Uso de IAM en la AWS CLI - AWS Command Line Interface

Uso de IAM en la AWS CLI

Introducción a AWS Identity and Access Management

Puede obtener acceso a las características de AWS Identity and Access Management (IAM) con la AWS Command Line Interface (AWS CLI). Para mostrar los comandos de la AWS CLI para IAM, utilice el siguiente comando.

aws iam help

En este tema se muestran ejemplos de comandos de la AWS CLI que realizan tareas comunes para IAM.

Antes de ejecutar los comandos, defina sus credenciales predeterminadas. Para obtener más información, consulte Configuración de los ajustes de AWS CLI.

Para obtener más información sobre el servicio IAM, consulte la Guía del usuario de AWS Identity and Access Management.

Creación de un grupo y usuarios de IAM

Para crear un grupo y añadirle un usuario
  1. Utilice el comando create-group para crear el grupo.

    $ aws iam create-group --group-name MyIamGroup { "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52.834Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" } }
  2. ‎Use el comando create-user para crear el usuario.

    $ aws iam create-user --user-name MyUser { "User": { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02.581Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } }
  3. Use el comando add-user-to-group para agregar el usuario al grupo.

    $ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup
  4. Para verificar que el grupo MyIamGroup contiene MyUser, use el comando get-group.

    $ aws iam get-group --group-name MyIamGroup { "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" }, "Users": [ { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } ], "IsTruncated": "false" }

Asociación de una política administrada de IAM a un usuario

La política de este ejemplo ofrece al usuario "Power User Access" (acceso avanzado).

Para asociar una política administrada de IAM a un usuario
  1. Determine el nombre de recurso de Amazon (ARN) de la política que desea asociar. El siguiente comando usa list-policies para buscar el ARN de la política con el nombre PowerUserAccess. A continuación, almacena dicho ARN en una variable de entorno.

    $ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text) ~ $ echo $POLICYARN arn:aws:iam::aws:policy/PowerUserAccess
  2. Para adjuntar ‎la política, utilice el comando attach-user-policy y haga referencia a la variable de entorno que contiene el ARN de política.

    $ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN
  3. Verifique que la política se ha adjuntado al usuario ejecutando el comando ‎list-attached-user-policies.

    $ aws iam list-attached-user-policies --user-name MyUser { "AttachedPolicies": [ { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" } ] }

Para obtener más información, consulte Recursos de administración de acceso. Este tema incluye vínculos a información general sobre permisos y políticas, además de vínculos a ejemplos de políticas para obtener acceso a Amazon S3, Amazon EC2 y otros servicios.

Cómo establecer una contraseña inicial para un usuario de IAM

El comando siguiente utiliza create-login-profile para configurar una contraseña inicial en el usuario especificado. Cuando el usuario inicia sesión por primera vez, se le solicitará que cambie la contraseña y elija una que solo él conozca.

$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required { "LoginProfile": { "UserName": "MyUser", "CreateDate": "2018-12-14T17:27:18Z", "PasswordResetRequired": true } }

Puede usar el comando update-login-profile para cambiar la contraseña de un usuario.

$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword

Creación de una clave de acceso para un usuario de IAM

Puede utilizar el comando create-access-key para crear una clave de acceso para un usuario. Una clave de acceso es un conjunto de credenciales de seguridad que se compone de un ID de clave de acceso y una clave secreta.

Un usuario solo puede crear dos claves de acceso al mismo tiempo. Si intenta crear un tercer conjunto, el comando devuelve un error LimitExceeded.

$ aws iam create-access-key --user-name MyUser { "AccessKey": { "UserName": "MyUser", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE", "Status": "Active", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "CreateDate": "2018-12-14T17:34:16Z" } }

Utilice el comando delete-access-key para eliminar una clave de acceso para un usuario. Especifique la clave de acceso que quiera eliminar mediante el ID de clave de acceso.

$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE