IAMUtilizándolo en el AWS CLI - AWS Command Line Interface
Creación de usuarios y grupos de IAMAdjuntar una política IAM gestionada a un usuarioEstablecer una contraseña inicial para un IAM usuarioCrear una clave de acceso para un IAM usuario

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAMUtilizándolo en el AWS CLI

Una introducción a AWS Identity and Access Management

Puede acceder a las funciones de AWS Identity and Access Management (IAM) mediante AWS Command Line Interface (AWS CLI). Para ver una lista de los AWS CLI comandosIAM, utilice el siguiente comando.

aws iam help

En este tema se muestran ejemplos de AWS CLI comandos que realizan tareas comunes paraIAM.

Antes de ejecutar los comandos, defina sus credenciales predeterminadas. Para obtener más información, consulte Configuración de los ajustes para AWS CLI.

Para obtener más información sobre el IAM servicio, consulte la Guía del AWS Identity and Access Management usuario.

Creación de usuarios y grupos de IAM

Para crear un grupo y añadirle un usuario

  1. Utilice el comando create-group para crear el grupo.

    $ aws iam create-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52.834Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    }
}

  2. ‎Use el comando create-user para crear el usuario.

    $ aws iam create-user --user-name MyUser
{
    "User": {
        "UserName": "MyUser",
        "Path": "/",
        "CreateDate": "2018-12-14T03:13:02.581Z",
        "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/MyUser"
    }
}

  3. Use el comando add-user-to-group para agregar el usuario al grupo.

    $ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup

  4. Para verificar que el grupo MyIamGroup contiene MyUser, use el comando get-group.

    $ aws iam get-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    },
    "Users": [
        {
            "UserName": "MyUser",
            "Path": "/",
            "CreateDate": "2018-12-14T03:13:02Z",
            "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/MyUser"
        }
    ],
    "IsTruncated": "false"
}

Adjuntar una política IAM gestionada a un usuario

La política de este ejemplo ofrece al usuario "Power User Access" (acceso avanzado).

Para adjuntar una política IAM administrada a un usuario

  1. Determine el nombre del recurso de Amazon (ARN) de la política que se va a adjuntar. El siguiente comando list-policies se utiliza para buscar ARN la política con ese nombrePowerUserAccess. Luego lo almacena ARN en una variable de entorno.

    $ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text)       ~
$ echo $POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess

  2. Para adjuntar la política, utilice el comando y haga referencia a la variable de entorno que contiene la políticaARN.

    $ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN

  3. Verifique que la política se ha adjuntado al usuario ejecutando el comando ‎list-attached-user-policies.

    $ aws iam list-attached-user-policies --user-name MyUser
{
    "AttachedPolicies": [
        {
            "PolicyName": "PowerUserAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
        }
    ]
}

Para obtener más información, consulte Recursos de administración de acceso. En este tema se proporcionan enlaces a una descripción general de los permisos y las políticas, y enlaces a ejemplos de políticas para acceder a Amazon S3EC2, Amazon y otros servicios.

Establecer una contraseña inicial para un IAM usuario

El comando siguiente utiliza create-login-profile para configurar una contraseña inicial en el usuario especificado. Cuando el usuario inicia sesión por primera vez, se le solicitará que cambie la contraseña y elija una que solo él conozca.

$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required
{
    "LoginProfile": {
        "UserName": "MyUser",
        "CreateDate": "2018-12-14T17:27:18Z",
        "PasswordResetRequired": true
    }
}

Puede usar el comando update-login-profile para cambiar la contraseña de un usuario.

$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword

Crear una clave de acceso para un IAM usuario

Puede utilizar el comando create-access-key para crear una clave de acceso para un usuario. Una clave de acceso es un conjunto de credenciales de seguridad que se compone de un ID de clave de acceso y una clave secreta.

Un usuario solo puede crear dos claves de acceso al mismo tiempo. Si intenta crear un tercer conjunto, el comando devuelve un error LimitExceeded.

$ aws iam create-access-key --user-name MyUser
{
    "AccessKey": {
        "UserName": "MyUser",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "Status": "Active",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "CreateDate": "2018-12-14T17:34:16Z"
    }
}

Utilice el comando delete-access-key para eliminar una clave de acceso para un usuario. Especifique la clave de acceso que quiera eliminar mediante el ID de clave de acceso.

$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE