IAMBeispiele mit AWS CLI

Um eine Client-ID (Audience) zu einem Open-ID Connect (OIDC) -Anbieter hinzuzufügen

Der folgende add-client-id-to-open-id-connect-provider Befehl fügt dem genannten OIDC server.example.com Anbieter my-application-ID die Client-ID hinzu.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den create-open-id-connect-provider Befehl, um einen OIDC Anbieter zu erstellen.

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.

Um einem Instanzprofil eine Rolle hinzuzufügen

Der folgende add-role-to-instance-profile Befehl fügt die benannte Rolle S3Access dem genannten Instanzprofil hinzuWebserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den create-instance-profile Befehl, um ein Instanzprofil zu erstellen.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.

Um einen Benutzer zu einer IAM Gruppe hinzuzufügen

Mit dem folgenden add-user-to-group Befehl wird der IAM Gruppe mit dem Namen Bob ein IAM Benutzer mit dem Namen hinzugefügtAdmins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im Benutzerhandbuch unter Hinzufügen und Entfernen von Benutzern in einer IAM AWS IAM Benutzergruppe.

Um eine verwaltete Richtlinie an eine IAM Gruppe anzuhängen

Mit dem folgenden attach-group-policy Befehl wird die benannte AWS verwaltete Richtlinie ReadOnlyAccess an die angegebene IAM Gruppe angehängt. Finance

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS IAMBenutzerhandbuch.

Um einer IAM Rolle eine verwaltete Richtlinie zuzuordnen

Mit dem folgenden attach-role-policy Befehl wird die benannte AWS verwaltete Richtlinie ReadOnlyAccess an die angegebene IAM Rolle angehängt. ReadOnlyRole

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS IAMBenutzerhandbuch.

Um einem IAM Benutzer eine verwaltete Richtlinie anzuhängen

Mit dem folgenden attach-user-policy Befehl wird die AWS verwaltete Richtlinie mit AdministratorAccess dem Namen des IAM Benutzers verknüpft. Alice

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS IAMBenutzerhandbuch.

Um das Passwort für Ihren IAM Benutzer zu ändern

Um das Passwort für Ihren IAM Benutzer zu ändern, empfehlen wir, den --cli-input-json Parameter zu verwenden, um eine JSON Datei zu übergeben, die Ihre alten und neuen Passwörter enthält. Mit dieser Methode können Sie sichere Passwörter mit nicht alphanumerischen Zeichen verwenden. Es kann schwierig sein, Passwörter mit nicht alphanumerischen Zeichen zu verwenden, wenn Sie sie als Befehlszeilenparameter übergeben. Um den --cli-input-json Parameter zu verwenden, verwenden Sie zunächst den change-password Befehl mit dem --generate-cli-skeleton Parameter, wie im folgenden Beispiel.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

Mit dem vorherigen Befehl wird eine JSON Datei mit dem Namen change-password.json erstellt, mit der Sie Ihre alten und neuen Passwörter eingeben können. Die Datei könnte beispielsweise wie folgt aussehen.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Verwenden Sie als Nächstes den change-password Befehl erneut, um Ihr Passwort zu ändern. Übergeben Sie diesmal den --cli-input-json Parameter zur Angabe Ihrer JSON Datei. Der folgende change-password Befehl verwendet den --cli-input-json Parameter mit einer JSON Datei namens change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Dieser Befehl kann nur von Benutzern aufgerufen werden. IAM Wenn dieser Befehl mit AWS Kontoanmeldeinformationen (Root) aufgerufen wird, gibt der Befehl einen InvalidUserType Fehler zurück.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter So ändert ein AWS IAMBenutzer sein eigenes Passwort.

Um einen Zugriffsschlüssel für einen IAM Benutzer zu erstellen

Der folgende create-access-key Befehl erstellt einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den genannten IAM BenutzerBob.

aws iam create-access-key \
    --user-name Bob

Ausgabe:

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Speichern Sie den geheimen Zugriffsschlüssel an einem sicheren Ort. Bei Verlust kann er nicht wiederhergestellt werden und Sie müssen einen neuen Zugriffsschlüssel erstellen.

Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffsschlüsseln für IAM AWS IAM Benutzer.

So erstellen Sie einen Konto-Alias

Der folgende create-account-alias Befehl erstellt den Alias examplecorp für Ihr AWS Konto.

aws iam create-account-alias \
    --account-alias examplecorp

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ihre AWS Konto-ID und deren Alias im AWS IAMBenutzerhandbuch.

Um eine IAM Gruppe zu erstellen

Der folgende create-group Befehl erstellt eine IAM Gruppe mit dem NamenAdmins.

aws iam create-group \
    --group-name Admins

Ausgabe:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Benutzergruppen erstellen.AWS IAM

So erstellen Sie ein Instance-Profil

Der folgende create-instance-profile-Befehl erstellt ein Instance-Profil mit dem Namen Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Ausgabe:

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Verwenden Sie den add-role-to-instance-profile-Befehl, um einem Instance-Profil eine Rolle hinzuzufügen.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.

Um ein Passwort für einen IAM Benutzer zu erstellen

Um ein Passwort für einen IAM Benutzer zu erstellen, empfehlen wir, den --cli-input-json Parameter zu verwenden, um eine JSON Datei zu übergeben, die das Passwort enthält. Mit dieser Methode können Sie ein sicheres Passwort mit nicht-alphanumerischen Zeichen erstellen. Es kann schwierig sein, ein Passwort mit nicht alphanumerischen Zeichen zu erstellen, wenn Sie es als Befehlszeilenparameter übergeben.

Um den --cli-input-json Parameter zu verwenden, verwenden Sie zunächst den create-login-profile Befehl mit dem --generate-cli-skeleton Parameter, wie im folgenden Beispiel.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

Mit dem vorherigen Befehl wird eine JSON Datei namens create-login-profile .json erstellt, mit der Sie die Informationen für einen nachfolgenden create-login-profile Befehl eingeben können. Beispielsweise:

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Verwenden Sie als Nächstes den create-login-profile Befehl erneut, um ein Passwort für einen IAM Benutzer zu erstellen. Übergeben Sie diesmal den --cli-input-json Parameter zur Angabe Ihrer JSON Datei. Der folgende create-login-profile Befehl verwendet den --cli-input-json Parameter mit einer JSON Datei namens create-login-profile .json.

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Ausgabe:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Wenn das neue Passwort gegen die Kontopasswortrichtlinie verstößt, gibt der Befehl einen PasswordPolicyViolation Fehler zurück.

Um das Passwort für einen Benutzer zu ändern, der bereits eines hat, verwenden Sieupdate-login-profile. Verwenden Sie den update-account-password-policy Befehl, um eine Kennwortrichtlinie für das Konto festzulegen.

Wenn die Kontokennwortrichtlinie dies zulässt, können IAM Benutzer ihre eigenen Passwörter mithilfe des change-password Befehls ändern.

Weitere Informationen finden Sie im Benutzerhandbuch unter Passwörter für IAM AWS IAM Benutzer verwalten.

Um einen OpenID Connect (OIDC) -Anbieter zu erstellen

Um einen OpenID Connect (OIDC) -Anbieter zu erstellen, empfehlen wir, den --cli-input-json Parameter zu verwenden, um eine JSON Datei zu übergeben, die die erforderlichen Parameter enthält. Wenn Sie einen OIDC Anbieter erstellen, müssen Sie den Namen URL des Anbieters übergeben, und der URL muss mit https:// beginnen. Es kann schwierig sein, den URL als Befehlszeilenparameter zu übergeben, da der Doppelpunkt (:) und der Schrägstrich (/) in manchen Befehlszeilenumgebungen eine besondere Bedeutung haben. Durch die Verwendung des --cli-input-json Parameters wird diese Einschränkung umgangen.

Um den --cli-input-json Parameter zu verwenden, verwenden Sie zunächst den create-open-id-connect-provider Befehl mit dem --generate-cli-skeleton Parameter, wie im folgenden Beispiel.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

Mit dem vorherigen Befehl wird eine JSON Datei mit dem Namen create-open-id-connect -provider.json erstellt, mit der Sie die Informationen für einen nachfolgenden Befehl eingeben können. create-open-id-connect-provider Beispielsweise:

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Verwenden Sie als Nächstes den create-open-id-connect-provider Befehl erneut, um den OpenID Connect (OIDC) -Anbieter zu erstellen. Übergeben Sie diesmal den --cli-input-json Parameter zur Angabe Ihrer JSON Datei. Der folgende create-open-id-connect-provider Befehl verwendet den --cli-input-json Parameter mit einer JSON Datei namens create-open-id-connect -provider.json.

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Ausgabe:

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Weitere Informationen zu OIDC Anbietern finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.

Weitere Informationen zum Abrufen von Fingerabdrücken für einen OIDC Anbieter finden Sie unter Abrufen des Fingerabdrucks für einen OpenID Connect-Identitätsanbieter im Benutzerhandbuch.AWS IAM

So erstellen Sie eine neue Version einer verwalteten Richtlinie

In diesem Beispiel wird eine neue v2 Version der IAM Richtlinie erstellt, deren Standardversion es ARN ist, arn:aws:iam::123456789012:policy/MyPolicy und macht sie zur Standardversion.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Ausgabe:

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMVersionierungsrichtlinien.

