Zugriff auf den AWS CodeCommit Dienst gewähren.aws iam list-policies-granting-service-access \ --arn
arn:aws:iam::123456789012:user/sofia
\ --service-namespacescodecommit
Ausgabe:
{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "codecommit", "Policies": [ { "PolicyName": "Grant-Sofia-Access-To-CodeCommit", "PolicyType": "INLINE", "EntityType": "USER", "EntityName": "sofia" } ] } ], "IsTruncated": false }
Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden IAM mit CodeCommit: Git-Anmeldeinformationen, SSH Schlüsseln und AWS Zugriffsschlüsseln.AWS IAM
-
APIEinzelheiten finden Sie ListPoliciesGrantingServiceAccess
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-policies
.
- AWS CLI
-
Um verwaltete Richtlinien aufzulisten, die für Ihr AWS Konto verfügbar sind
In diesem Beispiel wird eine Sammlung der ersten beiden verwalteten Richtlinien zurückgegeben, die im aktuellen AWS Konto verfügbar sind.
aws iam list-policies \ --max-items
3
Ausgabe:
{ "Policies": [ { "PolicyName": "AWSCloudTrailAccessPolicy", "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2019-09-04T17:43:42+00:00", "UpdateDate": "2019-09-04T17:43:42+00:00" }, { "PolicyName": "AdministratorAccess", "PolicyId": "ANPAIWMBCKSKIEE64ZLYK", "Arn": "arn:aws:iam::aws:policy/AdministratorAccess", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 6, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:46+00:00", "UpdateDate": "2015-02-06T18:39:46+00:00" }, { "PolicyName": "PowerUserAccess", "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS", "Arn": "arn:aws:iam::aws:policy/PowerUserAccess", "Path": "/", "DefaultVersionId": "v5", "AttachmentCount": 1, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:47+00:00", "UpdateDate": "2023-07-06T22:04:00+00:00" } ], "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ==" }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie ListPolicies
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-policy-tags
.
- AWS CLI
-
Um die mit einer verwalteten Richtlinie verknüpften Tags aufzulisten
Mit dem folgenden
list-policy-tags
Befehl wird die Liste der Tags abgerufen, die der angegebenen verwalteten Richtlinie zugeordnet sind.aws iam list-policy-tags \ --policy-arn
arn:aws:iam::123456789012:policy/billing-access
Ausgabe:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen kennzeichnen.
-
APIEinzelheiten finden Sie ListPolicyTags
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-policy-versions
.
- AWS CLI
-
Um Informationen zu den Versionen der angegebenen verwalteten Richtlinie aufzulisten
In diesem Beispiel wird die Liste der verfügbaren Versionen der Richtlinie zurückgegeben, deren ARN ist
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam list-policy-versions \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Ausgabe:
{ "IsTruncated": false, "Versions": [ { "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2015-06-02T23:19:44Z" }, { "VersionId": "v1", "IsDefaultVersion": false, "CreateDate": "2015-06-02T22:30:47Z" } ] }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie ListPolicyVersions
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-role-policies
.
- AWS CLI
-
Um die einer IAM Rolle zugewiesenen Richtlinien aufzulisten
Der folgende
list-role-policies
Befehl listet die Namen der Berechtigungsrichtlinien für die angegebene IAM Rolle auf.aws iam list-role-policies \ --role-name
Test-Role
Ausgabe:
{ "PolicyNames": [ "ExamplePolicy" ] }
Verwenden Sie den
get-role
-Befehl, um die einer Rolle angefügten Vertrauensrichtlinie anzuzeigen. Verwenden Sie denget-role-policy
-Befehl, um die Details einer Berechtigungsrichtlinie anzuzeigen.Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.
-
APIEinzelheiten finden Sie ListRolePolicies
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-role-tags
.
- AWS CLI
-
Um die einer Rolle zugewiesenen Tags aufzulisten
Mit dem folgenden
list-role-tags
Befehl wird die Liste der Tags abgerufen, die der angegebenen Rolle zugeordnet sind.aws iam list-role-tags \ --role-name
production-role
Ausgabe:
{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen mit Tags versehen.
-
APIEinzelheiten finden Sie ListRoleTags
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-roles
.
- AWS CLI
-
Um IAM Rollen für das aktuelle Konto aufzulisten
Der folgende
list-roles
Befehl listet die IAM Rollen für das aktuelle Konto auf.aws iam list-roles
Ausgabe:
{ "Roles": [ { "Path": "/", "RoleName": "ExampleRole", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/ExampleRole", "CreateDate": "2017-09-12T19:23:36+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 }, { "Path": "/example_path/", "RoleName": "ExampleRoleWithPath", "RoleId": "AROAI4QRP7UFT7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath", "CreateDate": "2023-09-21T20:29:38+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.
-
APIEinzelheiten finden Sie ListRoles
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-saml-provider-tags
.
- AWS CLI
-
Um die an einen SAML Anbieter angehängten Tags aufzulisten
Mit dem folgenden
list-saml-provider-tags
Befehl wird die Liste der Tags abgerufen, die dem angegebenen SAML Anbieter zugeordnet sind.aws iam list-saml-provider-tags \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
Ausgabe:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen mit Tags versehen.
-
APIEinzelheiten finden Sie ListSamlProviderTags
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-saml-providers
.
- AWS CLI
-
Um die SAML Anbieter im AWS Konto aufzulisten
In diesem Beispiel wird die Liste der SAML 2.0-Anbieter abgerufen, die im AWS Girokonto erstellt wurde.
aws iam list-saml-providers
Ausgabe:
{ "SAMLProviderList": [ { "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS", "ValidUntil": "2015-06-05T22:45:14Z", "CreateDate": "2015-06-05T22:45:14Z" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.
-
APIEinzelheiten finden Sie unter L istSAMLProviders
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt, wie manlist-server-certificate-tags
.
- AWS CLI
-
Um die an ein Serverzertifikat angehängten Tags aufzulisten
Mit dem folgenden
list-server-certificate-tags
Befehl wird die Liste der Tags abgerufen, die dem angegebenen Serverzertifikat zugeordnet sind.aws iam list-server-certificate-tags \ --server-certificate-name
ExampleCertificate
Ausgabe:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen kennzeichnen.
-
APIEinzelheiten finden Sie ListServerCertificateTags
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-server-certificates
.
- AWS CLI
-
Um die Serverzertifikate in Ihrem AWS Konto aufzulisten
Der folgende
list-server-certificates
Befehl listet alle Serverzertifikate auf, die in Ihrem AWS Konto gespeichert sind und zur Verwendung verfügbar sind.aws iam list-server-certificates
Ausgabe:
{ "ServerCertificateMetadataList": [ { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, { "Path": "/cloudfront/", "ServerCertificateName": "MyTestCert", "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert", "UploadDate": "2015-04-21T18:14:16+00:00", "Expiration": "2018-01-14T17:52:36+00:00" } ] }
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Verwalten von Serverzertifikaten.
-
APIEinzelheiten finden Sie ListServerCertificates
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-service-specific-credential
.
- AWS CLI
-
Beispiel 1: Listet die dienstspezifischen Anmeldeinformationen für einen Benutzer auf
Im folgenden
list-service-specific-credentials
Beispiel werden alle dienstspezifischen Anmeldeinformationen angezeigt, die dem angegebenen Benutzer zugewiesen wurden. Passwörter sind nicht in der Antwort enthalten.aws iam list-service-specific-credentials \ --user-name
sofia
Ausgabe:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Beispiel 2: Listet die dienstspezifischen Anmeldeinformationen für einen Benutzer auf, der nach einem bestimmten Dienst gefiltert wurde
Im folgenden
list-service-specific-credentials
Beispiel werden die dienstspezifischen Anmeldeinformationen angezeigt, die dem Benutzer zugewiesen wurden, der die Anfrage stellt. Die Liste wird so gefiltert, dass sie nur die Anmeldeinformationen für den angegebenen Dienst enthält. Passwörter sind nicht in der Antwort enthalten.aws iam list-service-specific-credentials \ --service-name
codecommit.amazonaws.com
Ausgabe:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.
-
APIEinzelheiten finden Sie ListServiceSpecificCredential
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-service-specific-credentials
.
- AWS CLI
-
Um eine Liste mit Anmeldeinformationen abzurufen
Das folgende
list-service-specific-credentials
Beispiel listet die Anmeldeinformationen auf, die für den HTTPS Zugriff auf AWS CodeCommit Repositorys für einen Benutzer mit dem Namendeveloper
generiert wurden.aws iam list-service-specific-credentials \ --user-name
developer
\ --service-namecodecommit.amazonaws.com
Ausgabe:
{ "ServiceSpecificCredentials": [ { "UserName": "developer", "Status": "Inactive", "ServiceUserName": "developer-at-123456789012", "CreateDate": "2019-10-01T04:31:41Z", "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE", "ServiceName": "codecommit.amazonaws.com" }, { "UserName": "developer", "Status": "Active", "ServiceUserName": "developer+1-at-123456789012", "CreateDate": "2019-10-01T04:31:45Z", "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP", "ServiceName": "codecommit.amazonaws.com" } ] }
Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.
-
APIEinzelheiten finden Sie ListServiceSpecificCredentials
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-signing-certificates
.
- AWS CLI
-
Um die Signaturzertifikate für einen IAM Benutzer aufzulisten
Der folgende
list-signing-certificates
Befehl listet die Signaturzertifikate für den genannten IAM Benutzer aufBob
.aws iam list-signing-certificates \ --user-name
Bob
Ausgabe:
{ "Certificates": [ { "UserName": "Bob", "Status": "Inactive", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08Z" } ] }
Weitere Informationen finden Sie unter Signaturzertifikate verwalten im EC2Amazon-Benutzerhandbuch.
-
APIEinzelheiten finden Sie ListSigningCertificates
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-ssh-public-keys
.
- AWS CLI
-
Um die SSH öffentlichen Schlüssel aufzulisten, die einem IAM Benutzer zugewiesen sind
Das folgende
list-ssh-public-keys
Beispiel listet die SSH öffentlichen Schlüssel auf, die dem IAM Benutzer zugewiesen sindsofia
.aws iam list-ssh-public-keys \ --user-name
sofia
Ausgabe:
{ "SSHPublicKeys": [ { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } ] }
Weitere Informationen finden Sie unter Verwenden von SSH Schlüsseln und SSH mit CodeCommit im AWS IAMBenutzerhandbuch
-
APIEinzelheiten finden Sie ListSshPublicKeys
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-user-policies
.
- AWS CLI
-
Um Richtlinien für einen IAM Benutzer aufzulisten
Der folgende
list-user-policies
Befehl listet die Richtlinien auf, die dem genannten IAM Benutzer zugeordnet sindBob
.aws iam list-user-policies \ --user-name
Bob
Ausgabe:
{ "PolicyNames": [ "ExamplePolicy", "TestPolicy" ] }
Weitere Informationen finden Sie im IAM Benutzerhandbuch unter Einen Benutzer in Ihrem AWS Konto erstellen.AWS IAM
-
APIEinzelheiten finden Sie ListUserPolicies
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-user-tags
.
- AWS CLI
-
Um die einem Benutzer zugewiesenen Tags aufzulisten
Mit dem folgenden
list-user-tags
Befehl wird die Liste der Tags abgerufen, die dem angegebenen IAM Benutzer zugeordnet sind.aws iam list-user-tags \ --user-name
alice
Ausgabe:
{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen mit Tags versehen.
-
APIEinzelheiten finden Sie ListUserTags
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-users
.
- AWS CLI
-
Um IAM Benutzer aufzulisten
Der folgende
list-users
Befehl listet die IAM Benutzer im aktuellen Konto auf.aws iam list-users
Ausgabe:
{ "Users": [ { "UserName": "Adele", "Path": "/", "CreateDate": "2013-03-07T05:14:48Z", "UserId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Adele" }, { "UserName": "Bob", "Path": "/", "CreateDate": "2012-09-21T23:03:13Z", "UserId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } ] }
Weitere Informationen finden Sie im Benutzerhandbuch unter IAM AWS IAM Benutzer auflisten.
-
APIEinzelheiten finden Sie ListUsers
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunglist-virtual-mfa-devices
.
- AWS CLI
-
Um virtuelle MFA Geräte aufzulisten
Der folgende
list-virtual-mfa-devices
Befehl listet die virtuellen MFA Geräte auf, die für das aktuelle Konto konfiguriert wurden.aws iam list-virtual-mfa-devices
Ausgabe:
{ "VirtualMFADevices": [ { "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice" }, { "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred" } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Aktivieren eines Geräts mit virtueller Multifaktor-Authentifizierung (MFA).
-
APIEinzelheiten finden Sie ListVirtualMfaDevices
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungput-group-policy
.
- AWS CLI
-
So fügen Sie eine Richtlinie zu einer Gruppe hinzu
Mit dem folgenden
put-group-policy
Befehl wird der IAM Gruppe mit dem Namen eine Richtlinie hinzugefügtAdmins
.aws iam put-group-policy \ --group-name
Admins
\ --policy-documentfile://AdminPolicy.json
\ --policy-nameAdminRoot
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Die Richtlinie ist als JSON Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRichtlinien verwalten.
-
APIEinzelheiten finden Sie PutGroupPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungput-role-permissions-boundary
.
- AWS CLI
-
Beispiel 1: Um eine auf einer benutzerdefinierten Richtlinie basierende Berechtigungsgrenze auf eine IAM Rolle anzuwenden
Im folgenden
put-role-permissions-boundary
Beispiel wird die benutzerdefinierte Richtlinie angewendet, dieintern-boundary
als Berechtigungsgrenze für die angegebene IAM Rolle bezeichnet wird.aws iam put-role-permissions-boundary \ --permissions-boundary
arn:aws:iam::123456789012:policy/intern-boundary
\ --role-namelambda-application-role
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Beispiel 2: Um eine auf einer AWS verwalteten Richtlinie basierende Berechtigungsgrenze auf eine IAM Rolle anzuwenden
Im folgenden
put-role-permissions-boundary
Beispiel AWS wird die verwaltetePowerUserAccess
Richtlinie als Berechtigungsgrenze für die angegebene IAM Rolle angewendet.aws iam put-role-permissions-boundary \ --permissions-boundary
arn:aws:iam::aws:policy/PowerUserAccess
\ --role-namex-account-admin
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.
-
APIEinzelheiten finden Sie PutRolePermissionsBoundary
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungput-role-policy
.
- AWS CLI
-
Um einer IAM Rolle eine Berechtigungsrichtlinie zuzuweisen
Der folgende
put-role-policy
-Befehl fügt der Rolle mit dem NamenTest-Role
eine Berechtigungsrichtlinie hinzu.aws iam put-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
\ --policy-documentfile://AdminPolicy.json
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Die Richtlinie ist als JSON Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)
Verwenden Sie den
update-assume-role-policy
-Befehl, um einer Rolle eine Vertrauensrichtlinie anzufügen.Weitere Informationen finden Sie unter Ändern einer Rolle im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie PutRolePolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungput-user-permissions-boundary
.
- AWS CLI
-
Beispiel 1: Um einem IAM Benutzer eine auf einer benutzerdefinierten Richtlinie basierende Berechtigungsgrenze zuzuweisen
Im folgenden
put-user-permissions-boundary
Beispiel wird eine benutzerdefinierte Richtlinie angewendet, dieintern-boundary
als Berechtigungsgrenze für den angegebenen IAM Benutzer bezeichnet wird.aws iam put-user-permissions-boundary \ --permissions-boundary
arn:aws:iam::123456789012:policy/intern-boundary
\ --user-nameintern
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Beispiel 2: Um eine auf einer AWS verwalteten Richtlinie basierende Berechtigungsgrenze auf einen IAM Benutzer anzuwenden
Im folgenden
put-user-permissions-boundary
Beispiel AWS wird die verwaltete Richtlinie, diePowerUserAccess
als Berechtigungsgrenze bezeichnet wird, für den angegebenen IAM Benutzer angewendet.aws iam put-user-permissions-boundary \ --permissions-boundary
arn:aws:iam::aws:policy/PowerUserAccess
\ --user-namedeveloper
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.
-
APIEinzelheiten finden Sie PutUserPermissionsBoundary
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungput-user-policy
.
- AWS CLI
-
Um eine Richtlinie an einen IAM Benutzer anzuhängen
Mit dem folgenden
put-user-policy
Befehl wird dem IAM Benutzer mit dem NamenBob
eine Richtlinie zugewiesen.aws iam put-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
\ --policy-documentfile://AdminPolicy.json
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Die Richtlinie ist als JSON Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.
-
APIEinzelheiten finden Sie PutUserPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungremove-client-id-from-open-id-connect-provider
.
- AWS CLI
-
Um die angegebene Client-ID aus der Liste der Clients zu entfernen, die für den angegebenen IAM OpenID Connect-Anbieter IDs registriert sind
In diesem Beispiel wird die Client-ID
My-TestApp-3
aus der Liste der Clients entfernt, die dem IAM OIDC Anbieter IDs zugeordnet sind, dessen ARN istarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
.aws iam remove-client-id-from-open-id-connect-provider --client-id
My-TestApp-3
\ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie unter RemoveClientIdFromOpenIdConnectProvider AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungremove-role-from-instance-profile
.
- AWS CLI
-
Um eine Rolle aus einem Instanzprofil zu entfernen
Der folgende
remove-role-from-instance-profile
Befehl entfernt die benannte RolleTest-Role
aus dem genannten InstanzprofilExampleInstanceProfile
.aws iam remove-role-from-instance-profile \ --instance-profile-name
ExampleInstanceProfile
\ --role-nameTest-Role
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von Instanzprofilen.
-
APIEinzelheiten finden Sie RemoveRoleFromInstanceProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungremove-user-from-group
.
- AWS CLI
-
Um einen Benutzer aus einer IAM Gruppe zu entfernen
Mit dem folgenden
remove-user-from-group
Befehl wird der angegebene BenutzerBob
aus der genannten IAM Gruppe entferntAdmins
.aws iam remove-user-from-group \ --user-name
Bob
\ --group-nameAdmins
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im Benutzerhandbuch unter Hinzufügen und Entfernen von Benutzern in einer IAM AWS IAM Benutzergruppe.
-
APIEinzelheiten finden Sie RemoveUserFromGroup
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungreset-service-specific-credential
.
- AWS CLI
-
Beispiel 1: Setzen Sie das Passwort für einen dienstspezifischen Berechtigungsnachweis zurück, der dem Benutzer, der die Anfrage gestellt hat, zugeordnet ist
Im folgenden
reset-service-specific-credential
Beispiel wird ein neues kryptografisch sicheres Passwort für die angegebenen dienstspezifischen Anmeldeinformationen generiert, die dem Benutzer zugeordnet sind, der die Anfrage stellt.aws iam reset-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
Ausgabe:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Beispiel 2: Setzt das Passwort für dienstspezifische Anmeldeinformationen zurück, die einem bestimmten Benutzer zugewiesen sind
Im folgenden
reset-service-specific-credential
Beispiel wird ein neues kryptografisch sicheres Passwort für dienstspezifische Anmeldeinformationen generiert, die dem angegebenen Benutzer zugewiesen sind.aws iam reset-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
Ausgabe:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.
-
APIEinzelheiten finden Sie ResetServiceSpecificCredential
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungresync-mfa-device
.
- AWS CLI
-
Um ein MFA Gerät zu synchronisieren
Im folgenden
resync-mfa-device
Beispiel wird das MFA Gerät synchronisiert, das dem IAM Benutzer zugeordnet istBob
und dessen Gerätarn:aws:iam::123456789012:mfa/BobsMFADevice
mit einem Authentifizierungsprogramm betrieben ARN wird, das die beiden Authentifizierungscodes bereitgestellt hat.aws iam resync-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
\ --authentication-code1123456
\ --authentication-code2987654
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS Benutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).AWS IAM
-
APIEinzelheiten finden Sie ResyncMfaDevice
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungset-default-policy-version
.
- AWS CLI
-
Um die angegebene Version der angegebenen Richtlinie als Standardversion der Richtlinie festzulegen.
In diesem Beispiel wird die
v2
Version der Richtlinie festgelegt, bei der ARN esarn:aws:iam::123456789012:policy/MyPolicy
sich um die aktive Standardversion handelt.aws iam set-default-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.
-
APIEinzelheiten finden Sie SetDefaultPolicyVersion
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungset-security-token-service-preferences
.
- AWS CLI
-
Um die globale Endpunkt-Token-Version festzulegen
Im folgenden
set-security-token-service-preferences
Beispiel wird Amazon so konfiguriertSTS, dass bei der Authentifizierung am globalen Endpunkt Tokens der Version 2 verwendet werden.aws iam set-security-token-service-preferences \ --global-endpoint-token-version
v2Token
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwaltung AWS STS in einer AWS Region.
-
APIEinzelheiten finden Sie SetSecurityTokenServicePreferences
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungsimulate-custom-policy
.
- AWS CLI
-
Beispiel 1: Um die Auswirkungen aller IAM Richtlinien zu simulieren, die einem IAM Benutzer oder einer Rolle zugeordnet sind
Im Folgenden wird
simulate-custom-policy
gezeigt, wie Sie sowohl die Richtlinie als auch die Definition von Variablenwerten angeben und einen API Aufruf simulieren, um festzustellen, ob er zulässig oder verweigert ist. Das folgende Beispiel zeigt eine Richtlinie, die den Datenbankzugriff erst nach einem bestimmten Datum und einer bestimmten Uhrzeit ermöglicht. Die Simulation ist erfolgreich, weil die simulierten Aktionen und die angegebeneaws:CurrentTime
Variable alle den Anforderungen der Richtlinie entsprechen.aws iam simulate-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}
' \ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"
Ausgabe:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "PolicyInputList.1", "StartPosition": { "Line": 1, "Column": 38 }, "EndPosition": { "Line": 1, "Column": 167 } } ], "MissingContextValues": [] } ] }
Beispiel 2: Um einen Befehl zu simulieren, der durch die Richtlinie verboten ist
Das folgende
simulate-custom-policy
Beispiel zeigt die Ergebnisse der Simulation eines Befehls, der durch die Richtlinie verboten ist. In diesem Beispiel liegt das angegebene Datum vor dem Datum, das gemäß der Richtlinienbedingung erforderlich ist.aws iam simulate-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}
' \ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"
Ausgabe:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Testen von IAM IAM Richtlinien mit dem Richtliniensimulator.
-
APIEinzelheiten finden Sie SimulateCustomPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungsimulate-principal-policy
.
- AWS CLI
-
Beispiel 1: Um die Auswirkungen einer willkürlichen IAM Richtlinie zu simulieren
Im Folgenden
simulate-principal-policy
wird gezeigt, wie ein Benutzer simuliert, der eine API Aktion aufruft und ermittelt, ob die diesem Benutzer zugewiesenen Richtlinien die Aktion zulassen oder verweigern. Im folgenden Beispiel verfügt der Benutzer über eine Richtlinie, die nur diecodecommit:ListRepositories
Aktion zulässt.aws iam simulate-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/alejandro
\ --action-namescodecommit:ListRepositories
Ausgabe:
{ "EvaluationResults": [ { "EvalActionName": "codecommit:ListRepositories", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo", "StartPosition": { "Line": 3, "Column": 19 }, "EndPosition": { "Line": 9, "Column": 10 } } ], "MissingContextValues": [] } ] }
Beispiel 2: Um die Auswirkungen eines verbotenen Befehls zu simulieren
Das folgende
simulate-custom-policy
Beispiel zeigt die Ergebnisse der Simulation eines Befehls, der durch eine der Benutzerrichtlinien verboten ist. Im folgenden Beispiel verfügt der Benutzer über eine Richtlinie, die den Zugriff auf eine DynamoDB-Datenbank erst nach einem bestimmten Datum und einer bestimmten Uhrzeit erlaubt. Bei der Simulation versucht der Benutzer, mit einemaws:CurrentTime
Wert auf die Datenbank zuzugreifen, der vor der Bedingung der Richtlinie liegt.aws iam simulate-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/alejandro
\ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"
Ausgabe:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Testen von IAM IAM Richtlinien mit dem Richtliniensimulator.
-
APIEinzelheiten finden Sie SimulatePrincipalPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungtag-instance-profile
.
- AWS CLI
-
Um einem Instanzprofil ein Tag hinzuzufügen
Der folgende
tag-instance-profile
Befehl fügt dem angegebenen Instanzprofil ein Tag mit einem Abteilungsnamen hinzu.aws iam tag-instance-profile \ --instance-profile-name
deployment-role
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie TagInstanceProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungtag-mfa-device
.
- AWS CLI
-
Um einem MFA Gerät ein Tag hinzuzufügen
Mit dem folgenden
tag-mfa-device
Befehl wird dem angegebenen MFA Gerät ein Tag mit einem Abteilungsnamen hinzugefügt.aws iam tag-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/alice
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen kennzeichnen.
-
APIEinzelheiten finden Sie TagMfaDevice
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungtag-open-id-connect-provider
.
- AWS CLI
-
Um einem OpenID Connect (OIDC) -kompatiblen Identitätsanbieter ein Tag hinzuzufügen
Der folgende
tag-open-id-connect-provider
Befehl fügt dem angegebenen OIDC Identitätsanbieter ein Tag mit einem Abteilungsnamen hinzu.aws iam tag-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen kennzeichnen.
-
APIEinzelheiten finden Sie TagOpenIdConnectProvider
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungtag-policy
.
- AWS CLI
-
Um einer vom Kunden verwalteten Richtlinie ein Tag hinzuzufügen
Mit dem folgenden
tag-policy
Befehl wird der angegebenen, vom Kunden verwalteten Richtlinie ein Tag mit einem Abteilungsnamen hinzugefügt.aws iam tag-policy \ --policy-arn
arn:aws:iam::123456789012:policy/billing-access
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen kennzeichnen.
-
APIEinzelheiten finden Sie TagPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungtag-role
.
- AWS CLI
-
Um einer Rolle ein Tag hinzuzufügen
Der folgende
tag-role
Befehl fügt der angegebenen Rolle ein Tag mit einem Abteilungsnamen hinzu.aws iam tag-role --role-name
my-role
\ --tags '{"Key": "Department", "Value": "Accounting"}
'Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.
-
APIEinzelheiten finden Sie TagRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungtag-saml-provider
.
- AWS CLI
-
Um einem SAML Anbieter ein Tag hinzuzufügen
Mit dem folgenden
tag-saml-provider
Befehl wird dem angegebenen SAML Anbieter ein Tag mit einem Abteilungsnamen hinzugefügt.aws iam tag-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.
-
APIEinzelheiten finden Sie TagSamlProvider
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungtag-server-certificate
.
- AWS CLI
-
Um einem Serverzertifikat ein Tag hinzuzufügen
Der folgende
tag-saml-provider
Befehl fügt dem angegebenen Serverzertifikat ein Tag mit einem Abteilungsnamen hinzu.aws iam tag-server-certificate \ --server-certificate-name
ExampleCertificate
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen kennzeichnen.
-
APIEinzelheiten finden Sie TagServerCertificate
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungtag-user
.
