IAMBeispiele für die Verwendung von Tools für PowerShell

Beispiel 1: Dieser Befehl fügt die Client-ID (oder Zielgruppe) my-application-ID dem vorhandenen OIDC Anbieter namens hinzuserver.example.com.

Add-IAMClientIDToOpenIDConnectProvider -ClientID "my-application-ID" -OpenIDConnectProviderARN "arn:aws:iam::123456789012:oidc-provider/server.example.com"

Beispiel 1: In diesem Beispiel wird der Rolle im Identity Management Service ein Tag hinzugefügt

Add-IAMRoleTag -RoleName AdminRoleacess -Tag @{ Key = 'abac'; Value = 'testing'}

Beispiel 1: Dieser Befehl fügt die angegebene Rolle einem vorhandenen Instanzprofil mit dem Namen hinzuwebserver. S3Access Verwenden Sie den New-IAMInstanceProfile Befehl, um das Instanzprofil zu erstellen. Nachdem Sie das Instanzprofil erstellt und es mithilfe dieses Befehls einer Rolle zugeordnet haben, können Sie es an eine EC2 Instanz anhängen. Verwenden Sie dazu das New-EC2Instance Cmdlet mit dem InstanceProfile-Name Parameter InstanceProfile_Arn oder, um die neue Instanz zu starten.

Add-IAMRoleToInstanceProfile -RoleName "S3Access" -InstanceProfileName "webserver"

Beispiel 1: In diesem Beispiel wird dem Benutzer im Identity Management Service ein Tag hinzugefügt

Add-IAMUserTag -UserName joe -Tag @{ Key = 'abac'; Value = 'testing'}

Beispiel 1: Mit diesem Befehl wird der angegebene Benutzer Bob zur Gruppe mit dem Namen hinzugefügtAdmins.

Add-IAMUserToGroup -UserName "Bob" -GroupName "Admins"

Beispiel 1: Dieser Befehl deaktiviert das MFA Hardwaregerät, das dem Benutzer zugeordnet ist, der über Bob die Seriennummer 123456789012 verfügt.

Disable-IAMMFADevice -UserName "Bob" -SerialNumber "123456789012"

Beispiel 2: Dieser Befehl deaktiviert das virtuelle MFA Gerät, das dem Benutzer zugeordnet ist, der über David die verfügt. ARN arn:aws:iam::210987654321:mfa/David Beachten Sie, dass MFA das virtuelle Gerät nicht aus dem Konto gelöscht wird. Das virtuelle Gerät ist immer noch vorhanden und erscheint in der Ausgabe des Get-IAMVirtualMFADevice Befehls. Bevor Sie ein neues virtuelles MFA Gerät für denselben Benutzer erstellen können, müssen Sie das alte Gerät mithilfe des Remove-IAMVirtualMFADevice Befehls löschen.

Disable-IAMMFADevice -UserName "David" -SerialNumber "arn:aws:iam::210987654321:mfa/David"

Beispiel 1: Dieser Befehl ändert das Passwort für den Benutzer, der den Befehl ausführt. Dieser Befehl kann nur von IAM Benutzern aufgerufen werden. Wenn dieser Befehl aufgerufen wird, während Sie mit AWS Kontoanmeldeinformationen (Root) angemeldet sind, gibt der Befehl einen Fehler zurück. InvalidUserType

Edit-IAMPassword -OldPassword "MyOldP@ssw0rd" -NewPassword "MyNewP@ssw0rd"

Beispiel 1: Dieser Befehl aktiviert das MFA Hardwaregerät mit der Seriennummer 987654321098 und ordnet das Gerät dem Benutzer zuBob. Er enthält nacheinander die ersten beiden Codes des Geräts.

Enable-IAMMFADevice -UserName "Bob" -SerialNumber "987654321098" -AuthenticationCode1 "12345678" -AuthenticationCode2 "87654321"

Beispiel 2: In diesem Beispiel wird ein virtuelles MFA Gerät erstellt und aktiviert. Der erste Befehl erstellt das virtuelle Gerät und gibt die Objektdarstellung des Geräts in der Variablen zurück$MFADevice. Sie können die QRCodePng Eigenschaften .Base32StringSeed oder verwenden, um die Softwareanwendung des Benutzers zu konfigurieren. Mit dem letzten Befehl wird das Gerät dem Benutzer zugewiesen David und das Gerät anhand seiner Seriennummer identifiziert. Der Befehl synchronisiert außerdem das Gerät mit, AWS indem die ersten beiden Codes nacheinander aus dem virtuellen MFA Gerät eingefügt werden.

$MFADevice = New-IAMVirtualMFADevice -VirtualMFADeviceName "MyMFADevice"
# see example for New-IAMVirtualMFADevice to see how to configure the software program with PNG or base32 seed code
Enable-IAMMFADevice -UserName "David" -SerialNumber -SerialNumber $MFADevice.SerialNumber -AuthenticationCode1 "24681357" -AuthenticationCode2 "13572468"

Beispiel 1: Dieser Befehl listet die Zugriffsschlüssel für den genannten IAM Benutzer aufBob. Beachten Sie, dass Sie die geheimen Zugriffsschlüssel für IAM Benutzer nicht auflisten können. Wenn die geheimen Zugriffsschlüssel verloren gehen, müssen Sie mit dem New-IAMAccessKey Cmdlet neue Zugriffsschlüssel erstellen.

Get-IAMAccessKey -UserName "Bob"

Ausgabe:

AccessKeyId                CreateDate                   Status              UserName
-----------                ----------                   ------              --------
AKIAIOSFODNN7EXAMPLE       12/3/2014 10:53:41 AM        Active              Bob
AKIAI44QH8DHBEXAMPLE       6/6/2013 8:42:26 PM          Inactive            Bob

Beispiel 1: Gibt den Namen des Besitzers und Informationen zur letzten Verwendung des angegebenen Zugriffsschlüssels zurück.

Get-IAMAccessKeyLastUsed -AccessKeyId ABCDEXAMPLE

Beispiel 1: Dieser Befehl gibt den Kontoalias für den zurück AWS-Konto.

Get-IAMAccountAlias

Ausgabe:

ExampleCo

Beispiel 1: In diesem Beispiel werden Autorisierungsdetails zu den Identitäten im AWS Konto abgerufen und die Elementliste des zurückgegebenen Objekts angezeigt, einschließlich Benutzer, Gruppen und Rollen. In der UserDetailList Eigenschaft werden beispielsweise Details zu den Benutzern angezeigt. Ähnliche Informationen sind in den GroupDetailList Eigenschaften RoleDetailList und verfügbar.

$Details=Get-IAMAccountAuthorizationDetail
$Details

Ausgabe:

GroupDetailList : {Administrators, Developers, Testers, Backup}
IsTruncated     : False
Marker          : 
RoleDetailList  : {TestRole1, AdminRole, TesterRole, clirole...}
UserDetailList  : {Administrator, Bob, BackupToS3, }

$Details.UserDetailList

Ausgabe:

Arn            : arn:aws:iam::123456789012:user/Administrator
CreateDate     : 10/16/2014 9:03:09 AM
GroupList      : {Administrators}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE1
UserName       : Administrator
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/Bob
CreateDate     : 4/6/2015 12:54:42 PM
GroupList      : {Developers}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE2
UserName       : bab
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/BackupToS3
CreateDate     : 1/27/2015 10:15:08 AM
GroupList      : {Backup}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE3
UserName       : BackupToS3
UserPolicyList : {BackupServicePermissionsToS3Buckets}

Beispiel 1: In diesem Beispiel werden Details zur Passwortrichtlinie für das aktuelle Konto zurückgegeben. Wenn keine Passwortrichtlinie für das Konto definiert ist, gibt der Befehl einen NoSuchEntity Fehler zurück.

Get-IAMAccountPasswordPolicy

Ausgabe:

AllowUsersToChangePassword : True
ExpirePasswords            : True
HardExpiry                 : False
MaxPasswordAge             : 90
MinimumPasswordLength      : 8
PasswordReusePrevention    : 20
RequireLowercaseCharacters : True
RequireNumbers             : True
RequireSymbols             : False
RequireUppercaseCharacters : True

Beispiel 1: In diesem Beispiel werden Informationen zur aktuellen IAM Entitätsnutzung und zu den aktuellen IAM Entitätskontingenten in der zurückgegeben AWS-Konto.

Get-IAMAccountSummary

Ausgabe:

Key                                        Value
Users                                      7
GroupPolicySizeQuota                       5120
PolicyVersionsInUseQuota                   10000
ServerCertificatesQuota                    20
AccountSigningCertificatesPresent          0
AccountAccessKeysPresent                   0
Groups                                     3
UsersQuota                                 5000
RolePolicySizeQuota                        10240
UserPolicySizeQuota                        2048
GroupsPerUserQuota                         10
AssumeRolePolicySizeQuota                  2048
AttachedPoliciesPerGroupQuota              2
Roles                                      9
VersionsPerPolicyQuota                     5
GroupsQuota                                100
PolicySizeQuota                            5120
Policies                                   5
RolesQuota                                 250
ServerCertificates                         0
AttachedPoliciesPerRoleQuota               2
MFADevicesInUse                            2
PoliciesQuota                              1000
AccountMFAEnabled                          1
Providers                                  2
InstanceProfilesQuota                      100
MFADevices                                 4
AccessKeysPerUserQuota                     2
AttachedPoliciesPerUserQuota               2
SigningCertificatesPerUserQuota            2
PolicyVersionsInUse                        4
InstanceProfiles                           1
...

Beispiel 1: Dieser Befehl gibt die Namen und die Namen ARNs der verwalteten Richtlinien zurück, die der Admins im AWS Konto genannten IAM Gruppe zugeordnet sind. Verwenden Sie den Get-IAMGroupPolicyList Befehl, um die Liste der in der Gruppe eingebetteten Inline-Richtlinien anzuzeigen.

Get-IAMAttachedGroupPolicyList -GroupName "Admins"

Ausgabe:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit
arn:aws:iam::aws:policy/AdministratorAccess               AdministratorAccess

Beispiel 1: Dieser Befehl gibt die Namen und die Namen ARNs der verwalteten Richtlinien zurück, die der SecurityAuditRole im AWS Konto genannten IAM Rolle zugeordnet sind. Verwenden Sie den Get-IAMRolePolicyList Befehl, um die Liste der Inline-Richtlinien anzuzeigen, die in die Rolle eingebettet sind.

Get-IAMAttachedRolePolicyList -RoleName "SecurityAuditRole"

Ausgabe:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit

Beispiel 1: Dieser Befehl gibt die Namen und ARNs die verwalteten Richtlinien für den Bob im AWS Konto genannten IAM Benutzer zurück. Verwenden Sie den Get-IAMUserPolicyList Befehl, um die Liste der Inline-Richtlinien anzuzeigen, die in den IAM Benutzer eingebettet sind.

Get-IAMAttachedUserPolicyList -UserName "Bob"

Ausgabe:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/TesterPolicy                      TesterPolicy

Beispiel 1: In diesem Beispiel werden alle Kontextschlüssel abgerufen, die in der bereitgestellten Richtlinien-JSON vorhanden sind. Um mehrere Richtlinien bereitzustellen, können Sie sie als kommagetrennte Werteliste angeben.

$policy1 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForCustomPolicy -PolicyInputList $policy1,$policy2

Beispiel 1: In diesem Beispiel werden alle Kontextschlüssel abgerufen, die in der bereitgestellten Richtlinien-Json und den der IAM Entität angehängten Richtlinien (Benutzer/Rolle usw.) vorhanden sind. Für — PolicyInputList Sie können eine Liste mit mehreren Werten als durch Kommas getrennte Werte angeben.

$policy1 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForPrincipalPolicy -PolicyInputList $policy1,$policy2 -PolicySourceArn arn:aws:iam::852640994763:user/TestUser

Beispiel 1: In diesem Beispiel wird der zurückgegebene Bericht geöffnet und als Array von Textzeilen an die Pipeline ausgegeben. Die erste Zeile ist die Kopfzeile mit durch Kommas getrennten Spaltennamen. Jede nachfolgende Zeile ist die Detailzeile für einen Benutzer, wobei jedes Feld durch Kommas getrennt ist. Bevor Sie den Bericht anzeigen können, müssen Sie ihn mit dem Request-IAMCredentialReport Cmdlet generieren. Um den Bericht als einzelne Zeichenfolge abzurufen, verwenden Sie -Raw anstelle von. -AsTextArray Der Alias -SplitLines wird auch für den -AsTextArray Switch akzeptiert. Die vollständige Liste der Spalten in der Ausgabe finden Sie in der API Service-Referenz. Beachten Sie, dass Sie, wenn Sie -AsTextArray oder nicht verwenden-SplitLines, den Text mithilfe von aus der .Content Eigenschaft extrahieren müssen. NETStreamReaderKlasse.

Request-IAMCredentialReport

Ausgabe:

Description                                                         State
-----------                                                         -----
No report exists. Starting a new report generation task             STARTED

Get-IAMCredentialReport -AsTextArray

Ausgabe:

      user,arn,user_creation_time,password_enabled,password_last_used,password_last_changed,password_next_rotation,mfa_active,access_key_1_active,access_key_1_last_rotated,access_key_2_active,access_key_2_last_rotated,cert_1_active,cert_1_last_rotated,cert_2_active,cert_2_last_rotated root_account,arn:aws:iam::123456789012:root,2014-10-15T16:31:25+00:00,not_supported,2015-04-20T17:41:10+00:00,not_supported,not_supported,true,false,N/A,false,N/A,false,N/A,false,N/A
Administrator,arn:aws:iam::123456789012:user/Administrator,2014-10-16T16:03:09+00:00,true,2015-04-20T15:18:32+00:00,2014-10-16T16:06:00+00:00,N/A,false,true,2014-12-03T18:53:41+00:00,true,2015-03-25T20:38:14+00:00,false,N/A,false,N/A
Bill,arn:aws:iam::123456789012:user/Bill,2015-04-15T18:27:44+00:00,false,N/A,N/A,N/A,false,false,N/A,false,N/A,false,2015-04-20T20:00:12+00:00,false,N/A

Beispiel 1: In diesem Beispiel wird eine Liste von IAM Gruppen, Rollen und Benutzern zurückgegeben, denen die Richtlinie arn:aws:iam::123456789012:policy/TestPolicy zugeordnet ist.

Get-IAMEntitiesForPolicy -PolicyArn "arn:aws:iam::123456789012:policy/TestPolicy"

Ausgabe:

IsTruncated  : False
Marker       : 
PolicyGroups : {}
PolicyRoles  : {testRole}
PolicyUsers  : {Bob, Theresa}

Beispiel 1: In diesem Beispiel werden Details zur IAM Gruppe zurückgegebenTesters, einschließlich einer Sammlung aller IAM Benutzer, die zu der Gruppe gehören.

$results = Get-IAMGroup -GroupName "Testers"
$results

Ausgabe:

Group                                     IsTruncated           Marker                Users
-----                                     -----------           ------                -----
Amazon.IdentityManagement.Model.Group     False                                       {Theresa, David}

$results.Group

Ausgabe:

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : 3RHNZZGQJ7QHMAEXAMPLE1
GroupName  : Testers
Path       : /

$results.Users

Ausgabe:

Arn              : arn:aws:iam::123456789012:user/Theresa
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : 4OSVDDJJTF4XEEXAMPLE2
UserName         : Theresa

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE3
UserName         : David

Beispiel 1: Dieses Beispiel gibt die Liste der IAM Gruppen zurück, zu denen der IAM Benutzer David gehört.

Get-IAMGroupForUser -UserName David

Ausgabe:

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE2
GroupName  : Testers
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE3
GroupName  : Developers
Path       : /

Beispiel 1: Dieses Beispiel gibt eine Sammlung aller in der aktuellen Version definierten IAM Gruppen zurück AWS-Konto.

Get-IAMGroupList

Ausgabe:

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE2
GroupName  : Developers
Path       : /

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE3
GroupName  : Testers
Path       : /

Beispiel 1: In diesem Beispiel werden Details zur eingebetteten Inline-Richtlinie zurückgegeben, die PowerUserAccess-Testers nach der Gruppe benannt istTesters. Die PolicyDocument Eigenschaft ist URL codiert. Sie wird in diesem Beispiel mit dem dekodiert. UrlDecode NETMethode.

$results = Get-IAMGroupPolicy -GroupName Testers -PolicyName PowerUserAccess-Testers
$results

Ausgabe:

GroupName     PolicyDocument                                              PolicyName
---------     --------------                                              ----------
Testers       %7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20... PowerUserAccess-Testers

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "NotAction": "iam:*",
      "Resource": "*"
    }
  ]
}

Beispiel 1: In diesem Beispiel wird eine Liste der Inline-Richtlinien zurückgegeben, die in die Gruppe eingebettet sindTesters. Verwenden Sie den Befehl, um die verwalteten Richtlinien abzurufen, die der Gruppe zugeordnet sindGet-IAMAttachedGroupPolicyList.

Get-IAMGroupPolicyList -GroupName Testers

Ausgabe:

Deny-Assume-S3-Role-In-Production
PowerUserAccess-Testers

Beispiel 1: In diesem Beispiel werden Details des genannten Instanzprofils zurückgegebenec2instancerole, das im aktuellen AWS Konto definiert ist.

Get-IAMInstanceProfile -InstanceProfileName ec2instancerole

Ausgabe:

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

Beispiel 1: In diesem Beispiel werden Details des mit der Rolle verknüpften Instanzprofils zurückgegebenec2instancerole.

Get-IAMInstanceProfileForRole -RoleName ec2instancerole

Ausgabe:

      Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
      CreateDate          : 2/17/2015 2:49:04 PM
      InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
      InstanceProfileName : ec2instancerole
      Path                : /
      Roles               : {ec2instancerole}

Beispiel 1: Dieses Beispiel gibt eine Sammlung der Instanzprofile zurück, die in der aktuellen Version definiert sind AWS-Konto.

Get-IAMInstanceProfileList

Ausgabe:

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

Beispiel 1: Dieses Beispiel gibt das Erstellungsdatum des Kennworts zurück und gibt an, ob ein Zurücksetzen des Kennworts für den IAM Benutzer erforderlich istDavid.

Get-IAMLoginProfile -UserName David

Ausgabe:

CreateDate                   PasswordResetRequired                 UserName
----------                   ---------------------                 --------
12/10/2014 3:39:44 PM        False                                 David

Beispiel 1: In diesem Beispiel werden Details zu dem MFA Gerät zurückgegeben, das dem IAM Benutzer zugewiesen wurdeDavid. In diesem Beispiel können Sie erkennen, dass es sich um ein virtuelles Gerät SerialNumber handelt, da es sich ARN nicht um die tatsächliche Seriennummer eines physischen Geräts handelt.

Get-IAMMFADevice -UserName David

Ausgabe:

EnableDate                  SerialNumber                           UserName
----------                  ------------                           --------
4/8/2015 9:41:10 AM         arn:aws:iam::123456789012:mfa/David    David

Beispiel 1: Dieses Beispiel gibt Details über den OpenID Connect-Anbieter zurück, dessen ARN istarn:aws:iam::123456789012:oidc-provider/accounts.google.com. Die ClientIDList Eigenschaft ist eine Sammlung, die alle für diesen Anbieter IDs definierten Clients enthält.

Get-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/oidc.example.com

Ausgabe:

ClientIDList         CreateDate                ThumbprintList                               Url
------------         ----------                --------------                               ---
{MyOIDCApp}          2/3/2015 3:00:30 PM       {12345abcdefghijk67890lmnopqrst98765uvwxy}   oidc.example.com

Beispiel 1: Dieses Beispiel gibt eine Liste ARNS aller OpenID Connect-Anbieter zurück, die in der aktuellen AWS-Konto Version definiert sind.

Get-IAMOpenIDConnectProviderList

Ausgabe:

Arn
---
arn:aws:iam::123456789012:oidc-provider/server.example.com
arn:aws:iam::123456789012:oidc-provider/another.provider.com

Beispiel 1: In diesem Beispiel werden Details zu der verwalteten Richtlinie zurückgegeben, deren ARN istarn:aws:iam::123456789012:policy/MySamplePolicy.

Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

Ausgabe:

Arn              : arn:aws:iam::aws:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 2/6/2015 10:40:08 AM

Beispiel 1: In diesem Beispiel wird eine Sammlung der ersten drei verwalteten Richtlinien zurückgegeben, die im aktuellen AWS Konto verfügbar sind. Da nicht angegeben -scope ist, werden standardmäßig sowohl AWS verwaltete als auch vom all Kunden verwaltete Richtlinien verwendet und diese sind auch enthalten.

Get-IAMPolicyList -MaxItem 3

Ausgabe:

Arn              : arn:aws:iam::aws:policy/AWSDirectConnectReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : AWSDirectConnectReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:08 AM
      
Arn              : arn:aws:iam::aws:policy/AmazonGlacierReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:27 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : NJKMU274MET4EEXAMPLE2
PolicyName       : AmazonGlacierReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:27 AM
      
Arn              : arn:aws:iam::aws:policy/AWSMarketplaceFullAccess
AttachmentCount  : 0
CreateDate       : 2/11/2015 9:21:45 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : 5ULJSO2FYVPYGEXAMPLE3
PolicyName       : AWSMarketplaceFullAccess
UpdateDate       : 2/11/2015 9:21:45 AM

Beispiel 2: In diesem Beispiel wird eine Sammlung der ersten beiden vom Kunden verwalteten Policen zurückgegeben, die im AWS Girokonto verfügbar sind. Es wird verwendet-Scope local, um die Ausgabe nur auf vom Kunden verwaltete Policen zu beschränken.

Get-IAMPolicyList -Scope local -MaxItem 2

Ausgabe:

Arn              : arn:aws:iam::123456789012:policy/MyLocalPolicy
AttachmentCount  : 0
CreateDate       : 2/12/2015 9:39:09 AM
DefaultVersionId : v2
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : SQVCBLC4VAOUCEXAMPLE4
PolicyName       : MyLocalPolicy
UpdateDate       : 2/12/2015 9:39:53 AM

Arn              : arn:aws:iam::123456789012:policy/policyforec2instancerole
AttachmentCount  : 1
CreateDate       : 2/17/2015 2:51:38 PM
DefaultVersionId : v11
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : X5JPBLJH2Z2SOEXAMPLE5
PolicyName       : policyforec2instancerole
UpdateDate       : 2/18/2015 8:52:31 AM

Beispiel 1: In diesem Beispiel wird das Richtliniendokument für die v2 Version der Richtlinie zurückgegeben, deren Version ARN istarn:aws:iam::123456789012:policy/MyManagedPolicy. Das Richtliniendokument in der Document Eigenschaft ist URL codiert und wird in diesem Beispiel mit dem dekodiert. UrlDecode NETMethode.

$results = Get-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy -VersionId v2
$results

Ausgabe:

CreateDate             Document                                        IsDefaultVersion     VersionId
----------             --------                                        ----------------     ---------
2/12/2015 9:39:53 AM   %7B%0A%20%20%22Version%22%3A%20%222012-10...    True                 v2

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
$policy = [System.Web.HttpUtility]::UrlDecode($results.Document)
$policy
{
  "Version": "2012-10-17",
  "Statement": 
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
}

Beispiel 1: In diesem Beispiel wird die Liste der verfügbaren Versionen der Richtlinie zurückgegeben, deren ARN istarn:aws:iam::123456789012:policy/MyManagedPolicy. Um das Richtliniendokument für eine bestimmte Version abzurufen, verwenden Sie den Get-IAMPolicyVersion Befehl und geben Sie die gewünschte Version an. VersionId

Get-IAMPolicyVersionList -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy

Ausgabe:

CreateDate                   Document                 IsDefaultVersion                  VersionId
----------                   --------                 ----------------                  ---------
2/12/2015 9:39:53 AM                                  True                              v2
2/12/2015 9:39:09 AM                                  False                             v1

Beispiel 1: Dieses Beispiel gibt die Details von zurücklamda_exec_role. Es enthält das Dokument mit der Vertrauensrichtlinie, in dem angegeben ist, wer diese Rolle übernehmen kann. Das Richtliniendokument ist URL codiert und kann mit dem dekodiert werden. NETUrlDecodeMethode. In diesem Beispiel wurden bei der ursprünglichen Richtlinie alle Leerzeichen entfernt, bevor sie in die Richtlinie hochgeladen wurde. Um die Dokumente mit den Berechtigungsrichtlinien einzusehen, in denen festgelegt ist, was jemand, der die Rolle übernimmt, tun kann, verwenden Sie die Get-IAMRolePolicy Option für Inline-Richtlinien und Get-IAMPolicyVersion für angehängte verwaltete Richtlinien.

$results = Get-IamRole -RoleName lambda_exec_role
$results | Format-List

Ausgabe:

Arn                      : arn:aws:iam::123456789012:role/lambda_exec_role
AssumeRolePolicyDocument : %7B%22Version%22%3A%222012-10-17%22%2C%22Statement%22%3A%5B%7B%22Sid%22
                           %3A%22%22%2C%22Effect%22%3A%22Allow%22%2C%22Principal%22%3A%7B%22Service
                           %22%3A%22lambda.amazonaws.com%22%7D%2C%22Action%22%3A%22sts%3AAssumeRole
                           %22%7D%5D%7D
CreateDate               : 4/2/2015 9:16:11 AM
Path                     : /
RoleId                   : 2YBIKAIBHNKB4EXAMPLE1
RoleName                 : lambda_exec_role

$policy = [System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
$policy

Ausgabe:

{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"Service":"lambda.amazonaws.com"},"Action":"sts:AssumeRole"}]}

Beispiel 1: In diesem Beispiel wird eine Liste aller IAM Rollen in der AWS-Konto abgerufen.

Get-IAMRoleList

Beispiel 1: In diesem Beispiel wird das Dokument mit der Berechtigungsrichtlinie für die angegebene Richtlinie zurückgegebenoneClick_lambda_exec_role_policy, die in die IAM Rolle eingebettet istlamda_exec_role. Das resultierende Richtliniendokument ist URL codiert. Es wird in diesem Beispiel mit dem dekodiert. UrlDecode NETMethode.

$results = Get-IAMRolePolicy -RoleName lambda_exec_role -PolicyName oneClick_lambda_exec_role_policy
$results

Ausgabe:

PolicyDocument                                            PolicyName                           UserName
--------------                                            ----------                           --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    oneClick_lambda_exec_role_policy     lambda_exec_role

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)

Ausgabe:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:*"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    }
  ]
}

Beispiel 1: In diesem Beispiel wird die Liste der Namen der Inline-Richtlinien zurückgegeben, die in die IAM Rolle eingebettet sindlamda_exec_role. Verwenden Sie den Befehl, um die Details einer Inline-Richtlinie anzuzeigenGet-IAMRolePolicy.

Get-IAMRolePolicyList -RoleName lambda_exec_role

Ausgabe:

oneClick_lambda_exec_role_policy

Beispiel 1: In diesem Beispiel wird das der Rolle zugeordnete Tag abgerufen..

Get-IAMRoleTagList -RoleName MyRoleName

Beispiel 1: In diesem Beispiel werden die Details zum SAML 2.0-Anbieter abgerufen, dessen Name arn:aws:iam: :123456789012:saml-provider/ ARM lautet. SAMLADFS Die Antwort enthält das Metadatendokument, das Sie vom Identitätsanbieter zur Erstellung der Anbieterentität erhalten haben, sowie die Erstellungs- und Ablaufdaten. AWS SAML

Get-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Ausgabe:

CreateDate                 SAMLMetadataDocument                                          ValidUntil
----------                 --------------------                                          ----------
12/23/2014 12:16:55 PM    <EntityDescriptor ID="_12345678-1234-5678-9012-example1...    12/23/2114 12:16:54 PM

Beispiel 1: In diesem Beispiel wird die Liste der SAML 2.0-Anbieter abgerufen, die in der aktuellen AWS-Konto Version erstellt wurden. Es gibt das ARN Erstellungs- und das Ablaufdatum für jeden SAML Anbieter zurück.

Get-IAMSAMLProviderList

Ausgabe:

Arn                                                 CreateDate                      ValidUntil
---                                                 ----------                      ----------
arn:aws:iam::123456789012:saml-provider/SAMLADFS    12/23/2014 12:16:55 PM          12/23/2114 12:16:54 PM

Beispiel 1: In diesem Beispiel werden Details über das angegebene Serverzertifikat abgerufen. MyServerCertificate Sie finden die Zertifikatsdetails in den ServerCertificateMetadata Eigenschaften CertificateBody und.

$result = Get-IAMServerCertificate -ServerCertificateName MyServerCertificate
$result | format-list

Ausgabe:

CertificateBody           : -----BEGIN CERTIFICATE-----
                            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                            NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                            -----END CERTIFICATE-----
CertificateChain          : 
ServerCertificateMetadata : Amazon.IdentityManagement.Model.ServerCertificateMetadata

$result.ServerCertificateMetadata

Ausgabe:

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

Beispiel 1: In diesem Beispiel wird die Liste der Serverzertifikate abgerufen, die auf den aktuellen AWS-Konto Server hochgeladen wurden.

Get-IAMServerCertificateList

Ausgabe:

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

Beispiel 1: Dieses Beispiel enthält Informationen über den Dienst, auf den die IAM Entität (Benutzer, Gruppe, Rolle oder Richtlinie) zuletzt zugegriffen hat, die dem Anforderungsaufruf zugeordnet ist.

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

Ausgabe:

f0b7a819-eab0-929b-dc26-ca598911cb9f

Get-IAMServiceLastAccessedDetail -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f

Beispiel 1: Dieses Beispiel liefert den Zeitstempel, auf den zuletzt zugegriffen wurde, für den Dienst in der Anfrage der jeweiligen IAM Entität.

$results = Get-IAMServiceLastAccessedDetailWithEntity -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f -ServiceNamespace ec2
$results

Ausgabe:

EntityDetailsList : {Amazon.IdentityManagement.Model.EntityDetails}
Error             : 
IsTruncated       : False
JobCompletionDate : 12/29/19 11:19:31 AM
JobCreationDate   : 12/29/19 11:19:31 AM
JobStatus         : COMPLETED
Marker            : 

$results.EntityDetailsList

Ausgabe:

EntityInfo                                 LastAuthenticated
----------                                 -----------------
Amazon.IdentityManagement.Model.EntityInfo 11/16/19 3:47:00 PM

$results.EntityInfo

Ausgabe:

Arn  : arn:aws:iam::123456789012:user/TestUser
Id   : AIDA4NBK5CXF5TZHU1234
Name : TestUser
Path : /
Type : USER

Beispiel 1: In diesem Beispiel werden Details über das Signaturzertifikat abgerufen, das dem genannten Bob Benutzer zugeordnet ist.

Get-IAMSigningCertificate -UserName Bob

Ausgabe:

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

Beispiel 1: In diesem Beispiel werden Details über den genannten David Benutzer abgerufen.

Get-IAMUser -UserName David

Ausgabe:

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE1
UserName         : David

Beispiel 2: In diesem Beispiel werden Details über den aktuell angemeldeten Benutzer abgerufen. IAM

Get-IAMUser

Ausgabe:

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 10/16/2014 9:03:09 AM
PasswordLastUsed : 3/4/2015 12:12:33 PM
Path             : /
UserId           : 7K3GJEANSKZF2EXAMPLE2
UserName         : Bob

Beispiel 1: In diesem Beispiel wird eine Sammlung von Benutzern in der aktuellen AWS-Konto Version abgerufen.

Get-IAMUserList

Ausgabe:

      Arn              : arn:aws:iam::123456789012:user/Administrator
      CreateDate       : 10/16/2014 9:03:09 AM
      PasswordLastUsed : 3/4/2015 12:12:33 PM
      Path             : /
      UserId           : 7K3GJEANSKZF2EXAMPLE1
      UserName         : Administrator
      
      Arn              : arn:aws:iam::123456789012:user/Bob
      CreateDate       : 4/6/2015 12:54:42 PM
      PasswordLastUsed : 1/1/0001 12:00:00 AM
      Path             : /
      UserId           : L3EWNONDOM3YUEXAMPLE2
      UserName         : bab
      
      Arn              : arn:aws:iam::123456789012:user/David
      CreateDate       : 12/10/2014 3:39:27 PM
      PasswordLastUsed : 3/19/2015 8:44:04 AM
      Path             : /
      UserId           : Y4FKWQCXTA52QEXAMPLE3
      UserName         : David

Beispiel 1: In diesem Beispiel werden die Details der genannten Inline-Richtlinie abgerufenDavids_IAM_Admin_Policy, die in den IAM Benutzer mit dem Namen David eingebettet ist. Das Richtliniendokument ist URL codiert.

$results = Get-IAMUserPolicy -PolicyName Davids_IAM_Admin_Policy -UserName David
$results

Ausgabe:

PolicyDocument                                            PolicyName                    UserName
--------------                                            ----------                    --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    Davids_IAM_Admin_Policy       David

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Beispiel 1: In diesem Beispiel wird die Liste der Namen der Inline-Richtlinien abgerufen, die in den Namen David des IAM Benutzers eingebettet sind.

Get-IAMUserPolicyList -UserName David

Ausgabe:

Davids_IAM_Admin_Policy

Beispiel 1: In diesem Beispiel wird das dem Benutzer zugeordnete Tag abgerufen.

Get-IAMUserTagList -UserName joe

Beispiel 1: In diesem Beispiel wird eine Sammlung der virtuellen MFA Geräte abgerufen, die Benutzern im AWS Konto zugewiesen sind. Bei jeder User Eigenschaft handelt es sich um ein Objekt mit Angaben zum IAM Benutzer, dem das Gerät zugewiesen ist.

Get-IAMVirtualMFADevice -AssignmentStatus Assigned

Ausgabe:

Base32StringSeed : 
EnableDate       : 4/13/2015 12:03:42 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/David
User             : Amazon.IdentityManagement.Model.User

Base32StringSeed : 
EnableDate       : 4/13/2015 12:06:41 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/root-account-mfa-device
User             : Amazon.IdentityManagement.Model.User

Beispiel 1: In diesem Beispiel wird ein neues Paar aus Zugriffsschlüssel und geheimem Zugriffsschlüssel erstellt und dem Benutzer David zugewiesen. Stellen Sie sicher, dass Sie die SecretAccessKey Werte AccessKeyId und in einer Datei speichern, da Sie die nur zu diesem Zeitpunkt abrufen können. SecretAccessKey Sie können es später nicht abrufen. Wenn Sie den geheimen Schlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen.

New-IAMAccessKey -UserName David

Ausgabe:

AccessKeyId     : AKIAIOSFODNN7EXAMPLE
CreateDate      : 4/13/2015 1:00:42 PM
SecretAccessKey : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Status          : Active
UserName        : David

Beispiel 1: In diesem Beispiel wird der Kontoalias für Ihr AWS Konto in geändertmycompanyaws. Die Adresse der Benutzeranmeldeseite wird in panyaws.signin.aws.amazon.com/console geändert https://mycom. <accountidnumber>Das Original URL mit Ihrer Konto-ID-Nummer anstelle des Alias (https://.signin.aws.amazon.com/console) funktioniert weiterhin. Alle zuvor definierten Alias-basierten Funktionen funktionieren jedoch nicht mehr. URLs

New-IAMAccountAlias -AccountAlias mycompanyaws

Beispiel 1: In diesem Beispiel wird eine neue IAM Gruppe mit dem Namen erstelltDevelopers.

New-IAMGroup -GroupName Developers

Ausgabe:

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 4/14/2015 11:21:31 AM
GroupId    : QNEJ5PM4NFSQCEXAMPLE1
GroupName  : Developers
Path       : /

Beispiel 1: In diesem Beispiel wird ein neues IAM Instanzprofil mit dem Namen erstelltProfileForDevEC2Instance. Sie müssen den Add-IAMRoleToInstanceProfile Befehl separat ausführen, um das Instanzprofil einer vorhandenen IAM Rolle zuzuordnen, die Berechtigungen für die Instanz bereitstellt. Fügen Sie abschließend das Instanzprofil einer EC2 Instance hinzu, wenn Sie sie starten. Verwenden Sie dazu das New-EC2Instance Cmdlet mit dem Parameter InstanceProfile_Arn oderInstanceProfile_Name.

New-IAMInstanceProfile -InstanceProfileName ProfileForDevEC2Instance

Ausgabe:

Arn                 : arn:aws:iam::123456789012:instance-profile/ProfileForDevEC2Instance
CreateDate          : 4/14/2015 11:31:39 AM
InstanceProfileId   : DYMFXL556EY46EXAMPLE1
InstanceProfileName : ProfileForDevEC2Instance
Path                : /
Roles               : {}

Beispiel 1: In diesem Beispiel wird ein (temporäres) Passwort für den IAM Benutzer mit dem Namen Bob erstellt und das Kennzeichen gesetzt, dass der Benutzer das Passwort bei der nächsten Anmeldung Bob ändern muss.

New-IAMLoginProfile -UserName Bob -Password P@ssw0rd -PasswordResetRequired $true

Ausgabe:

CreateDate                    PasswordResetRequired                UserName
----------                    ---------------------                --------
4/14/2015 12:26:30 PM         True                                 Bob

Beispiel 1: In diesem Beispiel wird ein IAM OIDC Anbieter erstellt, der dem OIDC kompatiblen Anbieterdienst zugeordnet ist, der sich unter URL https://example.oidcprovider.com und der Client-ID befindetmy-testapp-1. Der OIDC Anbieter liefert den Fingerabdruck. Um den Fingerabdruck zu authentifizieren, folgen Sie den Schritten unter http://docs.aws.amazon. com/IAM/latest/UserGuide/identity- .html. providers-oidc-obtain-thumbprint

New-IAMOpenIDConnectProvider -Url https://example.oidcprovider.com -ClientIDList my-testapp-1 -ThumbprintList 990F419EXAMPLEECF12DDEDA5EXAMPLE52F20D9E

Ausgabe:

arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Beispiel 1: In diesem Beispiel wird im aktuellen AWS Konto eine neue IAM Richtlinie mit dem Namen MySamplePolicy Die Datei MySamplePolicy.json enthält den Richtlinieninhalt erstellt. Beachten Sie, dass Sie den -Raw Switch-Parameter verwenden müssen, um die JSON Richtliniendatei erfolgreich zu verarbeiten.

New-IAMPolicy -PolicyName MySamplePolicy -PolicyDocument (Get-Content -Raw MySamplePolicy.json)

Ausgabe:

Arn              : arn:aws:iam::123456789012:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 4/14/2015 2:45:59 PM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : LD4KP6HVFE7WGEXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 4/14/2015 2:45:59 PM

Beispiel 1: In diesem Beispiel wird eine neue „v2“ -Version der IAM Richtlinie erstellt, deren Standardversion es ARN ist, arn:aws:iam::123456789012:policy/MyPolicy und macht sie zur Standardversion. Die NewPolicyVersion.json Datei enthält den Inhalt der Richtlinie. Beachten Sie, dass Sie den -Raw Switch-Parameter verwenden müssen, um die JSON Richtliniendatei erfolgreich zu verarbeiten.

New-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -PolicyDocument (Get-content -Raw NewPolicyVersion.json) -SetAsDefault $true

Ausgabe:

CreateDate                           Document                  IsDefaultVersion             VersionId
----------                           --------                  ----------------             ---------
4/15/2015 10:54:54 AM                                          True                         v2

Beispiel 1: In diesem Beispiel wird eine neue Rolle mit dem Namen erstellt MyNewRole und ihr die in der Datei NewRoleTrustPolicy.json enthaltene Richtlinie angehängt. Beachten Sie, dass Sie den -Raw Switch-Parameter verwenden müssen, um die JSON Richtliniendatei erfolgreich zu verarbeiten. Das in der Ausgabe angezeigte Richtliniendokument ist URL codiert. Es wird in diesem Beispiel mit dem dekodiert. UrlDecode NETMethode.

$results = New-IAMRole -AssumeRolePolicyDocument (Get-Content -raw NewRoleTrustPolicy.json) -RoleName MyNewRole
$results

Ausgabe:

Arn                      : arn:aws:iam::123456789012:role/MyNewRole
AssumeRolePolicyDocument : %7B%0D%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0D%0A%20%20%22Statement%22
                           %3A%20%5B%0D%0A%20%20%20%20%7B%0D%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C
                           %0D%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0D%0A%20%20%20%20%20%20
                           %22Principal%22%3A%20%7B%0D%0A%20%20%20%20%20%20%20%20%22AWS%22%3A%20%22arn%3Aaws
                           %3Aiam%3A%3A123456789012%3ADavid%22%0D%0A%20%20%20%20%20%20%7D%2C%0D%0A%20%20%20
                           %20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0D%0A%20%20%20%20%7D%0D%0A%20
                           %20%5D%0D%0A%7D
CreateDate               : 4/15/2015 11:04:23 AM
Path                     : /
RoleId                   : V5PAJI2KPN4EAEXAMPLE1
RoleName                 : MyNewRole

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:David"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Beispiel 1: In diesem Beispiel wird eine neue SAML Provider-Entität in erstelltIAM. Sie ist benannt MySAMLProvider und wird durch das SAML Metadatendokument in der Datei beschriebenSAMLMetaData.xml, das separat von der Website des SAML Dienstanbieters heruntergeladen wurde.

New-IAMSAMLProvider -Name MySAMLProvider -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

Ausgabe:

arn:aws:iam::123456789012:saml-provider/MySAMLProvider

Beispiel 1: In diesem Beispiel wird eine serviceverknüpfte Rolle für den Autoscaling-Service erstellt.

New-IAMServiceLinkedRole -AWSServiceName autoscaling.amazonaws.com -CustomSuffix RoleNameEndsWithThis -Description "My service-linked role to support autoscaling"

Beispiel 1: In diesem Beispiel wird ein IAM Benutzer mit dem Namen erstelltBob. Wenn Bob sich an der AWS Konsole anmelden muss, müssen Sie den Befehl separat ausführen, New-IAMLoginProfile um ein Anmeldeprofil mit einem Passwort zu erstellen. Wenn Bob plattformübergreifende CLI Befehle ausführen AWS PowerShell oder AWS API Anrufe tätigen muss, müssen Sie den New-IAMAccessKey Befehl separat ausführen, um Zugriffsschlüssel zu erstellen.

New-IAMUser -UserName Bob

Ausgabe:

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 4/22/2015 12:02:11 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : AIDAJWGEFDMEMEXAMPLE1
UserName         : Bob

Beispiel 1: In diesem Beispiel wird ein neues virtuelles MFA Gerät erstellt. Die Zeilen 2 und 3 extrahieren den Base32StringSeed Wert, den das virtuelle MFA Softwareprogramm benötigt, um ein Konto zu erstellen (als Alternative zum QR-Code). Nachdem Sie das Programm mit dem Wert konfiguriert haben, rufen Sie zwei aufeinanderfolgende Authentifizierungscodes aus dem Programm ab. Verwenden Sie abschließend den letzten Befehl, um das virtuelle MFA Gerät mit dem IAM Benutzer zu verknüpfen Bob und das Konto mit den beiden Authentifizierungscodes zu synchronisieren.

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$SR = New-Object System.IO.StreamReader($Device.Base32StringSeed)
$base32stringseed = $SR.ReadToEnd()
$base32stringseed   
CZWZMCQNW4DEXAMPLE3VOUGXJFZYSUW7EXAMPLECR4NJFD65GX2SLUDW2EXAMPLE

Ausgabe:

-- Pause here to enter base-32 string seed code into virtual MFA program to register account. --

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

Beispiel 2: In diesem Beispiel wird ein neues virtuelles MFA Gerät erstellt. Die Zeilen 2 und 3 extrahieren den QRCodePNG Wert und schreiben ihn in eine Datei. Dieses Bild kann vom virtuellen MFA Softwareprogramm gescannt werden, um ein Konto zu erstellen (als Alternative zur manuellen Eingabe des StringSeed Base32-Werts). Nachdem Sie das Konto in Ihrem virtuellen MFA Programm erstellt haben, rufen Sie zwei aufeinanderfolgende Authentifizierungscodes ab und geben Sie sie in die letzten Befehle ein, um das virtuelle MFA Gerät mit dem IAM Benutzer zu verknüpfen Bob und das Konto zu synchronisieren.

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$BR = New-Object System.IO.BinaryReader($Device.QRCodePNG)
$BR.ReadBytes($BR.BaseStream.Length) | Set-Content -Encoding Byte -Path QRCode.png

Ausgabe:

 -- Pause here to scan PNG with virtual MFA program to register account. -- 

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

Beispiel 1: In diesem Beispiel wird ein neues Serverzertifikat auf das IAM Konto hochgeladen. Die Dateien, die den Zertifikatshauptteil, den privaten Schlüssel und (optional) die Zertifikatskette enthalten, müssen alle PEM codiert sein. Beachten Sie, dass die Parameter den tatsächlichen Inhalt der Dateien und nicht die Dateinamen erfordern. Sie müssen den -Raw Switch-Parameter verwenden, um den Dateiinhalt erfolgreich zu verarbeiten.

Publish-IAMServerCertificate -ServerCertificateName MyTestCert -CertificateBody (Get-Content -Raw server.crt) -PrivateKey (Get-Content -Raw server.key)

Ausgabe:

Arn                   : arn:aws:iam::123456789012:server-certificate/MyTestCert
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /
ServerCertificateId   : ASCAJIEXAMPLE7J7HQZYW
ServerCertificateName : MyTestCert
UploadDate            : 4/21/2015 11:14:16 AM

Beispiel 1: In diesem Beispiel wird ein neues X.509-Signaturzertifikat hochgeladen und es dem genannten IAM Benutzer zugeordnet. Bob Die Datei, die den Hauptteil des Zertifikats enthält, ist codiertPEM. Der CertificateBody Parameter erfordert den tatsächlichen Inhalt der Zertifikatsdatei und nicht den Dateinamen. Sie müssen den -Raw Switch-Parameter verwenden, um die Datei erfolgreich zu verarbeiten.

Publish-IAMSigningCertificate -UserName Bob -CertificateBody (Get-Content -Raw SampleSigningCert.pem)

Ausgabe:

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCEXAMPLEHMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

Beispiel 1: In diesem Beispiel wird die vom Kunden verwaltete Richtlinie mit dem Namen TesterPolicy der IAM Gruppe Testers verknüpft. Die Benutzer in dieser Gruppe sind unmittelbar von den in der Standardversion dieser Richtlinie definierten Berechtigungen betroffen.

Register-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

Beispiel 2: In diesem Beispiel wird die AWS verwaltete Richtlinie mit dem Namen AdministratorAccess der IAM Gruppe Admins angehängt. Die Benutzer in dieser Gruppe sind unmittelbar von den in der neuesten Version dieser Richtlinie definierten Berechtigungen betroffen.

Register-IAMGroupPolicy -GroupName Admins -PolicyArn arn:aws:iam::aws:policy/AdministratorAccess

Beispiel 1: In diesem Beispiel wird die AWS verwaltete Richtlinie mit dem Namen SecurityAudit der IAM Rolle CoSecurityAuditors angehängt. Die Benutzer, die diese Rolle übernehmen, sind unmittelbar von den in der neuesten Version dieser Richtlinie definierten Berechtigungen betroffen.

Register-IAMRolePolicy -RoleName CoSecurityAuditors -PolicyArn arn:aws:iam::aws:policy/SecurityAudit

Beispiel 1: In diesem Beispiel wird die AWS verwaltete Richtlinie mit dem Namen AmazonCognitoPowerUser des IAM Benutzers Bob angehängt. Der Benutzer ist unmittelbar von den in der neuesten Version dieser Richtlinie definierten Berechtigungen betroffen.

Register-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::aws:policy/AmazonCognitoPowerUser

Beispiel 1: In diesem Beispiel wird das AWS Zugriffsschlüsselpaar mit der Schlüssel-ID des AKIAIOSFODNN7EXAMPLE angegebenen Benutzers gelöscht. Bob

Remove-IAMAccessKey -AccessKeyId AKIAIOSFODNN7EXAMPLE -UserName Bob -Force

Beispiel 1: In diesem Beispiel wird der Account-Alias aus Ihrem entfernt AWS-Konto. Die Benutzeranmeldeseite mit dem Alias https://mycom panyaws.signin.aws.amazon.com/console funktioniert nicht mehr. Sie müssen stattdessen das Original URL mit Ihrer ID-Nummer unter https://.signin.aws.amazon.com/console verwenden. AWS-Konto <accountidnumber>

Remove-IAMAccountAlias -AccountAlias mycompanyaws

Beispiel 1: In diesem Beispiel wird die Kennwortrichtlinie für gelöscht AWS-Konto und alle Werte auf ihre ursprünglichen Standardwerte zurückgesetzt. Wenn derzeit keine Kennwortrichtlinie existiert, wird die folgende Fehlermeldung angezeigt: Die Kontorichtlinie mit dem Namen PasswordPolicy kann nicht gefunden werden.

Remove-IAMAccountPasswordPolicy

Beispiel 1: In diesem Beispiel wird die Client-ID My-TestApp-3 aus der Liste der Clients entfernt, die dem IAM OIDC Anbieter IDs zugeordnet sind, dessen Name ARN istarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

Remove-IAMClientIDFromOpenIDConnectProvider -ClientID My-TestApp-3 -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Beispiel 1: In diesem Beispiel wird die angegebene IAM MyTestGroup Gruppe gelöscht. Mit dem ersten Befehl werden alle IAM Benutzer entfernt, die Mitglieder der Gruppe sind, und mit dem zweiten Befehl wird die IAM Gruppe gelöscht. Beide Befehle funktionieren ohne Bestätigungsaufforderungen.

(Get-IAMGroup -GroupName MyTestGroup).Users | Remove-IAMUserFromGroup -GroupName MyTestGroup -Force
Remove-IAMGroup -GroupName MyTestGroup -Force

Beispiel 1: In diesem Beispiel wird die angegebene Inline-Richtlinie TesterPolicy aus der IAM Gruppe entferntTesters. Die Benutzer in dieser Gruppe verlieren sofort die in dieser Richtlinie definierten Berechtigungen.

Remove-IAMGroupPolicy -GroupName Testers -PolicyName TestPolicy

Beispiel 1: In diesem Beispiel wird das angegebene EC2 Instanzprofil gelöscht. MyAppInstanceProfile Mit dem ersten Befehl werden alle Rollen vom Instanzprofil getrennt, und mit dem zweiten Befehl wird das Instanzprofil gelöscht.

(Get-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile).Roles | Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyAppInstanceProfile
Remove-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile

Beispiel 1: In diesem Beispiel wird das Anmeldeprofil des IAM Benutzers mit dem Namen Bob gelöscht. Dadurch wird verhindert, dass sich der Benutzer an der Konsole anmeldet. AWS Dadurch wird der Benutzer nicht daran gehindert AWS CLI PowerShell, API Anrufe mit AWS Zugangsschlüsseln auszuführen, die möglicherweise noch mit dem Benutzerkonto verknüpft sind.

Remove-IAMLoginProfile -UserName Bob

Beispiel 1: In diesem Beispiel wird der IAM OIDC Anbieter gelöscht, der eine Verbindung zum Anbieter example.oidcprovider.com herstellt. Stellen Sie sicher, dass Sie alle Rollen aktualisieren oder löschen, die im Principal Element der Vertrauensrichtlinie der Rolle auf diesen Anbieter verweisen.

Remove-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Beispiel 1: In diesem Beispiel wird die Richtlinie gelöscht, deren ARN istarn:aws:iam::123456789012:policy/MySamplePolicy. Bevor Sie die Richtlinie löschen können, müssen Sie zuerst alle Versionen außer der Standardversion löschen, indem Sie ausführenRemove-IAMPolicyVersion. Sie müssen die Richtlinie auch von allen IAM Benutzern, Gruppen oder Rollen trennen.

Remove-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

Beispiel 2: In diesem Beispiel wird eine Richtlinie gelöscht, indem zuerst alle nicht standardmäßigen Richtlinienversionen gelöscht werden, sie von allen angehängten IAM Entitäten getrennt und schließlich die Richtlinie selbst gelöscht wird. In der ersten Zeile wird das Richtlinienobjekt abgerufen. In der zweiten Zeile werden alle Richtlinienversionen, die nicht als Standardversion gekennzeichnet sind, in einer Sammlung abgerufen und anschließend alle Richtlinien in der Sammlung gelöscht. In der dritten Zeile werden alle IAM Benutzer, Gruppen und Rollen abgerufen, denen die Richtlinie zugeordnet ist. In den Zeilen vier bis sechs wird die Richtlinie von jeder angehängten Entität getrennt. In der letzten Zeile wird dieser Befehl verwendet, um die verwaltete Richtlinie sowie die verbleibende Standardversion zu entfernen. Das Beispiel enthält den -Force Switch-Parameter in jeder Zeile, die ihn benötigt, um Bestätigungsaufforderungen zu unterdrücken.

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
$attached = Get-IAMEntitiesForPolicy -PolicyArn $pol.Arn
$attached.PolicyGroups | Unregister-IAMGroupPolicy -PolicyArn $pol.arn
$attached.PolicyRoles | Unregister-IAMRolePolicy -PolicyArn $pol.arn
$attached.PolicyUsers | Unregister-IAMUserPolicy -PolicyArn $pol.arn
Remove-IAMPolicy $pol.Arn -Force

Beispiel 1: In diesem Beispiel wird die Version, die als identifiziert wurde, v2 aus der Richtlinie gelöscht, deren ARN istarn:aws:iam::123456789012:policy/MySamplePolicy.

Remove-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy -VersionID v2

Beispiel 2: In diesem Beispiel wird eine Richtlinie gelöscht, indem zuerst alle nicht standardmäßigen Richtlinienversionen und dann die Richtlinie selbst gelöscht werden. In der ersten Zeile wird das Richtlinienobjekt abgerufen. In der zweiten Zeile werden alle Richtlinienversionen, die nicht als Standard gekennzeichnet sind, in einer Sammlung abgerufen und anschließend mit diesem Befehl alle Richtlinien in der Sammlung gelöscht. In der letzten Zeile werden die Richtlinie selbst sowie die verbleibende Standardversion entfernt. Beachten Sie, dass Sie zum erfolgreichen Löschen einer verwalteten Richtlinie auch die Richtlinie mithilfe der Unregister-IAMRolePolicy Befehle, und von allen Benutzern, Gruppen oder Rollen trennen müssen. Unregister-IAMUserPolicy Unregister-IAMGroupPolicy Sehen Sie sich das Beispiel für das Remove-IAMPolicy Cmdlet an.

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
Remove-IAMPolicy -PolicyArn $pol.Arn -force

Beispiel 1: In diesem Beispiel wird die angegebene Rolle MyNewRole aus dem aktuellen IAM Konto gelöscht. Bevor Sie die Rolle löschen können, müssen Sie zunächst den Unregister-IAMRolePolicy Befehl verwenden, um alle verwalteten Richtlinien zu trennen. Inline-Richtlinien werden zusammen mit der Rolle gelöscht.