Beispiel 1: So erstellen Sie eine vom Kunden verwaltete Richtlinie

Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy erstellt.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy

Die Datei policy ist ein JSON Dokument im aktuellen Ordner, das nur Lesezugriff auf den shared Ordner in einem Amazon S3 S3-Bucket mit dem Namen gewährtmy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/shared/*"
            ]
        }
    ]
}

Ausgabe:

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Weitere Informationen zur Verwendung von Dateien als Eingabe für Zeichenkettenparameter finden Sie unter Angeben von Parameterwerten für AWS CLI im AWS CLIBenutzerhandbuch.

Beispiel 2: So erstellen Sie eine vom Kunden verwaltete Richtlinie mit einer Beschreibung

Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy und einer unveränderlichen Beschreibung erstellt:

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for my-bucket"

Die Datei policy.json ist ein JSON Dokument im aktuellen Ordner, das Zugriff auf alle Put-, List- und Get-Aktionen für einen Amazon S3 S3-Bucket mit dem Namen gewährtmy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "s3:ListBucket*",
                 "s3:PutBucket*",
                 "s3:GetBucket*"
             ],
             "Resource": [
                 "arn:aws:s3:::my-bucket"
             ]
         }
     ]
 }

Ausgabe:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Weitere Informationen zu identitätsbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im Benutzerhandbuch.AWS IAM

Beispiel 3: So erstellen Sie eine vom Kunden verwaltete Richtlinie mit Tags

Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy mit Tags erstellt. In diesem Beispiel wird der --tags Parameter flag mit den folgenden Tags im -Format verwendet:. JSON '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Alternativ kann das --tags-Flag mit Tags im Kurzformat 'Key=Department,Value=Accounting Key=Location,Value=Seattle' verwendet werden.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Die Datei policy.json ist ein JSON Dokument im aktuellen Ordner, das Zugriff auf alle Put-, List- und Get-Aktionen für einen Amazon S3 S3-Bucket mit dem Namen gewährtmy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "s3:ListBucket*",
                 "s3:PutBucket*",
                 "s3:GetBucket*"
             ],
             "Resource": [
                 "arn:aws:s3:::my-bucket"
             ]
         }
     ]
 }

Ausgabe:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {

        ]
    }
}

Weitere Informationen zu Tagging-Richtlinien finden Sie unter Tagging von kundenverwalteten Richtlinien im AWS IAMBenutzerhandbuch.

Beispiel 1: Um eine IAM Rolle zu erstellen

Mit dem folgenden create-role-Befehl wird eine Rolle mit dem Namen Test-Role erstellt und ihr eine Vertrauensrichtlinie angefügt.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Ausgabe:

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

Die Vertrauensrichtlinie ist als JSON Dokument in der Datei Test-Role-Trust-Policy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.) Die Vertrauensrichtlinie muss einen Prinzipal angeben.

Verwenden Sie den put-role-policy-Befehl, um die Berechtigungsrichtlinie der Rolle anzufügen.

Weitere Informationen finden Sie im Benutzerhandbuch unter Rollen erstellen. IAM AWS IAM

Beispiel 2: Um eine IAM Rolle mit einer bestimmten maximalen Sitzungsdauer zu erstellen

Mit dem folgenden create-role-Befehl wird eine Rolle mit dem Namen Test-Role erstellt und eine maximale Sitzungsdauer von 7 200 Sekunden (2 Stunden) festgelegt.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Ausgabe:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern der maximalen Sitzungsdauer einer Rolle (AWS API).

Beispiel 3: So erstellen Sie eine IAM Rolle mit Tags

Der folgende Befehl erstellt eine IAM Rolle Test-Role mit Tags. In diesem Beispiel wird der --tags Parameter flag mit den folgenden Tags im JSON -Format verwendet:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Alternativ kann das --tags-Flag mit Tags im Kurzformat 'Key=Department,Value=Accounting Key=Location,Value=Seattle' verwendet werden.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Ausgabe:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Weitere Informationen finden Sie unter IAMRollen taggen im AWS IAM Benutzerhandbuch.

Um einen SAML Anbieter zu erstellen

In diesem Beispiel wird ein neuer SAML Anbieter in IAM named erstelltMySAMLProvider. Es wird durch das SAML Metadatendokument beschrieben, das sich in der Datei befindetSAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Ausgabe:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.

So erstellen Sie eine serviceverknüpfte Rolle

Im folgenden create-service-linked-role Beispiel wird eine dienstbezogene Rolle für den angegebenen AWS Dienst erstellt und die angegebene Beschreibung angehängt.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Ausgabe:

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von dienstbezogenen Rollen.AWS IAM

Erstellen Sie einen Satz dienstspezifischer Anmeldeinformationen für einen Benutzer

Im folgenden create-service-specific-credential Beispiel werden ein Benutzername und ein Passwort erstellt, die nur für den Zugriff auf den konfigurierten Dienst verwendet werden können.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.

Beispiel 1: Um einen IAM Benutzer zu erstellen

Der folgende create-user Befehl erstellt einen IAM Benutzer mit Bob dem Namen des aktuellen Kontos.

aws iam create-user \
    --user-name Bob

Ausgabe:

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Weitere Informationen finden Sie im IAM Benutzerhandbuch unter Einen Benutzer in Ihrem AWS Konto erstellen.AWS IAM

Beispiel 2: Um einen IAM Benutzer in einem bestimmten Pfad zu erstellen

Der folgende create-user Befehl erstellt einen IAM Benutzer mit dem Namen Bob im angegebenen Pfad.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Ausgabe:

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Weitere Informationen finden Sie unter IAMIdentifikatoren im AWS IAMBenutzerhandbuch.

Beispiel 3: So erstellen Sie einen IAM Benutzer mit Tags

Der folgende create-user Befehl erstellt einen IAM Benutzer mit einem Namen Bob mit Tags. In diesem Beispiel wird das --tags Parameter-Flag mit den folgenden Tags im JSON -Format verwendet:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Alternativ kann das --tags-Flag mit Tags im Kurzformat 'Key=Department,Value=Accounting Key=Location,Value=Seattle' verwendet werden.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Ausgabe:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Weitere Informationen finden Sie unter IAMBenutzer taggen im AWS IAM Benutzerhandbuch.

Beispiel 3: So erstellen Sie einen IAM Benutzer mit einer festgelegten Berechtigungsgrenze

Mit dem folgenden create-user Befehl wird ein IAM Benutzer Bob mit der Berechtigungsgrenze von AmazonS3 erstellt. FullAccess

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Ausgabe:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.

Um ein virtuelles MFA Gerät zu erstellen

In diesem Beispiel wird ein neues virtuelles MFA Gerät mit dem Namen erstelltBobsMFADevice. Es erstellt eine Datei, die Bootstrap-Informationen enthält, QRCode.png und platziert sie im C:/ Verzeichnis. Die in diesem Beispiel verwendete Bootstrap-Methode ist. QRCodePNG

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Ausgabe:

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Weitere Informationen finden Sie im AWSAWS IAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).

Um ein MFA Gerät zu deaktivieren

Dieser Befehl deaktiviert das virtuelle MFA Gerät mit dem ARNarn:aws:iam::210987654321:mfa/BobsMFADevice, das dem Benutzer Bob zugeordnet ist.

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWSAWS IAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).

Um eine Meldung über einen Autorisierungsfehler zu dekodieren

Im folgenden decode-authorization-message Beispiel wird die Meldung dekodiert, die von der EC2 Konsole zurückgegeben wird, wenn versucht wird, eine Instance ohne die erforderlichen Berechtigungen zu starten.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

Die Ausgabe ist als einzeilige Textzeichenfolge formatiert, die Sie mit einem beliebigen JSON Textverarbeitungsprogramm analysieren können. JSON

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Weitere Informationen finden Sie unter Wie kann ich eine Meldung mit einem Autorisierungsfehler dekodieren, nachdem ich beim Start einer Instanz einen Fehler "UnauthorizedOperation" erhalten habe? EC2 in AWS re:POST.

Um einen Zugriffsschlüssel für einen IAM Benutzer zu löschen

Der folgende delete-access-key Befehl löscht den angegebenen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den genannten IAM Bob Benutzer.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-access-keys Befehl, um die für einen IAM Benutzer definierten Zugriffsschlüssel aufzulisten.

Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffsschlüsseln für IAM AWS IAM Benutzer.

So löschen Sie einen Konto-Alias

Mit dem folgenden delete-account-alias-Befehl wird der Alias mycompany für das aktuelle Konto entfernt.

aws iam delete-account-alias \
    --account-alias mycompany

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ihre AWS Konto-ID und deren Alias.

Um die Passwortrichtlinie für das aktuelle Konto zu löschen

Mit dem folgenden delete-account-password-policy Befehl wird die Kennwortrichtlinie für das aktuelle Konto entfernt.

aws iam delete-account-password-policy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im Benutzerhandbuch unter Einrichten einer Kontokennwortrichtlinie für IAM AWS IAM Benutzer.

Um eine Richtlinie aus einer IAM Gruppe zu löschen

Mit dem folgenden delete-group-policy-Befehl wird die Richtlinie mit dem Namen ExamplePolicy aus der Gruppe mit dem Namen Admins gelöscht.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-group-policies-Befehl, um die einer Gruppe zugeordneten Richtlinien anzuzeigen.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRichtlinien verwalten.

