Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
IAMejemplos que utilizan AWS CLI
Los siguientes ejemplos de código muestran cómo realizar acciones e implementar escenarios comunes mediante el uso del AWS Command Line Interface withIAM.
Las acciones son extractos de código de programas más grandes y deben ejecutarse en contexto. Mientras las acciones muestran cómo llamar a las funciones de servicio individuales, es posible ver las acciones en contexto en los escenarios relacionados.
Cada ejemplo incluye un enlace al código fuente completo, donde puede encontrar instrucciones sobre cómo configurar y ejecutar el código en su contexto.
Temas
Acciones
El siguiente ejemplo de código muestra cómo usarloadd-client-id-to-open-id-connect-provider
.
- AWS CLI
-
Para añadir un ID de cliente (audiencia) a un proveedor de Open-ID Connect (OIDC)
El siguiente
add-client-id-to-open-id-connect-provider
comando agrega el ID de clientemy-application-ID
al OIDC proveedor nombradoserver.example.com
.aws iam add-client-id-to-open-id-connect-provider \ --client-id
my-application-ID
\ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/server.example.com
Este comando no genera ninguna salida.
Para crear un OIDC proveedor, utilice el
create-open-id-connect-provider
comando.Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte AddClientIdToOpenIdConnectProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloadd-role-to-instance-profile
.
- AWS CLI
-
Cómo añadir un rol a un perfil de instancia
El siguiente comando
add-role-to-instance-profile
agrega el rol nombradoS3Access
al perfil de instancia llamadoWebserver
.aws iam add-role-to-instance-profile \ --role-name
S3Access
\ --instance-profile-nameWebserver
Este comando no genera ninguna salida.
Para crear un perfil de instancia, utilice el comando
create-instance-profile
.Para obtener más información, consulte Uso de un IAM rol para conceder permisos a aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte AddRoleToInstanceProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloadd-user-to-group
.
- AWS CLI
-
Para añadir un usuario a un IAM grupo
El siguiente
add-user-to-group
comando agrega un IAM usuario nombradoBob
al IAM grupo denominadoAdmins
.aws iam add-user-to-group \ --user-name
Bob
\ --group-nameAdmins
Este comando no genera ninguna salida.
Para obtener más información, consulte Añadir y eliminar usuarios de un grupo IAM de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte AddUserToGroup
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloattach-group-policy
.
- AWS CLI
-
Para adjuntar una política gestionada a un IAM grupo
El siguiente
attach-group-policy
comando adjunta la política AWS administrada nombradaReadOnlyAccess
al IAM grupo denominadoFinance
.aws iam attach-group-policy \ --policy-arn
arn:aws:iam::aws:policy/ReadOnlyAccess
\ --group-nameFinance
Este comando no genera ninguna salida.
Para obtener más información, consulte Políticas administradas y políticas integradas en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte AttachGroupPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloattach-role-policy
.
- AWS CLI
-
Para adjuntar una política gestionada a un IAM rol
El siguiente
attach-role-policy
comando adjunta la política AWS administrada nombradaReadOnlyAccess
al IAM rol nombradoReadOnlyRole
.aws iam attach-role-policy \ --policy-arn
arn:aws:iam::aws:policy/ReadOnlyAccess
\ --role-nameReadOnlyRole
Este comando no genera ninguna salida.
Para obtener más información, consulte Políticas administradas y políticas integradas en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte AttachRolePolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloattach-user-policy
.
- AWS CLI
-
Para adjuntar una política gestionada a un IAM usuario
El siguiente
attach-user-policy
comando adjunta la política AWS administrada nombradaAdministratorAccess
al IAM usuario nombradoAlice
.aws iam attach-user-policy \ --policy-arn
arn:aws:iam::aws:policy/AdministratorAccess
\ --user-nameAlice
Este comando no genera ninguna salida.
Para obtener más información, consulte Políticas administradas y políticas integradas en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte AttachUserPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlochange-password
.
- AWS CLI
-
Para cambiar la contraseña de su IAM usuario
Para cambiar la contraseña de su IAM usuario, le recomendamos que utilice el
--cli-input-json
parámetro para pasar un JSON archivo que contenga las contraseñas antiguas y nuevas. Con este método, puede utilizar contraseñas seguras con caracteres no alfanuméricos. Puede resultar difícil utilizar contraseñas con caracteres no alfanuméricos al pasarlas como parámetros de la línea de comandos. Para usar el parámetro--cli-input-json
, comience por usar el comandochange-password
con el parámetro--generate-cli-skeleton
, como en el siguiente ejemplo.aws iam change-password \ --generate-cli-skeleton
>
change-password.json
El comando anterior crea un JSON archivo llamado change-password.json que puedes usar para rellenar tus contraseñas antiguas y nuevas. Por ejemplo, el rol podría tener el siguiente aspecto.
{ "OldPassword": "3s0K_;xh4~8XXI", "NewPassword": "]35d/{pB9Fo9wJ" }
A continuación, para cambiar la contraseña, vuelva a utilizar el
change-password
comando, esta vez pasando el--cli-input-json
parámetro para especificar el archivo. JSON Elchange-password
comando siguiente usa el--cli-input-json
parámetro con un JSON archivo llamado change-password.json.aws iam change-password \ --cli-input-json
file://change-password.json
Este comando no genera ninguna salida.