- AWS CLI
-
Um einem Benutzer ein Tag hinzuzufügen
Mit dem folgenden
tag-user
Befehl wird dem angegebenen Benutzer ein Tag mit der zugehörigen Abteilung hinzugefügt.aws iam tag-user \ --user-name
alice
\ --tags '{"Key": "Department", "Value": "Accounting"}
'Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie TagUser
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunguntag-instance-profile
.
- AWS CLI
-
Um ein Tag aus einem Instanzprofil zu entfernen
Mit dem folgenden
untag-instance-profile
Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Instanzprofil entfernt.aws iam untag-instance-profile \ --instance-profile-name
deployment-role
\ --tag-keysDepartment
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie UntagInstanceProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunguntag-mfa-device
.
- AWS CLI
-
Um ein Tag von einem MFA Gerät zu entfernen
Mit dem folgenden
untag-mfa-device
Befehl werden alle Tags mit dem Schlüsselnamen „Abteilung“ vom angegebenen MFA Gerät entfernt.aws iam untag-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/alice
\ --tag-keysDepartment
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie UntagMfaDevice
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunguntag-open-id-connect-provider
.
- AWS CLI
-
Um ein Tag von einem OIDC Identitätsanbieter zu entfernen
Mit dem folgenden
untag-open-id-connect-provider
Befehl werden alle Tags mit dem Schlüsselnamen „Abteilung“ aus dem angegebenen OIDC Identitätsanbieter entfernt.aws iam untag-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
\ --tag-keysDepartment
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie UntagOpenIdConnectProvider
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunguntag-policy
.
- AWS CLI
-
Um ein Tag aus einer vom Kunden verwalteten Richtlinie zu entfernen
Mit dem folgenden
untag-policy
Befehl werden alle Tags mit dem Schlüsselnamen „Abteilung“ aus der angegebenen, vom Kunden verwalteten Richtlinie entfernt.aws iam untag-policy \ --policy-arn
arn:aws:iam::452925170507:policy/billing-access
\ --tag-keysDepartment
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.
-
APIEinzelheiten finden Sie UntagPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunguntag-role
.
- AWS CLI
-
Um ein Tag aus einer Rolle zu entfernen
Mit dem folgenden
untag-role
Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus der angegebenen Rolle entfernt.aws iam untag-role \ --role-name
my-role
\ --tag-keysDepartment
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie UntagRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunguntag-saml-provider
.
- AWS CLI
-
Um ein Tag von einem SAML Anbieter zu entfernen
Mit dem folgenden
untag-saml-provider
Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Instanzprofil entfernt.aws iam untag-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
\ --tag-keysDepartment
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie UntagSamlProvider
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunguntag-server-certificate
.
- AWS CLI
-
Um ein Tag aus einem Serverzertifikat zu entfernen
Mit dem folgenden
untag-server-certificate
Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Serverzertifikat entfernt.aws iam untag-server-certificate \ --server-certificate-name
ExampleCertificate
\ --tag-keysDepartment
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.
-
APIEinzelheiten finden Sie UntagServerCertificate
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendunguntag-user
.
- AWS CLI
-
Um ein Tag von einem Benutzer zu entfernen
Mit dem folgenden
untag-user
Befehl werden alle Tags mit dem Schlüsselnamen „Department“ vom angegebenen Benutzer entfernt.aws iam untag-user \ --user-name
alice
\ --tag-keysDepartment
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.
-
APIEinzelheiten finden Sie UntagUser
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-access-key
.
- AWS CLI
-
Um einen Zugriffsschlüssel für einen IAM Benutzer zu aktivieren oder zu deaktivieren
Der folgende
update-access-key
Befehl deaktiviert den angegebenen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den genannten IAMBob
Benutzer.aws iam update-access-key \ --access-key-id
AKIAIOSFODNN7EXAMPLE
\ --statusInactive
\ --user-nameBob
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Die Deaktivierung des Schlüssels bedeutet, dass er nicht für den programmatischen Zugriff auf verwendet werden kann. AWS Der Schlüssel ist jedoch weiterhin verfügbar und kann erneut aktiviert werden.
Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffstasten für IAM AWS IAMBenutzer.
-
APIEinzelheiten finden Sie UpdateAccessKey
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-account-password-policy
.
- AWS CLI
-
Um die Passwortrichtlinie für das aktuelle Konto festzulegen oder zu ändern
Mit dem folgenden
update-account-password-policy
Befehl wird für die Kennwortrichtlinie eine Mindestlänge von acht Zeichen und eine oder mehrere Zahlen im Kennwort festgelegt.aws iam update-account-password-policy \ --minimum-password-length
8
\ --require-numbersMit diesem Befehl wird keine Ausgabe zurückgegeben.
Änderungen an der Kennwortrichtlinie eines Kontos wirken sich auf alle neuen Passwörter aus, die für IAM Benutzer des Kontos erstellt werden. Änderungen der Passwortrichtlinie wirken sich nicht auf bestehende Passwörter aus.
Weitere Informationen finden Sie im Benutzerhandbuch unter Einrichten einer Kontokennwortrichtlinie für IAM AWS IAM Benutzer.
-
APIEinzelheiten finden Sie UpdateAccountPasswordPolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-assume-role-policy
.
- AWS CLI
-
Um die Vertrauensrichtlinie für eine IAM Rolle zu aktualisieren
Der folgende
update-assume-role-policy
Befehl aktualisiert die Vertrauensrichtlinie für die angegebene RolleTest-Role
.aws iam update-assume-role-policy \ --role-name
Test-Role
\ --policy-documentfile://Test-Role-Trust-Policy.json
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Die Vertrauensrichtlinie ist als JSON Dokument in der Datei Test-role-trust-policy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.) Die Vertrauensrichtlinie muss einen Prinzipal angeben.