Um eine IAM Gruppe zu löschen

Der folgende delete-group Befehl löscht eine IAM Gruppe mit dem NamenMyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer AWS IAMBenutzergruppe.

So löschen Sie ein Instance-Profil

Mit dem folgenden delete-instance-profile-Befehl wird das Instance-Profil mit dem Namen ExampleInstanceProfile gelöscht.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von Instanzprofilen.

Um ein Passwort für einen IAM Benutzer zu löschen

Der folgende delete-login-profile Befehl löscht das Passwort für den genannten IAM Bob Benutzer.

aws iam delete-login-profile \
    --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im Benutzerhandbuch unter Passwörter für IAM AWS IAM Benutzer verwalten.

Um einen IAM OpenID Connect-Identitätsanbieter zu löschen

In diesem Beispiel wird der IAM OIDC Anbieter gelöscht, der eine Verbindung zum Anbieter herstellt. example.oidcprovider.com

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.

Um eine Version einer verwalteten Richtlinie zu löschen

In diesem Beispiel wird die als identifizierte Version v2 aus der Richtlinie gelöscht, deren ARN istarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um eine IAM Richtlinie zu löschen

In diesem Beispiel wird die Richtlinie gelöscht, deren ARN istarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um eine Berechtigungsgrenze aus einer IAM Rolle zu löschen

Im folgenden delete-role-permissions-boundary Beispiel wird die Berechtigungsgrenze für die angegebene IAM Rolle gelöscht. Verwenden Sie den put-role-permissions-boundary Befehl, um einer Rolle eine Berechtigungsgrenze zuzuweisen.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um eine Richtlinie aus einer IAM Rolle zu entfernen

Mit dem folgenden delete-role-policy-Befehl wird die Richtlinie mit dem Namen ExamplePolicy aus der Rolle mit dem Namen Test-Role entfernt.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.

Um eine IAM Rolle zu löschen

Mit dem folgenden delete-role-Befehl wird die Rolle mit dem Namen Test-Role entfernt.

aws iam delete-role \
    --role-name Test-Role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Bevor Sie eine Rolle löschen können, müssen Sie die Rolle aus allen Instance-Profilen entfernen (remove-role-from-instance-profile), alle verwalteten Richtlinien entfernen (detach-role-policy) und alle eingebundenen Richtlinien, die der Rolle angefügt sind (delete-role-policy), löschen.

Weitere Informationen finden Sie unter IAMRollen erstellen und Instanzprofile verwenden im AWS IAMBenutzerhandbuch.

Um einen SAML Anbieter zu löschen

In diesem Beispiel wird der IAM SAML 2.0-Anbieter gelöscht, dessen ARN istarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.

Um ein Serverzertifikat aus Ihrem AWS Konto zu löschen

Der folgende delete-server-certificate Befehl entfernt das angegebene Serverzertifikat aus Ihrem AWS Konto.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-server-certificates Befehl, um die in Ihrem AWS Konto verfügbaren Serverzertifikate aufzulisten.

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Verwalten von Serverzertifikaten.

So löschen Sie eine serviceverknüpfte Rolle

Im folgenden delete-service-linked-role-Beispiel wird die angegebene serviceverknüpfte Rolle, die Sie nicht mehr benötigen, gelöscht. Der Löschvorgang erfolgt asynchron. Sie können den Status des Löschvorgangs mithilfe des get-service-linked-role-deletion-status-Befehls überprüfen und bestätigen, wann der Vorgang abgeschlossen ist.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Ausgabe:

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von serviceverknüpften Rollen.

Beispiel 1: Löschen Sie dienstspezifische Anmeldeinformationen für den anfragenden Benutzer

Im folgenden delete-service-specific-credential Beispiel werden die angegebenen dienstspezifischen Anmeldeinformationen für den Benutzer gelöscht, der die Anfrage stellt. Das service-specific-credential-id wird bereitgestellt, wenn Sie die Anmeldeinformationen erstellen, und Sie können sie mithilfe des Befehls abrufen. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Löschen Sie dienstspezifische Anmeldeinformationen für einen bestimmten Benutzer

Im folgenden delete-service-specific-credential Beispiel werden die angegebenen dienstspezifischen Anmeldeinformationen für den angegebenen Benutzer gelöscht. Das service-specific-credential-id wird bereitgestellt, wenn Sie die Anmeldeinformationen erstellen, und Sie können sie mithilfe des Befehls abrufen. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.

Um ein Signaturzertifikat für einen IAM Benutzer zu löschen

Der folgende delete-signing-certificate Befehl löscht das angegebene Signaturzertifikat für den genannten IAM Bob Benutzer.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-signing-certificates Befehl, um die ID für ein Signaturzertifikat abzurufen.

Weitere Informationen finden Sie unter Signaturzertifikate verwalten im EC2Amazon-Benutzerhandbuch.

Um einen SSH öffentlichen Schlüssel zu löschen, der einem IAM Benutzer zugewiesen ist

Der folgende delete-ssh-public-key Befehl löscht den angegebenen SSH öffentlichen Schlüssel, der dem IAM Benutzer sofia zugewiesen ist.

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden von SSH Schlüsseln und SSH mit CodeCommit im AWS IAMBenutzerhandbuch.

Um eine Berechtigungsgrenze für einen IAM Benutzer zu löschen

Im folgenden delete-user-permissions-boundary Beispiel wird die dem genannten IAM intern Benutzer zugeordnete Berechtigungsgrenze gelöscht. Verwenden Sie den put-user-permissions-boundary Befehl, um einem Benutzer eine Berechtigungsgrenze zuzuweisen.

aws iam delete-user-permissions-boundary \
    --user-name intern

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um eine Richtlinie von einem IAM Benutzer zu entfernen

Mit dem folgenden delete-user-policy Befehl wird die angegebene Richtlinie von dem genannten IAM Benutzer entferntBob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-user-policies Befehl, um eine Liste der Richtlinien für einen IAM Benutzer abzurufen.

Weitere Informationen finden Sie im IAM Benutzerhandbuch unter Einen Benutzer in Ihrem AWS Konto erstellen.AWS IAM

Um einen IAM Benutzer zu löschen

Mit dem folgenden delete-user Befehl wird der IAM angegebene Benutzer Bob aus dem aktuellen Konto entfernt.

aws iam delete-user \
    --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen eines AWS IAMBenutzers.

Um ein virtuelles MFA Gerät zu entfernen

Mit dem folgenden delete-virtual-mfa-device Befehl wird das angegebene MFA Gerät aus dem aktuellen Konto entfernt.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Deaktivierung von MFA Geräten.

Um eine Richtlinie von einer Gruppe zu trennen

In diesem Beispiel wird die verwaltete Richtlinie mit dem Namen ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy Testers aus der Gruppe entfernt.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Benutzergruppen verwalten.AWS IAM

So trennen Sie eine Richtlinie von einer Rolle

In diesem Beispiel wird die verwaltete Richtlinie mit dem Namen ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy aus der Rolle entferntFedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.

So trennen Sie eine Richtlinie von einem Benutzer

In diesem Beispiel wird die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/TesterPolicy vom Benutzer entferntBob.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Ändern der Berechtigungen für einen AWS IAMBenutzer.

Um ein MFA Gerät zu aktivieren

Nachdem Sie mit dem create-virtual-mfa-device Befehl ein neues virtuelles MFA Gerät erstellt haben, können Sie das MFA Gerät einem Benutzer zuweisen. Im folgenden enable-mfa-device Beispiel wird dem Benutzer MFA Bob das Gerät mit der Seriennummer arn:aws:iam::210987654321:mfa/BobsMFADevice zugewiesen. Der Befehl synchronisiert auch das Gerät mit, AWS indem die ersten beiden Codes nacheinander aus dem virtuellen MFA Gerät eingefügt werden.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Aktivieren eines Geräts mit virtueller Multifaktor-Authentifizierung (MFA).

So erstellen Sie einen Bericht zu Anmeldeinformationen

Im folgenden Beispiel wird versucht, einen Anmeldeinformationsbericht für das AWS Konto zu generieren.

aws iam generate-credential-report

Ausgabe:

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Berichte über Anmeldeinformationen für Ihr AWS Konto abrufen.

Beispiel 1: Um einen Zugriffsbericht für einen Stamm in einer Organisation zu generieren

Im folgenden generate-organizations-access-report Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für den angegebenen Stamm in einer Organisation zu erstellen. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-organizations-access-report Befehl ausführen.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Ausgabe:

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Beispiel 2: Um einen Zugriffsbericht für ein Konto in einer Organisation zu generieren

Im folgenden generate-organizations-access-report Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für die Konto-ID 123456789012 in der Organisation zu erstelleno-4fxmplt198. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-organizations-access-report Befehl ausführen.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Ausgabe:

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Beispiel 3: Um einen Zugriffsbericht für ein Konto in einer Organisationseinheit in einer Organisation zu generieren

Im folgenden generate-organizations-access-report Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für die Konto-ID 234567890123 in der Organisationseinheit ou-c3xb-lmu7j2yg der Organisation zu erstelleno-4fxmplt198. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-organizations-access-report Befehl ausführen.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Ausgabe:

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Verwenden Sie die organizations list-organizational-units-for-parent Befehle und, um Details zu Stammverzeichnissen organizations list-roots und Organisationseinheiten in Ihrer Organisation abzurufen.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Beispiel 1: Um einen Servicezugriffsbericht für eine benutzerdefinierte Richtlinie zu generieren

Im folgenden generate-service-last-accessed-details Beispiel wird ein Hintergrundjob gestartet, um einen Bericht zu generieren, der die Dienste auflistet, auf die IAM Benutzer und andere Entitäten zugreifen, mit einer benutzerdefinierten Richtlinie namensintern-boundary. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-service-last-accessed-details Befehl ausführen.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Ausgabe:

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Beispiel 2: Um einen Servicezugriffsbericht für die AWS verwaltete AdministratorAccess Richtlinie zu generieren

Im folgenden generate-service-last-accessed-details Beispiel wird ein Hintergrundjob gestartet, um einen Bericht zu generieren, der die Dienste auflistet, auf die IAM Benutzer und andere Entitäten mit der AWS verwalteten AdministratorAccess Richtlinie zugreifen. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-service-last-accessed-details Befehl ausführen.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Ausgabe:

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

So rufen Sie Informationen darüber ab, wann der angegebene Zugriffsschlüssel zuletzt verwendet wurde

Im folgenden Beispiel werden Informationen darüber abgerufen, wann der Zugriffsschlüssel ABCDEXAMPLE zuletzt verwendet wurde.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Ausgabe:

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffsschlüsseln für IAM AWS IAM Benutzer.

Um IAM Benutzer, Gruppen, Rollen und Richtlinien eines AWS Kontos aufzulisten

Der folgende get-account-authorization-details Befehl gibt Informationen zu allen IAM Benutzern, Gruppen, Rollen und Richtlinien im AWS Konto zurück.

aws iam get-account-authorization-details

Ausgabe:

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::example-bucket",
                                    "arn:aws:s3:::example-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Weitere Informationen finden Sie in den Richtlinien für AWS Sicherheitsaudits im AWS IAMBenutzerhandbuch.

So zeigen Sie die Passwortrichtlinie für das aktuelle Konto an

Mit dem folgenden get-account-password-policy-Befehl werden Details zur Passwortrichtlinie für das aktuelle Konto angezeigt.

aws iam get-account-password-policy

Ausgabe:

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Wenn keine Passwortwortrichtlinie für das Konto definiert ist, gibt der Befehl einen NoSuchEntity-Fehler zurück.

Weitere Informationen finden Sie im Benutzerhandbuch unter Einrichten einer Kontokennwortrichtlinie für IAM AWS IAM Benutzer.

Um Informationen über die Nutzung von IAM Entitäten und die IAM Kontingente im aktuellen Konto zu erhalten

Der folgende get-account-summary Befehl gibt Informationen zur aktuellen IAM Entitätsnutzung und zu den aktuellen IAM Entitätskontingenten im Konto zurück.

aws iam get-account-summary

Ausgabe:

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Weitere Informationen zu Entitätsbeschränkungen finden Sie unter IAMund unter AWS STS Kontingente im AWS IAMBenutzerhandbuch.

Beispiel 1: Um die Kontextschlüssel aufzulisten, auf die von einer oder mehreren benutzerdefinierten JSON Richtlinien verwiesen wird, die als Parameter in der Befehlszeile bereitgestellt werden

Der folgende get-context-keys-for-custom-policy Befehl analysiert jede bereitgestellte Richtlinie und listet die von diesen Richtlinien verwendeten Kontextschlüssel auf. Verwenden Sie diesen Befehl, um zu ermitteln, welche Kontextschlüsselwerte Sie angeben müssen, um die Richtliniensimulatorbefehle simulate-custom-policy und simulate-custom-policy erfolgreich verwenden zu können. Mit dem get-context-keys-for-custom-policy Befehl können Sie auch die Liste der Kontextschlüssel abrufen, die von allen Richtlinien verwendet werden, die einem IAM Benutzer oder einer Rolle zugeordnet sind. Parameterwerte, die mit beginnen, file:// weisen den Befehl an, die Datei zu lesen und den Inhalt anstelle des Dateinamens selbst als Wert für den Parameter zu verwenden.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Ausgabe:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Beispiel 2: Um die Kontextschlüssel aufzulisten, auf die in einer oder mehreren benutzerdefinierten JSON Richtlinien verwiesen wird, die als Dateieingabe bereitgestellt werden

Der folgende get-context-keys-for-custom-policy Befehl entspricht dem vorherigen Beispiel, außer dass die Richtlinien in einer Datei und nicht als Parameter bereitgestellt werden. Da der Befehl eine JSON Liste von Zeichenfolgen und keine Liste von JSON Strukturen erwartet, muss die Datei wie folgt strukturiert sein, obwohl Sie sie zu einer einzigen zusammenfassen können.

[
    "Policy1",
    "Policy2"
]

Eine Datei, die die Richtlinie aus dem vorherigen Beispiel enthält, muss also wie folgt aussehen. Sie müssen jedem eingebetteten doppelten Anführungszeichen in der Richtlinienzeichenfolge einen umgekehrten Schrägstrich voranstellen.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Diese Datei kann dann an den folgenden Befehl gesendet werden.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Ausgabe:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Weitere Informationen finden Sie unter Verwenden des IAM Richtliniensimulators (AWS CLIund AWS API) im AWS IAMBenutzerhandbuch.

Um die Kontextschlüssel aufzulisten, auf die von allen Richtlinien verwiesen wird, die einem IAM Prinzipal zugeordnet sind

Mit dem folgenden get-context-keys-for-principal-policy Befehl werden alle Richtlinien abgerufen, die dem Benutzer saanvi und allen Gruppen, denen er angehört, zugeordnet sind. Anschließend analysiert er die einzelnen Richtlinien und listet die von diesen Richtlinien verwendeten Kontextschlüssel auf. Verwenden Sie diesen Befehl, um zu ermitteln, welche Kontextschlüsselwerte Sie angeben müssen, um die simulate-principal-policy Befehle simulate-custom-policy und erfolgreich verwenden zu können. Mit dem get-context-keys-for-custom-policy Befehl können Sie auch die Liste der Kontextschlüssel abrufen, die von einer beliebigen JSON Richtlinie verwendet werden.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Ausgabe:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Weitere Informationen finden Sie unter Verwenden des IAM Richtliniensimulators (AWS CLIund AWS API) im AWS IAMBenutzerhandbuch.

So rufen Sie einen Bericht zu Anmeldeinformationen ab

In diesem Beispiel wird der zurückgegebene Bericht geöffnet und als Array von Textzeilen an die Pipeline ausgegeben.

aws iam get-credential-report

Ausgabe:

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Berichte über Anmeldeinformationen für Ihr AWS Konto abrufen.

Um Informationen über eine Richtlinie abzurufen, die einer IAM Gruppe zugeordnet ist

Mit dem folgenden get-group-policy Befehl werden Informationen über die angegebene Richtlinie abgerufen, die der genannten Gruppe zugeordnet istTest-Group.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Ausgabe:

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRichtlinien verwalten.

Um eine IAM Gruppe zu bekommen

In diesem Beispiel werden Details zur IAM Gruppe zurückgegebenAdmins.

aws iam get-group \
    --group-name Admins

Ausgabe:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Weitere Informationen finden Sie unter IAMIdentitäten (Benutzer, Benutzergruppen und Rollen) im AWS IAMBenutzerhandbuch.

Um Informationen über ein Instanzprofil abzurufen

Der folgende get-instance-profile Befehl ruft Informationen über das angegebene Instanzprofil abExampleInstanceProfile.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Ausgabe:

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von Instanzprofilen.

Um Passwortinformationen für einen IAM Benutzer abzurufen

Der folgende get-login-profile Befehl ruft Informationen über das Passwort für den genannten IAM Benutzer abBob.

aws iam get-login-profile \
    --user-name Bob

Ausgabe:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

Der get-login-profile Befehl kann verwendet werden, um zu überprüfen, ob ein IAM Benutzer ein Passwort hat. Der Befehl gibt einen NoSuchEntity Fehler zurück, wenn kein Passwort für den Benutzer definiert ist.

Mit diesem Befehl können Sie kein Passwort anzeigen. Wenn das Passwort verloren gegangen ist, können Sie das Passwort (update-login-profile) für den Benutzer zurücksetzen. Alternativ können Sie das Anmeldeprofil (delete-login-profile) für den Benutzer löschen und dann ein neues erstellen (create-login-profile).

Weitere Informationen finden Sie im Benutzerhandbuch unter Passwörter für IAM AWS IAM Benutzer verwalten.

Um Informationen über einen FIDO Sicherheitsschlüssel abzurufen

Das folgende get-mfa-device Befehlsbeispiel ruft Informationen über den angegebenen FIDO Sicherheitsschlüssel ab.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Ausgabe:

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Weitere Informationen finden Sie im AWSAWS IAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).

Um Informationen über den angegebenen OpenID Connect-Anbieter zurückzugeben

Dieses Beispiel gibt Details über den OpenID Connect-Anbieter zurück, dessen ARN istarn:aws:iam::123456789012:oidc-provider/server.example.com.

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Ausgabe:

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.