Remove-IAMRole -RoleName MyNewRole

Beispiel 2: In diesem Beispiel werden alle verwalteten Richtlinien von der genannten Rolle getrennt MyNewRole und anschließend die Rolle gelöscht. In der ersten Zeile werden alle verwalteten Richtlinien, die der Rolle zugeordnet sind, als Sammlung abgerufen und anschließend jede Richtlinie in der Sammlung von der Rolle getrennt. In der zweiten Zeile wird die Rolle selbst gelöscht. Inline-Richtlinien werden zusammen mit der Rolle gelöscht.

Get-IAMAttachedRolePolicyList -RoleName MyNewRole | Unregister-IAMRolePolicy -RoleName MyNewRole
Remove-IAMRole -RoleName MyNewRole

Beispiel 1: In diesem Beispiel wird die angegebene Rolle MyNewRole aus dem genannten EC2 Instanzprofil gelöscht. MyNewRole Ein Instanzprofil, das in der IAM Konsole erstellt wird, hat immer denselben Namen wie die Rolle, wie in diesem Beispiel. Wenn Sie sie im API oder erstellenCLI, können sie unterschiedliche Namen haben.

Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyNewRole -RoleName MyNewRole -Force

Beispiel 1: Dieses Beispiel zeigt, wie die einer IAM Rolle zugeordnete Berechtigungsgrenze entfernt wird.

Remove-IAMRolePermissionsBoundary -RoleName MyRoleName

Beispiel 1: In diesem Beispiel wird die Inline-Richtlinie gelöschtS3AccessPolicy, die in die IAM Rolle S3BackupRole eingebettet ist.

Remove-IAMRolePolicy -PolicyName S3AccessPolicy -RoleName S3BackupRole

Beispiel 1: In diesem Beispiel wird das Tag aus der Rolle mit dem Namen "MyRoleName" mit dem Tag-Schlüssel „abac“ entfernt. Um mehrere Tags zu entfernen, stellen Sie eine durch Kommas getrennte Tag-Schlüsselliste bereit.

Remove-IAMRoleTag -RoleName MyRoleName -TagKey "abac","xyzw"

Beispiel 1: In diesem Beispiel wird der IAM SAML 2.0-Anbieter gelöscht, dessen ARN istarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

Remove-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Beispiel 1: In diesem Beispiel wird das Serverzertifikat mit dem Namen MyServerCert gelöscht.

Remove-IAMServerCertificate -ServerCertificateName MyServerCert

Beispiel 1: In diesem Beispiel wurde die mit dem Dienst verknüpfte Rolle gelöscht. Bitte beachten Sie, dass dieser Befehl zu einem Fehler führt, wenn der Dienst diese Rolle immer noch verwendet.

Remove-IAMServiceLinkedRole -RoleName AWSServiceRoleForAutoScaling_RoleNameEndsWithThis

Beispiel 1: In diesem Beispiel wird das Signaturzertifikat mit der ID des Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU angegebenen IAM Benutzers gelöscht. Bob

Remove-IAMSigningCertificate -UserName Bob -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU

Beispiel 1: In diesem Beispiel wird der IAM Benutzer mit dem Namen Bob gelöscht.

Remove-IAMUser -UserName Bob

Beispiel 2: In diesem Beispiel wird der angegebene IAM Benutzer Theresa zusammen mit allen Elementen gelöscht, die zuerst gelöscht werden müssen.

$name = "Theresa"

# find any groups and remove user from them
$groups = Get-IAMGroupForUser -UserName $name
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName $name -Force }

# find any inline policies and delete them
$inlinepols = Get-IAMUserPolicies -UserName $name
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName $name -Force}

# find any managed polices and detach them
$managedpols = Get-IAMAttachedUserPolicies -UserName $name
foreach ($pol in $managedpols) { Unregister-IAMUserPolicy -PolicyArn $pol.PolicyArn -UserName $name }

# find any signing certificates and delete them
$certs = Get-IAMSigningCertificate -UserName $name
foreach ($cert in $certs) { Remove-IAMSigningCertificate -CertificateId $cert.CertificateId -UserName $name -Force }

# find any access keys and delete them
$keys = Get-IAMAccessKey -UserName $name
foreach ($key in $keys) { Remove-IAMAccessKey -AccessKeyId $key.AccessKeyId -UserName $name -Force }

# delete the user's login profile, if one exists - note: need to use try/catch to suppress not found error
try { $prof = Get-IAMLoginProfile -UserName $name -ea 0 } catch { out-null }
if ($prof) { Remove-IAMLoginProfile -UserName $name -Force }

# find any MFA device, detach it, and if virtual, delete it.
$mfa = Get-IAMMFADevice -UserName $name
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

# finally, remove the user
Remove-IAMUser -UserName $name -Force

Beispiel 1: In diesem Beispiel wird der IAM Benutzer Bob aus der Gruppe entferntTesters.

Remove-IAMUserFromGroup -GroupName Testers -UserName Bob

Beispiel 2: In diesem Beispiel werden alle Gruppen gefunden, deren Mitglied der IAM Benutzer Theresa ist, und entfernt sie dann Theresa aus diesen Gruppen.

$groups = Get-IAMGroupForUser -UserName Theresa 
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName Theresa -Force }

Beispiel 3: Dieses Beispiel zeigt eine alternative Möglichkeit, den IAM Benutzer Bob aus der Testers Gruppe zu entfernen.

Get-IAMGroupForUser -UserName Bob | Remove-IAMUserFromGroup -UserName Bob -GroupName Testers -Force

Beispiel 1: Dieses Beispiel zeigt, wie die einem IAM Benutzer zugeordnete Berechtigungsgrenze entfernt wird.

Remove-IAMUserPermissionsBoundary -UserName joe

Beispiel 1: In diesem Beispiel wird die angegebene Inline-Richtlinie gelöschtAccessToEC2Policy, die in den IAM Benutzer mit dem Namen Bob eingebettet ist.

Remove-IAMUserPolicy -PolicyName AccessToEC2Policy -UserName Bob

Beispiel 2: In diesem Beispiel werden alle Inline-Richtlinien gefunden, die in den IAM Benutzernamen eingebettet sind, Theresa und sie anschließend gelöscht.

$inlinepols = Get-IAMUserPolicies -UserName Theresa
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName Theresa -Force}

Beispiel 1: In diesem Beispiel wird das Tag vom Benutzer mit dem Namen „joe“ und dem Tag-Schlüssel „abac“ und „xyzw“ entfernt. Um mehrere Tags zu entfernen, geben Sie eine durch Kommas getrennte Liste der Tag-Schlüssel an.

Remove-IAMUserTag -UserName joe -TagKey "abac","xyzw"

Beispiel 1: In diesem Beispiel wird das IAM virtuelle MFA Gerät gelöscht, dessen ARN istarn:aws:iam::123456789012:mfa/bob.

Remove-IAMVirtualMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/bob

Beispiel 2: In diesem Beispiel wird geprüft, ob dem IAM Benutzer Theresa ein MFA Gerät zugewiesen wurde. Wenn eines gefunden wird, ist das Gerät für den IAM Benutzer deaktiviert. Wenn das Gerät virtuell ist, wird es ebenfalls gelöscht.

$mfa = Get-IAMMFADevice -UserName Theresa
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

Beispiel 1: In diesem Beispiel wird die Generierung eines neuen Berichts angefordert, was alle vier Stunden erfolgen kann. Wenn der letzte Bericht noch aktuell ist, lautet das Feld BundeslandCOMPLETE. Get-IAMCredentialReportDient zum Anzeigen des abgeschlossenen Berichts.

Request-IAMCredentialReport

Ausgabe:

Description                                                    State
-----------                                                    -----
No report exists. Starting a new report generation task        STARTED

Beispiel 1: Dieses Beispiel entspricht dem Cmdlet von. GenerateServiceLastAccessedDetails API Es liefert eine Job-ID, die in Get- IAMServiceLastAccessedDetail und Get- verwendet werden kann IAMServiceLastAccessedDetailWithEntity

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

Beispiel 1: In diesem Beispiel wird die v2 Version der Richtlinie festgelegt, bei der ARN es arn:aws:iam::123456789012:policy/MyPolicy sich um die aktive Standardversion handelt.

Set-IAMDefaultPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -VersionId v2

Beispiel 1: Dieses Beispiel zeigt, wie die Berechtigungsgrenze für eine IAM Rolle festgelegt wird. Sie können AWS verwaltete Richtlinien oder benutzerdefinierte Richtlinien als Berechtigungsgrenze festlegen.

Set-IAMRolePermissionsBoundary -RoleName MyRoleName -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

Beispiel 1: Dieses Beispiel zeigt, wie die Berechtigungsgrenze für den Benutzer festgelegt wird. Sie können AWS verwaltete Richtlinien oder benutzerdefinierte Richtlinien als Berechtigungsgrenze festlegen.

Set-IAMUserPermissionsBoundary -UserName joe -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

Beispiel 1: In diesem Beispiel wird das MFA Gerät synchronisiert, das dem IAM Benutzer zugeordnet ist Bob und dessen Gerät arn:aws:iam::123456789012:mfa/bob mit einem Authentifizierungsprogramm betrieben ARN wird, das die beiden Authentifizierungscodes bereitgestellt hat.

Sync-IAMMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/theresa -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Bob

Beispiel 2: In diesem Beispiel wird das IAM MFA Gerät, das dem IAM Benutzer zugeordnet ist, Theresa mit einem physischen Gerät synchronisiert, das über die Seriennummer verfügt ABCD12345678 und das die beiden Authentifizierungscodes bereitgestellt hat.

Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Theresa

Beispiel 1: In diesem Beispiel wird die verwaltete Gruppenrichtlinie, deren Name ARN ist, arn:aws:iam::123456789012:policy/TesterAccessPolicy von der Gruppe mit dem Namen Testers getrennt.

Unregister-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Beispiel 2: In diesem Beispiel werden alle verwalteten Richtlinien gefunden, die der genannten Gruppe zugeordnet sind, Testers und sie werden von der Gruppe getrennt.

Get-IAMAttachedGroupPolicies -GroupName Testers | Unregister-IAMGroupPolicy -Groupname Testers

Beispiel 1: In diesem Beispiel wird die verwaltete Gruppenrichtlinie, deren Name ARN lautet, arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy von der genannten FedTesterRole Rolle getrennt.

Unregister-IAMRolePolicy -RoleName FedTesterRole -PolicyArn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Beispiel 2: In diesem Beispiel werden alle verwalteten Richtlinien gefunden, die der genannten Rolle zugeordnet sind, FedTesterRole und sie werden von der Rolle getrennt.

Get-IAMAttachedRolePolicyList -RoleName FedTesterRole | Unregister-IAMRolePolicy -Rolename FedTesterRole

Beispiel 1: In diesem Beispiel wird die verwaltete Richtlinie, deren Name Bob dem IAM Benutzer arn:aws:iam::123456789012:policy/TesterPolicy zugewiesen ARN ist, getrennt.

Unregister-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

Beispiel 2: In diesem Beispiel werden alle verwalteten Richtlinien gefunden, die dem genannten IAM Benutzer zugeordnet sind, Theresa und diese Richtlinien werden vom Benutzer getrennt.

Get-IAMAttachedUserPolicyList -UserName Theresa | Unregister-IAMUserPolicy -Username Theresa

Beispiel 1: In diesem Beispiel wird der Status des Zugriffsschlüssels AKIAIOSFODNN7EXAMPLE für den IAM Benutzer mit dem Namen Bob to geändertInactive.

Update-IAMAccessKey -UserName Bob -AccessKeyId AKIAIOSFODNN7EXAMPLE -Status Inactive

Beispiel 1: In diesem Beispiel wird die Kennwortrichtlinie für das Konto mit den angegebenen Einstellungen aktualisiert. Beachten Sie, dass alle Parameter, die nicht im Befehl enthalten sind, nicht unverändert bleiben. Stattdessen werden sie auf die Standardwerte zurückgesetzt.

Update-IAMAccountPasswordPolicy -AllowUsersToChangePasswords $true -HardExpiry $false -MaxPasswordAge 90 -MinimumPasswordLength 8 -PasswordReusePrevention 20 -RequireLowercaseCharacters $true -RequireNumbers $true -RequireSymbols $true -RequireUppercaseCharacters $true

Beispiel 1: In diesem Beispiel wird die benannte IAM Rolle ClientRole mit einer neuen Vertrauensrichtlinie aktualisiert, deren Inhalt aus der Datei stammtClientRolePolicy.json. Beachten Sie, dass Sie den -Raw Switch-Parameter verwenden müssen, um den Inhalt der JSON Datei erfolgreich zu verarbeiten.

Update-IAMAssumeRolePolicy -RoleName ClientRole -PolicyDocument (Get-Content -raw ClientRolePolicy.json)

Beispiel 1: In diesem Beispiel wird die IAM Gruppe umbenannt Testers inAppTesters.

Update-IAMGroup -GroupName Testers -NewGroupName AppTesters

Beispiel 2: In diesem Beispiel wird der Pfad der IAM Gruppe AppTesters in geändert. /Org1/Org2/ Dadurch wird der ARN für die Gruppe zu geändertarn:aws:iam::123456789012:group/Org1/Org2/AppTesters.

Update-IAMGroup -GroupName AppTesters -NewPath /Org1/Org2/

Beispiel 1: In diesem Beispiel wird ein neues temporäres Passwort für den IAM Benutzer festgelegt und der Benutzer muss das Passwort ändernBob, wenn er sich das nächste Mal anmeldet.

Update-IAMLoginProfile -UserName Bob -Password "P@ssw0rd1234" -PasswordResetRequired $true

Beispiel 1: In diesem Beispiel wird die Liste der Fingerabdrücke des Zertifikats für den OIDC Anbieter aktualisiert, der einen neuen Fingerabdruck verwenden ARN arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com soll. Der OIDC Anbieter teilt den neuen Wert, wenn sich das Zertifikat, das dem Anbieter zugeordnet ist, ändert.

Update-IAMOpenIDConnectProviderThumbprint -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com -ThumbprintList 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Beispiel 1: In diesem Beispiel werden die Rollenbeschreibung und der Wert für die maximale Sitzungsdauer (in Sekunden) aktualisiert, für den eine Rollensitzung angefordert werden kann.

Update-IAMRole -RoleName MyRoleName -Description "My testing role" -MaxSessionDuration 43200

Beispiel 1: In diesem Beispiel wird die Beschreibung einer IAM Rolle in Ihrem Konto aktualisiert.

Update-IAMRoleDescription -RoleName MyRoleName -Description "My testing role"

Beispiel 1: In diesem Beispiel wird der SAML AnbieterIAM, in dem sich ARN befindet, arn:aws:iam::123456789012:saml-provider/SAMLADFS mit einem neuen SAML Metadatendokument aus der Datei aktualisiertSAMLMetaData.xml. Beachten Sie, dass Sie den -Raw Switch-Parameter verwenden müssen, um den Inhalt der JSON Datei erfolgreich zu verarbeiten.

Update-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

Beispiel 1: In diesem Beispiel wird das Zertifikat mit dem Namen to umbenanntMyServerCertificate. MyRenamedServerCertificate

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewServerCertificateName MyRenamedServerCertificate

Beispiel 2: In diesem Beispiel wird das Zertifikat mit dem Namen MyServerCertificate path /Org1/Org 2/ verschoben. Dadurch wird der Wert ARN für die Ressource auf arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate geändert.

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewPath /Org1/Org2/

Beispiel 1: In diesem Beispiel wird das Zertifikat aktualisiert, das dem genannten IAM Benutzer zugeordnet ist Bob und dessen Zertifikat-ID es als inaktiv kennzeichnet. Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU

Update-IAMSigningCertificate -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU -UserName Bob -Status Inactive

Beispiel 1: In diesem Beispiel wird der IAM Benutzer Bob in umbenannt. Robert

Update-IAMUser -UserName Bob -NewUserName Robert

Beispiel 2: In diesem Beispiel wird der Pfad des IAM Benutzers Bob zu geändert/Org1/Org2/, wodurch sich auch der Pfad ARN für den arn:aws:iam::123456789012:user/Org1/Org2/bob Benutzer ändert.

Update-IAMUser -UserName Bob -NewPath /Org1/Org2/

Beispiel 1: In diesem Beispiel wird eine Inline-Richtlinie mit dem Namen erstellt AppTesterPolicy und in die IAM Gruppe AppTesters eingebettet. Wenn bereits eine Inline-Richtlinie mit demselben Namen existiert, wird sie überschrieben. Der Inhalt der JSON Richtlinie wird in der Datei apptesterpolicy.json gespeichert. Beachten Sie, dass Sie den -Raw Parameter verwenden müssen, um den Inhalt der JSON Datei erfolgreich zu verarbeiten.

Write-IAMGroupPolicy -GroupName AppTesters -PolicyName AppTesterPolicy -PolicyDocument (Get-Content -Raw apptesterpolicy.json)

Beispiel 1: In diesem Beispiel wird eine Inline-Richtlinie mit dem Namen erstellt FedTesterRolePolicy und in die IAM Rolle FedTesterRole eingebettet. Wenn bereits eine Inline-Richtlinie mit demselben Namen existiert, wird sie überschrieben. Der JSON Richtlinieninhalt stammt aus der DateiFedTesterPolicy.json. Beachten Sie, dass Sie den -Raw Parameter verwenden müssen, um den Inhalt der JSON Datei erfolgreich zu verarbeiten.

Write-IAMRolePolicy -RoleName FedTesterRole -PolicyName FedTesterRolePolicy -PolicyDocument (Get-Content -Raw FedTesterPolicy.json)

Beispiel 1: In diesem Beispiel wird eine Inline-Richtlinie mit dem Namen erstellt EC2AccessPolicy und in den IAM Benutzer Bob eingebettet. Wenn bereits eine Inline-Richtlinie mit demselben Namen existiert, wird sie überschrieben. Der JSON Richtlinieninhalt stammt aus der DateiEC2AccessPolicy.json. Beachten Sie, dass Sie den -Raw Parameter verwenden müssen, um den Inhalt der JSON Datei erfolgreich zu verarbeiten.

Write-IAMUserPolicy -UserName Bob -PolicyName EC2AccessPolicy -PolicyDocument (Get-Content -Raw EC2AccessPolicy.json)