Uso de IAM en la AWS CLI
Introducción a AWS Identity and Access Management |
---|
|
Puede obtener acceso a las características de AWS Identity and Access Management (IAM) con la AWS Command Line Interface (AWS CLI). Para mostrar los comandos de la AWS CLI para IAM, utilice el siguiente comando.
aws iam help
En este tema se muestran ejemplos de comandos de la AWS CLI que realizan tareas comunes para IAM.
Antes de ejecutar los comandos, defina sus credenciales predeterminadas. Para obtener más información, consulte Configuración de los ajustes de AWS CLI.
Para obtener más información sobre el servicio IAM, consulte la Guía del usuario de AWS Identity and Access Management.
Temas
Creación de un grupo y usuarios de IAM
Para crear un grupo y añadirle un usuario
-
Utilice el comando
create-group
para crear el grupo. $
aws iam create-group --group-name
MyIamGroup
{ "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52.834Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/
MyIamGroup
", "Path": "/" } } -
Use el comando
create-user
para crear el usuario. $
aws iam create-user --user-name
MyUser
{ "User": { "UserName": "
MyUser
", "Path": "/", "CreateDate": "2018-12-14T03:13:02.581Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser
" } } -
Use el comando
add-user-to-group
para agregar el usuario al grupo. $
aws iam add-user-to-group --user-name
MyUser
--group-nameMyIamGroup
-
Para verificar que el grupo
MyIamGroup
contieneMyUser
, use el comandoget-group
. $
aws iam get-group --group-name
MyIamGroup
{ "Group": { "GroupName": "
MyIamGroup
", "CreateDate": "2018-12-14T03:03:52Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup
", "Path": "/" }, "Users": [ { "UserName": "MyUser
", "Path": "/", "CreateDate": "2018-12-14T03:13:02Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser
" } ], "IsTruncated": "false" }
Asociación de una política administrada de IAM a un usuario
La política de este ejemplo ofrece al usuario "Power User Access" (acceso avanzado).
Para asociar una política administrada de IAM a un usuario
-
Determine el nombre de recurso de Amazon (ARN) de la política que desea asociar. El siguiente comando usa
list-policies
para buscar el ARN de la política con el nombrePowerUserAccess
. A continuación, almacena dicho ARN en una variable de entorno.$
export
POLICYARN
=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text) ~$
echo $
POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess
-
Para adjuntar la política, utilice el comando
attach-user-policy
y haga referencia a la variable de entorno que contiene el ARN de política. $
aws iam attach-user-policy --user-name
MyUser
--policy-arn $POLICYARN
-
Verifique que la política se ha adjuntado al usuario ejecutando el comando
list-attached-user-policies
. $
aws iam list-attached-user-policies --user-name
MyUser
{ "AttachedPolicies": [ { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" } ] }
Para obtener más información, consulte Recursos de administración de acceso. Este tema incluye vínculos a información general sobre permisos y políticas, además de vínculos a ejemplos de políticas para obtener acceso a Amazon S3, Amazon EC2 y otros servicios.
Cómo establecer una contraseña inicial para un usuario de IAM
El comando siguiente utiliza create-login-profile
para configurar una contraseña inicial en el usuario especificado. Cuando el usuario inicia sesión por primera vez, se le solicitará que cambie la contraseña y elija una que solo él conozca.
$
aws iam create-login-profile --user-name
MyUser
--passwordMy!User1Login8P@ssword
--password-reset-required{ "LoginProfile": { "UserName": "
MyUser
", "CreateDate": "2018-12-14T17:27:18Z", "PasswordResetRequired": true } }
Puede usar el comando update-login-profile
para cambiar la contraseña de un usuario.
$
aws iam update-login-profile --user-name
MyUser
--passwordMy!User1ADifferentP@ssword
Creación de una clave de acceso para un usuario de IAM
Puede utilizar el comando create-access-key
Un usuario solo puede crear dos claves de acceso al mismo tiempo. Si intenta crear un tercer conjunto, el comando devuelve un error LimitExceeded
.
$
aws iam create-access-key --user-name
MyUser
{ "AccessKey": { "UserName": "
MyUser
", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE", "Status": "Active", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "CreateDate": "2018-12-14T17:34:16Z" } }
Utilice el comando delete-access-key
$
aws iam delete-access-key --user-name
MyUser
--access-key-id AKIAIOSFODNN7EXAMPLE