Um einen Zugriffsbericht abzurufen

Im folgenden get-organizations-access-report Beispiel wird ein zuvor generierter Zugriffsbericht für eine AWS Organisationseinheit angezeigt. Verwenden Sie den generate-organizations-access-report Befehl, um einen Bericht zu generieren.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Ausgabe:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

So rufen Sie Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab

In diesem Beispiel wird das Richtliniendokument für die Version 2 der Richtlinie zurückgegeben, deren ARN istarn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Ausgabe:

{
    "PolicyVersion": {
        "Document": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

So rufen Sie Informationen über die angegebene verwaltete Richtlinie ab

In diesem Beispiel werden Details zu der verwalteten Richtlinie zurückgegeben, deren ARN istarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Ausgabe:

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um Informationen über eine Richtlinie abzurufen, die einer IAM Rolle zugeordnet ist

Der folgende get-role-policy Befehl ruft Informationen über die angegebene Richtlinie ab, die der genannten Rolle zugeordnet istTest-Role.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Ausgabe:

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.

Um Informationen über eine IAM Rolle zu erhalten

Mit dem folgenden get-role-Befehl werden Informationen über die Rolle mit dem Namen Test-Role abgerufen.

aws iam get-role \
    --role-name Test-Role

Ausgabe:

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

Der Befehl zeigt die Vertrauensrichtlinie an, die der Rolle zugeordnet ist. Verwenden Sie den list-role-policies-Befehl, um die einer Rolle zugeordneten Berechtigungsrichtlinien aufzulisten.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.

Um das SAML Provider-Metadokument abzurufen

In diesem Beispiel werden die Details über den SAML 2.0-Anbieter abgerufen, dessen ist. ARM arn:aws:iam::123456789012:saml-provider/SAMLADFS Die Antwort enthält das Metadatendokument, das Sie vom Identitätsanbieter zur Erstellung der AWS SAML Anbieterentität erhalten haben, sowie die Erstellungs- und Ablaufdaten.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Ausgabe:

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.

Um Details zu einem Serverzertifikat in Ihrem AWS Konto abzurufen

Mit dem folgenden get-server-certificate Befehl werden alle Details zum angegebenen Serverzertifikat in Ihrem AWS Konto abgerufen.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Ausgabe:

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Verwenden Sie den list-server-certificates Befehl, um die in Ihrem AWS Konto verfügbaren Serverzertifikate aufzulisten.

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Verwalten von Serverzertifikaten.

Um einen Servicezugriffsbericht mit Details für einen Dienst abzurufen

Im folgenden get-service-last-accessed-details-with-entities Beispiel wird ein Bericht abgerufen, der Details zu IAM Benutzern und anderen Entitäten enthält, die auf den angegebenen Dienst zugegriffen haben. Verwenden Sie den generate-service-last-accessed-details Befehl, um einen Bericht zu generieren. Um eine Liste der Dienste abzurufen, auf die über Namespaces zugegriffen wird, verwenden Sie. get-service-last-accessed-details

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Ausgabe:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Weitere Informationen finden Sie im Benutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.AWS IAM

Um einen Servicezugriffsbericht abzurufen

Im folgenden get-service-last-accessed-details Beispiel wird ein zuvor generierter Bericht abgerufen, der die Dienste auflistet, auf die IAM Entitäten zugreifen. Verwenden Sie den generate-service-last-accessed-details Befehl, um einen Bericht zu generieren.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Ausgabe:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

So überprüfen Sie den Status einer Anfrage zum Löschen einer serviceverknüpften Rolle

Im folgenden get-service-linked-role-deletion-status-Beispiel wird der Status einer früheren Anfrage zum Löschen einer serviceverknüpften Rolle angezeigt. Der Löschvorgang erfolgt asynchron. Wenn Sie die Anfrage stellen, erhalten Sie einen DeletionTaskId-Wert, den Sie als Parameter für diesen Befehl angeben.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Ausgabe:

{
"Status": "SUCCEEDED"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von serviceverknüpften Rollen.

Beispiel 1: Um einen SSH öffentlichen Schlüssel abzurufen, der an einen IAM Benutzer in SSH codierter Form angehängt ist

Der folgende get-ssh-public-key Befehl ruft den angegebenen SSH öffentlichen Schlüssel vom IAM Benutzer ab. sofia Die Ausgabe erfolgt in SSH Kodierung.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Ausgabe:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Beispiel 2: Um einen SSH öffentlichen Schlüssel abzurufen, der an einen IAM Benutzer in PEM codierter Form angehängt ist

Der folgende get-ssh-public-key Befehl ruft den angegebenen SSH öffentlichen Schlüssel vom IAM Benutzer ab. sofia Die Ausgabe erfolgt in PEM Kodierung.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Ausgabe:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Weitere Informationen finden Sie unter SSHTasten und SSH mit verwenden CodeCommit im AWS IAMBenutzerhandbuch.

Um Richtliniendetails für einen IAM Benutzer aufzulisten

Der folgende get-user-policy Befehl listet die Details der angegebenen Richtlinie auf, die dem genannten IAM Benutzer zugeordnet istBob.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Ausgabe:

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Verwenden Sie den list-user-policies Befehl, um eine Liste der Richtlinien für einen IAM Benutzer abzurufen.

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um Informationen über einen IAM Benutzer zu erhalten

Mit dem folgenden get-user Befehl werden Informationen über den genannten IAM Benutzer abgerufenPaulo.

aws iam get-user \
    --user-name Paulo

Ausgabe:

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Benutzer verwalten.

Um den Zugriffsschlüssel IDs für einen IAM Benutzer aufzulisten

Der folgende list-access-keys Befehl listet die Zugriffsschlüssel IDs für den genannten IAM Benutzer aufBob.

aws iam list-access-keys \
    --user-name Bob

Ausgabe:

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

Sie können die geheimen Zugriffsschlüssel für IAM Benutzer nicht auflisten. Bei Verlust der geheimen Zugangsschlüssel müssen Sie mit dem create-access-keys-Befehl neue Zugangsschlüssel erstellen.

Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffsschlüsseln für IAM AWS IAM Benutzer.

So listen Sie Konto-Aliase auf

Der folgende list-account-aliases-Befehl listet die Aliase für das aktuelle Konto auf.

aws iam list-account-aliases

Ausgabe:

{
    "AccountAliases": [
    "mycompany"
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ihre AWS Konto-ID und deren Alias.

Um alle verwalteten Richtlinien aufzulisten, die der angegebenen Gruppe zugeordnet sind

In diesem Beispiel werden die Namen und die Namen ARNs der verwalteten Richtlinien zurückgegeben, die der Admins im AWS Konto genannten IAM Gruppe zugeordnet sind.

aws iam list-attached-group-policies \
    --group-name Admins

Ausgabe:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

So listen Sie alle verwalteten Richtlinien auf, die der angegebenen Rolle angefügt sind

Dieser Befehl gibt die Namen und die Namen ARNs der verwalteten Richtlinien zurück, die der SecurityAuditRole im AWS Konto genannten IAM Rolle zugeordnet sind.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Ausgabe:

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um alle verwalteten Richtlinien aufzulisten, die dem angegebenen Benutzer zugeordnet sind

Dieser Befehl gibt die Namen und ARNs die verwalteten Richtlinien für den Bob im AWS Konto genannten IAM Benutzer zurück.

aws iam list-attached-user-policies \
    --user-name Bob

Ausgabe:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um alle Benutzer, Gruppen und Rollen aufzulisten, denen die angegebene verwaltete Richtlinie zugeordnet ist

In diesem Beispiel wird eine Liste von IAM Gruppen, Rollen und Benutzern zurückgegeben, denen die Richtlinie arn:aws:iam::123456789012:policy/TestPolicy angehängt ist.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Ausgabe:

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um alle Inline-Richtlinien aufzulisten, die der angegebenen Gruppe zugeordnet sind

Der folgende list-group-policies Befehl listet die Namen der Inline-Richtlinien auf, die der Admins im aktuellen Konto genannten IAM Gruppe zugeordnet sind.

aws iam list-group-policies \
    --group-name Admins

Ausgabe:

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRichtlinien verwalten.

Um die Gruppen aufzulisten, zu denen ein IAM Benutzer gehört

Der folgende list-groups-for-user Befehl zeigt die Gruppen an, zu denen der angegebene IAM Benutzer Bob gehört.

aws iam list-groups-for-user \
    --user-name Bob

Ausgabe:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Benutzergruppen verwalten.AWS IAM

Um die IAM Gruppen für das Girokonto aufzulisten

Der folgende list-groups Befehl listet die IAM Gruppen im aktuellen Konto auf.

aws iam list-groups

Ausgabe:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Benutzergruppen verwalten.AWS IAM

Um die einem Instanzprofil angehängten Tags aufzulisten

Mit dem folgenden list-instance-profile-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen Instanzprofil zugeordnet sind.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um die Instanzprofile für eine IAM Rolle aufzulisten

Der folgende list-instance-profiles-for-role Befehl listet die Instanzprofile auf, die der Rolle zugeordnet sindTest-Role.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Ausgabe:

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von Instanzprofilen im AWS IAMBenutzerhandbuch.

Um die Instanzprofile für das Konto aufzulisten

Der folgende list-instance-profiles Befehl listet die Instanzprofile auf, die dem aktuellen Konto zugeordnet sind.

aws iam list-instance-profiles

Ausgabe:

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von Instanzprofilen.