Verwenden Sie den Befehl, um die Berechtigungsrichtlinie für eine Rolle zu aktualisieren.
put-role-policy
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.
-
APIEinzelheiten finden Sie UpdateAssumeRolePolicy
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-group
.
- AWS CLI
-
Um eine IAM Gruppe umzubenennen
Mit dem folgenden
update-group
Befehl wird der Name der IAM GruppeTest
in geändertTest-1
.aws iam update-group \ --group-name
Test
\ --new-group-nameTest-1
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Umbenennen einer AWS IAMBenutzergruppe.
-
APIEinzelheiten finden Sie UpdateGroup
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-login-profile
.
- AWS CLI
-
Um das Passwort für einen IAM Benutzer zu aktualisieren
Der folgende
update-login-profile
Befehl erstellt ein neues Passwort für den IAM Benutzer mit dem NamenBob
.aws iam update-login-profile \ --user-name
Bob
\ --password<password>
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Verwenden Sie den
update-account-password-policy
Befehl, um eine Kennwortrichtlinie für das Konto festzulegen. Wenn das neue Passwort gegen die Passwortrichtlinie für das Konto verstößt, gibt der Befehl einenPasswordPolicyViolation
Fehler zurück.Wenn die Kontokennwortrichtlinie dies zulässt, können IAM Benutzer ihre eigenen Passwörter mithilfe des
change-password
Befehls ändern.Bewahren Sie das Passwort an einem sicheren Ort auf. Wenn das Passwort verloren geht, kann es nicht wiederhergestellt werden, und Sie müssen mit dem
create-login-profile
Befehl ein neues erstellen.Weitere Informationen finden Sie im Benutzerhandbuch unter Passwörter für IAM AWS IAM Benutzer verwalten.
-
APIEinzelheiten finden Sie UpdateLoginProfile
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-open-id-connect-provider-thumbprint
.
- AWS CLI
-
Um die bestehende Liste der Fingerabdrücke von Serverzertifikaten durch eine neue Liste zu ersetzen
In diesem Beispiel wird die Liste der Fingerabdrücke für Zertifikate für den OIDC Anbieter aktualisiert, der einen neuen Fingerabdruck verwenden ARN
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
soll.aws iam update-open-id-connect-provider-thumbprint \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
\ --thumbprint-list7359755EXAMPLEabc3060bce3EXAMPLEec4542a3
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie unter UpdateOpenIdConnectProviderThumbprint AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-role-description
.
- AWS CLI
-
Um die Beschreibung einer IAM Rolle zu ändern
Mit dem folgenden
update-role
Befehl wird die Beschreibung der IAM Rolleproduction-role
in geändertMain production role
.aws iam update-role-description \ --role-name
production-role
\ --description 'Main production role
'Ausgabe:
{ "Role": { "Path": "/", "RoleName": "production-role", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/production-role", "CreateDate": "2017-12-06T17:16:37+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }, "Description": "Main production role" } }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.
-
APIEinzelheiten finden Sie UpdateRoleDescription
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-role
.
- AWS CLI
-
Um die Beschreibung einer IAM Rolle oder die Sitzungsdauer zu ändern
Mit dem folgenden
update-role
Befehl wird die Beschreibung der IAM Rolleproduction-role
auf 12 Stunden geändertMain production role
und die maximale Sitzungsdauer wird auf 12 Stunden festgelegt.aws iam update-role \ --role-name
production-role
\ --description 'Main production role
' \ --max-session-duration43200
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.
-
APIEinzelheiten finden Sie UpdateRole
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-saml-provider
.
- AWS CLI
-
Um das Metadatendokument für einen vorhandenen SAML Anbieter zu aktualisieren
In diesem Beispiel wird der SAML AnbieterIAM, in dessen Verzeichnis ARN sich befindet,
arn:aws:iam::123456789012:saml-provider/SAMLADFS
mit einem neuen SAML Metadatendokument aus der Datei aktualisiertSAMLMetaData.xml
.aws iam update-saml-provider \ --saml-metadata-document
file://SAMLMetaData.xml
\ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/SAMLADFS
Ausgabe:
{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS" }
Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.
-
APIEinzelheiten finden Sie UpdateSamlProvider
unter AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-server-certificate
.
- AWS CLI
-
Um den Pfad oder Namen eines Serverzertifikats in Ihrem AWS Konto zu ändern
Mit dem folgenden
update-server-certificate
-Befehl wird der Name des Zertifikats vonmyServerCertificate
inmyUpdatedServerCertificate
geändert. Außerdem wird der Pfad geändert,/cloudfront/
sodass der CloudFront Amazon-Service darauf zugreifen kann. Mit diesem Befehl wird keine Ausgabe zurückgegeben. Sie können die Ergebnisse der Aktualisierung anzeigen, indem Sie denlist-server-certificates
-Befehl ausführen.aws-iam update-server-certificate \ --server-certificate-name
myServerCertificate
\ --new-server-certificate-namemyUpdatedServerCertificate
\ --new-path/cloudfront/
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Serverzertifikate verwalten.
-
APIEinzelheiten finden Sie UpdateServerCertificate
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-service-specific-credential
.