Um die an ein MFA Gerät angeschlossenen Tags aufzulisten

Mit dem folgenden list-mfa-device-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen MFA Gerät zugeordnet sind.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen kennzeichnen.

Um alle MFA Geräte für einen bestimmten Benutzer aufzulisten

In diesem Beispiel werden Details zu dem dem IAM Benutzer zugewiesenen MFA Gerät zurückgegebenBob.

aws iam list-mfa-devices \
    --user-name Bob

Ausgabe:

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Weitere Informationen finden Sie im AWSAWS IAMBenutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).

Um die Tags aufzulisten, die an einen OpenID Connect (OIDC) -kompatiblen Identitätsanbieter angehängt sind

Der folgende list-open-id-connect-provider-tags Befehl ruft die Liste der Tags ab, die dem angegebenen OIDC Identitätsanbieter zugeordnet sind.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen mit Tags versehen.

Um Informationen über die OpenID Connect-Anbieter im AWS Konto aufzulisten

Dieses Beispiel gibt eine Liste ARNS aller OpenID Connect-Anbieter zurück, die im aktuellen AWS Konto definiert sind.

aws iam list-open-id-connect-providers

Ausgabe:

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.

Um die Richtlinien aufzulisten, die einem Prinzipalzugriff auf den angegebenen Dienst gewähren

Im folgenden list-policies-granting-service-access Beispiel wird die Liste der Richtlinien abgerufen, die dem IAM Benutzer sofia Zugriff auf den AWS CodeCommit Dienst gewähren.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Ausgabe:

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden IAM mit CodeCommit: Git-Anmeldeinformationen, SSH Schlüsseln und AWS Zugriffsschlüsseln.AWS IAM

Um verwaltete Richtlinien aufzulisten, die für Ihr AWS Konto verfügbar sind

In diesem Beispiel wird eine Sammlung der ersten beiden verwalteten Richtlinien zurückgegeben, die im aktuellen AWS Konto verfügbar sind.

aws iam list-policies \
    --max-items 3

Ausgabe:

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um die mit einer verwalteten Richtlinie verknüpften Tags aufzulisten

Mit dem folgenden list-policy-tags Befehl wird die Liste der Tags abgerufen, die der angegebenen verwalteten Richtlinie zugeordnet sind.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen kennzeichnen.

Um Informationen zu den Versionen der angegebenen verwalteten Richtlinie aufzulisten

In diesem Beispiel wird die Liste der verfügbaren Versionen der Richtlinie zurückgegeben, deren ARN istarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Ausgabe:

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um die einer IAM Rolle zugewiesenen Richtlinien aufzulisten

Der folgende list-role-policies Befehl listet die Namen der Berechtigungsrichtlinien für die angegebene IAM Rolle auf.

aws iam list-role-policies \
    --role-name Test-Role

Ausgabe:

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Verwenden Sie den get-role-Befehl, um die einer Rolle angefügten Vertrauensrichtlinie anzuzeigen. Verwenden Sie den get-role-policy-Befehl, um die Details einer Berechtigungsrichtlinie anzuzeigen.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.

Um die einer Rolle zugewiesenen Tags aufzulisten

Mit dem folgenden list-role-tags Befehl wird die Liste der Tags abgerufen, die der angegebenen Rolle zugeordnet sind.

aws iam list-role-tags \
    --role-name production-role

Ausgabe:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen mit Tags versehen.

Um IAM Rollen für das aktuelle Konto aufzulisten

Der folgende list-roles Befehl listet die IAM Rollen für das aktuelle Konto auf.

aws iam list-roles

Ausgabe:

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.

Um die an einen SAML Anbieter angehängten Tags aufzulisten

Mit dem folgenden list-saml-provider-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen SAML Anbieter zugeordnet sind.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen mit Tags versehen.

Um die SAML Anbieter im AWS Konto aufzulisten

In diesem Beispiel wird die Liste der SAML 2.0-Anbieter abgerufen, die im AWS Girokonto erstellt wurde.

aws iam list-saml-providers

Ausgabe:

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.

Um die an ein Serverzertifikat angehängten Tags aufzulisten

Mit dem folgenden list-server-certificate-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen Serverzertifikat zugeordnet sind.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen kennzeichnen.

Um die Serverzertifikate in Ihrem AWS Konto aufzulisten

Der folgende list-server-certificates Befehl listet alle Serverzertifikate auf, die in Ihrem AWS Konto gespeichert sind und zur Verwendung verfügbar sind.

aws iam list-server-certificates

Ausgabe:

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Verwalten von Serverzertifikaten.

Beispiel 1: Listet die dienstspezifischen Anmeldeinformationen für einen Benutzer auf

Im folgenden list-service-specific-credentials Beispiel werden alle dienstspezifischen Anmeldeinformationen angezeigt, die dem angegebenen Benutzer zugewiesen wurden. Passwörter sind nicht in der Antwort enthalten.

aws iam list-service-specific-credentials \
    --user-name sofia

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Beispiel 2: Listet die dienstspezifischen Anmeldeinformationen für einen Benutzer auf, der nach einem bestimmten Dienst gefiltert wurde

Im folgenden list-service-specific-credentials Beispiel werden die dienstspezifischen Anmeldeinformationen angezeigt, die dem Benutzer zugewiesen wurden, der die Anfrage stellt. Die Liste wird so gefiltert, dass sie nur die Anmeldeinformationen für den angegebenen Dienst enthält. Passwörter sind nicht in der Antwort enthalten.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.

Um eine Liste mit Anmeldeinformationen abzurufen

Das folgende list-service-specific-credentials Beispiel listet die Anmeldeinformationen auf, die für den HTTPS Zugriff auf AWS CodeCommit Repositorys für einen Benutzer mit dem Namen developer generiert wurden.

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Ausgabe:

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.

Um die Signaturzertifikate für einen IAM Benutzer aufzulisten

Der folgende list-signing-certificates Befehl listet die Signaturzertifikate für den genannten IAM Benutzer aufBob.

aws iam list-signing-certificates \
    --user-name Bob

Ausgabe:

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Weitere Informationen finden Sie unter Signaturzertifikate verwalten im EC2Amazon-Benutzerhandbuch.

Um die SSH öffentlichen Schlüssel aufzulisten, die einem IAM Benutzer zugewiesen sind

Das folgende list-ssh-public-keys Beispiel listet die SSH öffentlichen Schlüssel auf, die dem IAM Benutzer zugewiesen sindsofia.

aws iam list-ssh-public-keys \
    --user-name sofia

Ausgabe:

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von SSH Schlüsseln und SSH mit CodeCommit im AWS IAMBenutzerhandbuch

Um Richtlinien für einen IAM Benutzer aufzulisten

Der folgende list-user-policies Befehl listet die Richtlinien auf, die dem genannten IAM Benutzer zugeordnet sindBob.

aws iam list-user-policies \
    --user-name Bob

Ausgabe:

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Weitere Informationen finden Sie im IAM Benutzerhandbuch unter Einen Benutzer in Ihrem AWS Konto erstellen.AWS IAM

Um die einem Benutzer zugewiesenen Tags aufzulisten

Mit dem folgenden list-user-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen IAM Benutzer zugeordnet sind.

aws iam list-user-tags \
    --user-name alice

Ausgabe:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen mit Tags versehen.

Um IAM Benutzer aufzulisten

Der folgende list-users Befehl listet die IAM Benutzer im aktuellen Konto auf.

aws iam list-users

Ausgabe:

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Weitere Informationen finden Sie im Benutzerhandbuch unter IAM AWS IAM Benutzer auflisten.

Um virtuelle MFA Geräte aufzulisten

Der folgende list-virtual-mfa-devices Befehl listet die virtuellen MFA Geräte auf, die für das aktuelle Konto konfiguriert wurden.

aws iam list-virtual-mfa-devices

Ausgabe:

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Aktivieren eines Geräts mit virtueller Multifaktor-Authentifizierung (MFA).

So fügen Sie eine Richtlinie zu einer Gruppe hinzu

Mit dem folgenden put-group-policy Befehl wird der IAM Gruppe mit dem Namen eine Richtlinie hinzugefügtAdmins.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRichtlinien verwalten.

Beispiel 1: Um eine auf einer benutzerdefinierten Richtlinie basierende Berechtigungsgrenze auf eine IAM Rolle anzuwenden

Im folgenden put-role-permissions-boundary Beispiel wird die benutzerdefinierte Richtlinie angewendet, die intern-boundary als Berechtigungsgrenze für die angegebene IAM Rolle bezeichnet wird.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Um eine auf einer AWS verwalteten Richtlinie basierende Berechtigungsgrenze auf eine IAM Rolle anzuwenden

Im folgenden put-role-permissions-boundary Beispiel AWS wird die verwaltete PowerUserAccess Richtlinie als Berechtigungsgrenze für die angegebene IAM Rolle angewendet.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.

Um einer IAM Rolle eine Berechtigungsrichtlinie zuzuweisen

Der folgende put-role-policy-Befehl fügt der Rolle mit dem Namen Test-Role eine Berechtigungsrichtlinie hinzu.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Verwenden Sie den update-assume-role-policy-Befehl, um einer Rolle eine Vertrauensrichtlinie anzufügen.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS IAMBenutzerhandbuch.

Beispiel 1: Um einem IAM Benutzer eine auf einer benutzerdefinierten Richtlinie basierende Berechtigungsgrenze zuzuweisen

Im folgenden put-user-permissions-boundary Beispiel wird eine benutzerdefinierte Richtlinie angewendet, die intern-boundary als Berechtigungsgrenze für den angegebenen IAM Benutzer bezeichnet wird.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Um eine auf einer AWS verwalteten Richtlinie basierende Berechtigungsgrenze auf einen IAM Benutzer anzuwenden

Im folgenden put-user-permissions-boundary Beispiel AWS wird die verwaltete Richtlinie, die PowerUserAccess als Berechtigungsgrenze bezeichnet wird, für den angegebenen IAM Benutzer angewendet.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.

Um eine Richtlinie an einen IAM Benutzer anzuhängen

Mit dem folgenden put-user-policy Befehl wird dem IAM Benutzer mit dem Namen Bob eine Richtlinie zugewiesen.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.

Um die angegebene Client-ID aus der Liste der Clients zu entfernen, die für den angegebenen IAM OpenID Connect-Anbieter IDs registriert sind

In diesem Beispiel wird die Client-ID My-TestApp-3 aus der Liste der Clients entfernt, die dem IAM OIDC Anbieter IDs zugeordnet sind, dessen ARN istarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.

Um eine Rolle aus einem Instanzprofil zu entfernen

Der folgende remove-role-from-instance-profile Befehl entfernt die benannte Rolle Test-Role aus dem genannten InstanzprofilExampleInstanceProfile.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwenden von Instanzprofilen.

Um einen Benutzer aus einer IAM Gruppe zu entfernen

Mit dem folgenden remove-user-from-group Befehl wird der angegebene Benutzer Bob aus der genannten IAM Gruppe entferntAdmins.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im Benutzerhandbuch unter Hinzufügen und Entfernen von Benutzern in einer IAM AWS IAM Benutzergruppe.

Beispiel 1: Setzen Sie das Passwort für dienstspezifische Anmeldeinformationen zurück, die an den Benutzer angehängt wurden, der die Anfrage gestellt hat

Im folgenden reset-service-specific-credential Beispiel wird ein neues kryptografisch sicheres Passwort für die angegebenen dienstspezifischen Anmeldeinformationen generiert, die dem Benutzer zugeordnet sind, der die Anfrage stellt.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Beispiel 2: Setzt das Passwort für dienstspezifische Anmeldeinformationen zurück, die einem bestimmten Benutzer zugewiesen sind

Im folgenden reset-service-specific-credential Beispiel wird ein neues kryptografisch sicheres Passwort für dienstspezifische Anmeldeinformationen generiert, die dem angegebenen Benutzer zugewiesen sind.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu.

Um ein MFA Gerät zu synchronisieren

Im folgenden resync-mfa-device Beispiel wird das MFA Gerät synchronisiert, das dem IAM Benutzer zugeordnet ist Bob und dessen Gerät arn:aws:iam::123456789012:mfa/BobsMFADevice mit einem Authentifizierungsprogramm betrieben ARN wird, das die beiden Authentifizierungscodes bereitgestellt hat.

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS Benutzerhandbuch unter Verwenden der Multi-Faktor-Authentifizierung (MFA).AWS IAM

Um die angegebene Version der angegebenen Richtlinie als Standardversion der Richtlinie festzulegen.

In diesem Beispiel wird die v2 Version der Richtlinie festgelegt, bei der ARN es arn:aws:iam::123456789012:policy/MyPolicy sich um die aktive Standardversion handelt.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Richtlinien und Berechtigungen.

Um die globale Endpunkt-Token-Version festzulegen

Im folgenden set-security-token-service-preferences Beispiel wird Amazon so konfiguriertSTS, dass bei der Authentifizierung am globalen Endpunkt Tokens der Version 2 verwendet werden.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Verwaltung AWS STS in einer AWS Region.

Beispiel 1: Um die Auswirkungen aller IAM Richtlinien zu simulieren, die einem IAM Benutzer oder einer Rolle zugeordnet sind

Im Folgenden simulate-custom-policy wird gezeigt, wie Sie sowohl die Richtlinie angeben als auch Variablenwerte definieren und einen API Aufruf simulieren, um festzustellen, ob er zulässig oder verweigert ist. Das folgende Beispiel zeigt eine Richtlinie, die den Datenbankzugriff erst nach einem bestimmten Datum und einer bestimmten Uhrzeit ermöglicht. Die Simulation ist erfolgreich, weil die simulierten Aktionen und die angegebene aws:CurrentTime Variable alle den Anforderungen der Richtlinie entsprechen.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Beispiel 2: Um einen Befehl zu simulieren, der durch die Richtlinie verboten ist

Das folgende simulate-custom-policy Beispiel zeigt die Ergebnisse der Simulation eines Befehls, der durch die Richtlinie verboten ist. In diesem Beispiel liegt das angegebene Datum vor dem Datum, das gemäß der Richtlinienbedingung erforderlich ist.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Testen von IAM IAM Richtlinien mit dem Richtliniensimulator.

Beispiel 1: Um die Auswirkungen einer willkürlichen IAM Richtlinie zu simulieren

Im Folgenden simulate-principal-policy wird gezeigt, wie ein Benutzer simuliert, der eine API Aktion aufruft und ermittelt, ob die diesem Benutzer zugewiesenen Richtlinien die Aktion zulassen oder verweigern. Im folgenden Beispiel verfügt der Benutzer über eine Richtlinie, die nur die codecommit:ListRepositories Aktion zulässt.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Beispiel 2: Um die Auswirkungen eines verbotenen Befehls zu simulieren

Das folgende simulate-custom-policy Beispiel zeigt die Ergebnisse der Simulation eines Befehls, der durch eine der Benutzerrichtlinien verboten ist. Im folgenden Beispiel verfügt der Benutzer über eine Richtlinie, die den Zugriff auf eine DynamoDB-Datenbank erst nach einem bestimmten Datum und einer bestimmten Uhrzeit erlaubt. Bei der Simulation versucht der Benutzer, mit einem aws:CurrentTime Wert auf die Datenbank zuzugreifen, der vor der Bedingung der Richtlinie liegt.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Testen von IAM IAM Richtlinien mit dem Richtliniensimulator.

Um einem Instanzprofil ein Tag hinzuzufügen

Der folgende tag-instance-profile Befehl fügt dem angegebenen Instanzprofil ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um einem MFA Gerät ein Tag hinzuzufügen

Mit dem folgenden tag-mfa-device Befehl wird dem angegebenen MFA Gerät ein Tag mit einem Abteilungsnamen hinzugefügt.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen kennzeichnen.

Um einem OpenID Connect (OIDC) -kompatiblen Identitätsanbieter ein Tag hinzuzufügen

Der folgende tag-open-id-connect-provider Befehl fügt dem angegebenen OIDC Identitätsanbieter ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen kennzeichnen.

Um einer vom Kunden verwalteten Richtlinie ein Tag hinzuzufügen

Mit dem folgenden tag-policy Befehl wird der angegebenen, vom Kunden verwalteten Richtlinie ein Tag mit einem Abteilungsnamen hinzugefügt.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen kennzeichnen.

Um einer Rolle ein Tag hinzuzufügen

Der folgende tag-role Befehl fügt der angegebenen Rolle ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.

Um einem SAML Anbieter ein Tag hinzuzufügen

Mit dem folgenden tag-saml-provider Befehl wird dem angegebenen SAML Anbieter ein Tag mit einem Abteilungsnamen hinzugefügt.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.

Um einem Serverzertifikat ein Tag hinzuzufügen

Der folgende tag-saml-provider Befehl fügt dem angegebenen Serverzertifikat ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen kennzeichnen.

Um einem Benutzer ein Tag hinzuzufügen

Mit dem folgenden tag-user Befehl wird dem angegebenen Benutzer ein Tag mit der zugehörigen Abteilung hinzugefügt.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um ein Tag aus einem Instanzprofil zu entfernen

Mit dem folgenden untag-instance-profile Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Instanzprofil entfernt.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um ein Tag von einem MFA Gerät zu entfernen

Mit dem folgenden untag-mfa-device Befehl werden alle Tags mit dem Schlüsselnamen „Abteilung“ vom angegebenen MFA Gerät entfernt.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um ein Tag von einem OIDC Identitätsanbieter zu entfernen

Mit dem folgenden untag-open-id-connect-provider Befehl werden alle Tags mit dem Schlüsselnamen „Abteilung“ aus dem angegebenen OIDC Identitätsanbieter entfernt.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um ein Tag aus einer vom Kunden verwalteten Richtlinie zu entfernen

Mit dem folgenden untag-policy Befehl werden alle Tags mit dem Schlüsselnamen „Abteilung“ aus der angegebenen, vom Kunden verwalteten Richtlinie entfernt.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAM Ressourcen mit Tags versehen.