- AWS CLI
-
Beispiel 1: Um den Status der dienstspezifischen Anmeldeinformationen des anfragenden Benutzers zu aktualisieren
Im folgenden
update-service-specific-credential
Beispiel wird der Status der angegebenen Anmeldeinformationen für den Benutzer geändert, an den die Anfrage gestellt wird.Inactive
aws iam update-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
\ --statusInactive
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Beispiel 2: Um den Status der dienstspezifischen Anmeldeinformationen eines angegebenen Benutzers zu aktualisieren
Im folgenden
update-service-specific-credential
Beispiel wird der Status der Anmeldeinformationen des angegebenen Benutzers in Inaktiv geändert.aws iam update-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
\ --statusInactive
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Create Git Credentials for HTTPS Connections to CodeCommit im AWS CodeCommit Benutzerhandbuch
-
APIEinzelheiten finden Sie UpdateServiceSpecificCredential
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-signing-certificate
.
- AWS CLI
-
Um ein Signaturzertifikat für einen IAM Benutzer zu aktivieren oder zu deaktivieren
Der folgende
update-signing-certificate
Befehl deaktiviert das angegebene Signaturzertifikat für den genannten IAMBob
Benutzer.aws iam update-signing-certificate \ --certificate-id
TA7SMP42TDN5Z26OBPJE7EXAMPLE
\ --statusInactive
\ --user-nameBob
Verwenden Sie den
list-signing-certificates
Befehl, um die ID für ein Signaturzertifikat abzurufen.Weitere Informationen finden Sie unter Signaturzertifikate verwalten im EC2Amazon-Benutzerhandbuch.
-
APIEinzelheiten finden Sie UpdateSigningCertificate
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-ssh-public-key
.
- AWS CLI
-
Um den Status eines SSH öffentlichen Schlüssels zu ändern
Der folgende
update-ssh-public-key
Befehl ändert den Status des angegebenen öffentlichen Schlüssels inInactive
.aws iam update-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA1234567890EXAMPLE
\ --statusInactive
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter Verwenden von SSH Schlüsseln und SSH mit CodeCommit im AWS IAMBenutzerhandbuch.
-
APIEinzelheiten finden Sie UpdateSshPublicKey
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupdate-user
.
- AWS CLI
-
Um den Namen eines IAM Benutzers zu ändern
Mit dem folgenden
update-user
Befehl wird der Name des IAM BenutzersBob
in geändertRobert
.aws iam update-user \ --user-name
Bob
\ --new-user-nameRobert
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Umbenennen einer AWS IAMBenutzergruppe.
-
APIEinzelheiten finden Sie UpdateUser
in der AWS CLI Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupload-server-certificate
.
- AWS CLI
-
Um ein Serverzertifikat auf Ihr AWS Konto hochzuladen
Mit dem folgenden upload-server-certificateBefehl wird ein Serverzertifikat auf Ihr AWS Konto hochgeladen. In diesem Beispiel befindet sich das Zertifikat in der Datei
public_key_cert_file.pem
, der zugehörige private Schlüssel in der Dateimy_private_key.pem
und die von der Zertifizierungsstelle (CA) bereitgestellte Zertifikatskette befindet sich in dermy_certificate_chain_file.pem
-Datei. Wenn der Upload der Datei abgeschlossen ist, ist sie unter dem Namen verfügbar. myServerCertificate Parameter, die mitfile://
beginnen, weisen den Befehl an, den Inhalt der Datei zu lesen und diesen als Parameterwert anstelle des Dateinamens selbst zu verwenden.aws iam upload-server-certificate \ --server-certificate-name
myServerCertificate
\ --certificate-bodyfile://public_key_cert_file.pem
\ --private-keyfile://my_private_key.pem
\ --certificate-chainfile://my_certificate_chain_file.pem
Ausgabe:
{ "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" } }
Weitere Informationen finden Sie im Nutzerhandbuch unter Serverzertifikate erstellen, hochladen und löschen. IAM
-
APIEinzelheiten finden Sie unter UploadServerCertificate AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupload-signing-certificate
.
- AWS CLI
-
Um ein Signaturzertifikat für einen IAM Benutzer hochzuladen
Mit dem folgenden
upload-signing-certificate
Befehl wird ein Signaturzertifikat für den genannten IAMBob
Benutzer hochgeladen.aws iam upload-signing-certificate \ --user-name
Bob
\ --certificate-bodyfile://certificate.pem
Ausgabe:
{ "Certificate": { "UserName": "Bob", "Status": "Active", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08.121Z" } }
Das Zertifikat befindet sich in einer Datei mit dem Namen certificate.pem im Format. PEM
Weitere Informationen finden Sie im Nutzerhandbuch unter Benutzersignaturzertifikate erstellen und hochladen. IAM
-
APIEinzelheiten finden Sie unter UploadSigningCertificate AWS CLI
Befehlsreferenz.
-
Das folgende Codebeispiel zeigt die Verwendungupload-ssh-public-key
.
- AWS CLI
-
Um einen SSH öffentlichen Schlüssel hochzuladen und ihn einem Benutzer zuzuordnen
Mit dem folgenden
upload-ssh-public-key
Befehl wird der in der Datei gefundene öffentliche Schlüssel hochgeladensshkey.pub
und an den Benutzer angehängt.sofia
aws iam upload-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-bodyfile://sshkey.pub
Ausgabe:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>", "Status": "Active", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Weitere Informationen zum Generieren von Schlüsseln in einem für diesen Befehl geeigneten Format finden Sie unter SSHLinux, macOS oder Unix: Richten Sie die öffentlichen und privaten Schlüssel für Git ein und CodeCommit oder SSHund Windows: Richten Sie die öffentlichen und privaten Schlüssel für Git ein und CodeCommit im AWS CodeCommit Benutzerhandbuch.
-
APIEinzelheiten finden Sie UploadSshPublicKey
in der AWS CLI Befehlsreferenz.
-