Um ein Tag aus einer Rolle zu entfernen

Mit dem folgenden untag-role Befehl werden alle Tags mit dem Schlüsselnamen „Abteilung“ aus der angegebenen Rolle entfernt.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um ein Tag von einem SAML Anbieter zu entfernen

Mit dem folgenden untag-saml-provider Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Instanzprofil entfernt.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um ein Tag aus einem Serverzertifikat zu entfernen

Mit dem folgenden untag-server-certificate Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Serverzertifikat entfernt.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um ein Tag von einem Benutzer zu entfernen

Mit dem folgenden untag-user Befehl werden alle Tags mit dem Schlüsselnamen „Department“ vom angegebenen Benutzer entfernt.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRessourcen taggen.

Um einen Zugriffsschlüssel für einen IAM Benutzer zu aktivieren oder zu deaktivieren

Der folgende update-access-key Befehl deaktiviert den angegebenen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den genannten IAM Bob Benutzer.

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Deaktivierung des Schlüssels bedeutet, dass er nicht für den programmatischen Zugriff auf verwendet werden kann. AWS Der Schlüssel ist jedoch weiterhin verfügbar und kann erneut aktiviert werden.

Weitere Informationen finden Sie im Benutzerhandbuch unter Verwaltung von Zugriffstasten für IAM AWS IAMBenutzer.

Um die Passwortrichtlinie für das aktuelle Konto festzulegen oder zu ändern

Mit dem folgenden update-account-password-policy Befehl wird für die Kennwortrichtlinie eine Mindestlänge von acht Zeichen und eine oder mehrere Zahlen im Kennwort festgelegt.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Änderungen an der Kennwortrichtlinie eines Kontos wirken sich auf alle neuen Passwörter aus, die für IAM Benutzer des Kontos erstellt werden. Änderungen der Passwortrichtlinie wirken sich nicht auf bestehende Passwörter aus.

Weitere Informationen finden Sie im Benutzerhandbuch unter Einrichten einer Kontokennwortrichtlinie für IAM AWS IAM Benutzer.

Um die Vertrauensrichtlinie für eine IAM Rolle zu aktualisieren

Der folgende update-assume-role-policy Befehl aktualisiert die Vertrauensrichtlinie für die angegebene RolleTest-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Vertrauensrichtlinie ist als JSON Dokument in der Datei Test-role-trust-policy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.) Die Vertrauensrichtlinie muss einen Prinzipal angeben.

Verwenden Sie den Befehl, um die Berechtigungsrichtlinie für eine Rolle zu aktualisieren. put-role-policy

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter IAMRollen erstellen.

Um eine IAM Gruppe umzubenennen

Mit dem folgenden update-group Befehl wird der Name der IAM Gruppe Test in geändertTest-1.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Umbenennen einer AWS IAMBenutzergruppe.

Um das Passwort für einen IAM Benutzer zu aktualisieren

Der folgende update-login-profile Befehl erstellt ein neues Passwort für den IAM Benutzer mit dem NamenBob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den update-account-password-policy Befehl, um eine Kennwortrichtlinie für das Konto festzulegen. Wenn das neue Passwort gegen die Passwortrichtlinie für das Konto verstößt, gibt der Befehl einen PasswordPolicyViolation Fehler zurück.

Wenn die Kontokennwortrichtlinie dies zulässt, können IAM Benutzer ihre eigenen Passwörter mithilfe des change-password Befehls ändern.

Bewahren Sie das Passwort an einem sicheren Ort auf. Wenn das Passwort verloren geht, kann es nicht wiederhergestellt werden, und Sie müssen mit dem create-login-profile Befehl ein neues erstellen.

Weitere Informationen finden Sie im Benutzerhandbuch unter Passwörter für IAM AWS IAM Benutzer verwalten.

Um die bestehende Liste der Fingerabdrücke von Serverzertifikaten durch eine neue Liste zu ersetzen

In diesem Beispiel wird die Liste der Fingerabdrücke für Zertifikate für den OIDC Anbieter aktualisiert, der einen neuen Fingerabdruck verwenden ARN arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com soll.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC) -Identitätsanbietern im AWS IAMBenutzerhandbuch.

Um die Beschreibung einer IAM Rolle zu ändern

Mit dem folgenden update-role Befehl wird die Beschreibung der IAM Rolle production-role in geändertMain production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Ausgabe:

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.

Um die Beschreibung einer IAM Rolle oder die Sitzungsdauer zu ändern

Mit dem folgenden update-role Befehl wird die Beschreibung der IAM Rolle production-role auf 12 Stunden geändert Main production role und die maximale Sitzungsdauer wird auf 12 Stunden festgelegt.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ändern einer Rolle.

Um das Metadatendokument für einen vorhandenen SAML Anbieter zu aktualisieren

In diesem Beispiel wird der SAML AnbieterIAM, in dessen Verzeichnis ARN sich befindet, arn:aws:iam::123456789012:saml-provider/SAMLADFS mit einem neuen SAML Metadatendokument aus der Datei aktualisiertSAMLMetaData.xml.

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Ausgabe:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Creating IAM SAML Identity Providers.

Um den Pfad oder Namen eines Serverzertifikats in Ihrem AWS Konto zu ändern

Mit dem folgenden update-server-certificate-Befehl wird der Name des Zertifikats von myServerCertificate in myUpdatedServerCertificate geändert. Außerdem wird der Pfad geändert, /cloudfront/ sodass der CloudFront Amazon-Service darauf zugreifen kann. Mit diesem Befehl wird keine Ausgabe zurückgegeben. Sie können die Ergebnisse der Aktualisierung anzeigen, indem Sie den list-server-certificates-Befehl ausführen.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie IAMim AWS IAMBenutzerhandbuch unter Serverzertifikate verwalten.

Beispiel 1: Um den Status der dienstspezifischen Anmeldeinformationen des anfragenden Benutzers zu aktualisieren

Im folgenden update-service-specific-credential Beispiel wird der Status der angegebenen Anmeldeinformationen für den Benutzer geändert, an den die Anfrage gestellt wird. Inactive

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Um den Status der dienstspezifischen Anmeldeinformationen eines angegebenen Benutzers zu aktualisieren

Im folgenden update-service-specific-credential Beispiel wird der Status der Anmeldeinformationen des angegebenen Benutzers in Inaktiv geändert.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von Git-Anmeldeinformationen für HTTPS Verbindungen zu CodeCommit im AWS CodeCommit Benutzerhandbuch.

Um ein Signaturzertifikat für einen IAM Benutzer zu aktivieren oder zu deaktivieren

Der folgende update-signing-certificate Befehl deaktiviert das angegebene Signaturzertifikat für den genannten IAM Bob Benutzer.

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Verwenden Sie den list-signing-certificates Befehl, um die ID für ein Signaturzertifikat abzurufen.

Weitere Informationen finden Sie unter Signaturzertifikate verwalten im EC2Amazon-Benutzerhandbuch.

Um den Status eines SSH öffentlichen Schlüssels zu ändern

Der folgende update-ssh-public-key Befehl ändert den Status des angegebenen öffentlichen Schlüssels inInactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter SSHSchlüssel verwenden und SSH mit CodeCommit im AWS IAMBenutzerhandbuch.

Um den Namen eines IAM Benutzers zu ändern

Mit dem folgenden update-user Befehl wird der Name des IAM Benutzers Bob in geändertRobert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Umbenennen einer AWS IAMBenutzergruppe.

Um ein Serverzertifikat auf Ihr AWS Konto hochzuladen

Mit dem folgenden upload-server-certificateBefehl wird ein Serverzertifikat auf Ihr AWS Konto hochgeladen. In diesem Beispiel befindet sich das Zertifikat in der Datei public_key_cert_file.pem, der zugehörige private Schlüssel in der Datei my_private_key.pem und die von der Zertifizierungsstelle (CA) bereitgestellte Zertifikatskette befindet sich in der my_certificate_chain_file.pem-Datei. Wenn der Upload der Datei abgeschlossen ist, ist sie unter dem Namen verfügbar. myServerCertificate Parameter, die mit file:// beginnen, weisen den Befehl an, den Inhalt der Datei zu lesen und diesen als Parameterwert anstelle des Dateinamens selbst zu verwenden.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Ausgabe:

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Weitere Informationen finden Sie im Nutzerhandbuch unter Serverzertifikate erstellen, hochladen und löschen. IAM

Um ein Signaturzertifikat für einen IAM Benutzer hochzuladen

Mit dem folgenden upload-signing-certificate Befehl wird ein Signaturzertifikat für den genannten IAM Bob Benutzer hochgeladen.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Ausgabe:

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

Das Zertifikat befindet sich in einer Datei mit dem Namen certificate.pem im Format. PEM

Weitere Informationen finden Sie im Nutzerhandbuch unter Benutzersignaturzertifikate erstellen und hochladen. IAM

Um einen SSH öffentlichen Schlüssel hochzuladen und ihn einem Benutzer zuzuordnen

Mit dem folgenden upload-ssh-public-key Befehl wird der in der Datei gefundene öffentliche Schlüssel hochgeladen sshkey.pub und an den Benutzer angehängt. sofia

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Ausgabe:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Weitere Informationen zum Generieren von Schlüsseln in einem für diesen Befehl geeigneten Format finden Sie unter SSHLinux, macOS oder Unix: Richten Sie die öffentlichen und privaten Schlüssel für Git ein und CodeCommit oder SSHund Windows: Richten Sie die öffentlichen und privaten Schlüssel für Git ein und CodeCommit im AWS CodeCommit Benutzerhandbuch.