Solo los usuarios pueden llamar a este comando. IAM Si se llama a este comando con las credenciales de la AWS cuenta (root), el comando devuelve un
InvalidUserType
error.Para obtener más información, consulte Cómo un IAM usuario cambia su propia contraseña en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ChangePassword
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-access-key
.
- AWS CLI
-
Para crear una clave de acceso para un IAM usuario
El siguiente
create-access-key
comando crea una clave de acceso (identificador de clave de acceso y clave de acceso secreta) para el IAM usuario nombradoBob
.aws iam create-access-key \ --user-name
Bob
Salida:
{ "AccessKey": { "UserName": "Bob", "Status": "Active", "CreateDate": "2015-03-09T18:39:23.411Z", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" } }
Almacene la clave de acceso secreta en un lugar seguro. Si se pierde, no se puede recuperar y debe crear una nueva clave de acceso.
Para obtener más información, consulte Administrar las claves de acceso de IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreateAccessKey
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-account-alias
.
- AWS CLI
-
Cómo crear un alias de una cuenta
El siguiente
create-account-alias
comando crea el aliasexamplecorp
de su AWS cuenta.aws iam create-account-alias \ --account-alias
examplecorp
Este comando no genera ninguna salida.
Para obtener más información, consulta el identificador de AWS cuenta y su alias en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreateAccountAlias
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-group
.
- AWS CLI
-
Para crear un IAM grupo
El siguiente
create-group
comando crea un IAM grupo denominadoAdmins
.aws iam create-group \ --group-name
Admins
Salida:
{ "Group": { "Path": "/", "CreateDate": "2015-03-09T20:30:24.940Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
Para obtener más información, consulte Creación IAM de grupos de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreateGroup
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-instance-profile
.
- AWS CLI
-
Cómo crear un perfil de instancia
El siguiente comando
create-instance-profile
crea un perfil de instancia denominadoWebserver
.aws iam create-instance-profile \ --instance-profile-name
Webserver
Salida:
{ "InstanceProfile": { "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE", "Roles": [], "CreateDate": "2015-03-09T20:33:19.626Z", "InstanceProfileName": "Webserver", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver" } }
Para añadir un rol a un perfil de instancia, utilice el comando
add-role-to-instance-profile
.Para obtener más información, consulte Uso de un IAM rol para conceder permisos a aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreateInstanceProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-login-profile
.
- AWS CLI
-
Para crear una contraseña para un IAM usuario
Para crear una contraseña para un IAM usuario, se recomienda utilizar el
--cli-input-json
parámetro para pasar un JSON archivo que contenga la contraseña. Con este método, puede crear una contraseña segura con caracteres no alfanuméricos. Puede resultar difícil crear una contraseña con caracteres no alfanuméricos si la pasa como parámetro de la línea de comandos.Para usar el parámetro
--cli-input-json
, comience por usar el comandocreate-login-profile
con el parámetro--generate-cli-skeleton
, como en el siguiente ejemplo.aws iam create-login-profile \ --generate-cli-skeleton
>
create-login-profile.json
El comando anterior crea un JSON archivo denominado create-login-profile .json que puede utilizar para rellenar la información de un
create-login-profile
comando posterior. Por ejemplo:{ "UserName": "Bob", "Password": "&1-3a6u:RA0djs", "PasswordResetRequired": true }
A continuación, para crear una contraseña para un IAM usuario, vuelva a utilizar el
create-login-profile
comando, esta vez pasando el--cli-input-json
parámetro para especificar el JSON archivo. Elcreate-login-profile
comando siguiente usa el--cli-input-json
parámetro con un JSON archivo denominado create-login-profile .json.aws iam create-login-profile \ --cli-input-json
file://create-login-profile.json
Salida:
{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2015-03-10T20:55:40.274Z", "PasswordResetRequired": true } }
Si la nueva contraseña infringe la política de contraseñas de la cuenta, el comando devuelve el error
PasswordPolicyViolation
.Para cambiar la contraseña de un usuario que ya posee una, utilice
update-login-profile
. Para establecer una política de contraseñas para la cuenta, utilice el comandoupdate-account-password-policy
.Si la política de contraseñas de la cuenta lo permite, IAM los usuarios pueden cambiar sus propias contraseñas mediante el
change-password
comando.Para obtener más información, consulte Administrar las contraseñas de IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreateLoginProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-open-id-connect-provider
.
- AWS CLI
-
Para crear un proveedor de OpenID Connect () OIDC
Para crear un proveedor de OpenID Connect (OIDC), se recomienda utilizar el
--cli-input-json
parámetro para pasar un JSON archivo que contenga los parámetros necesarios. Al crear un OIDC proveedor, debe pasar el URL del proveedor y el URL debe empezarhttps://
por. Puede resultar difícil pasarlo URL como parámetro de línea de comandos, ya que los dos puntos (:)) y la barra inclinada (/) tienen un significado especial en algunos entornos de línea de comandos. El uso del parámetro--cli-input-json
evita esta limitación.Para usar el parámetro
--cli-input-json
, comience por usar el comandocreate-open-id-connect-provider
con el parámetro--generate-cli-skeleton
, como en el siguiente ejemplo.aws iam create-open-id-connect-provider \ --generate-cli-skeleton
>
create-open-id-connect-provider.json
El comando anterior crea un JSON archivo denominado create-open-id-connect -provider.json que puede utilizar para rellenar la información de un comando posterior.
create-open-id-connect-provider
Por ejemplo:{ "Url": "https://server.example.com", "ClientIDList": [ "example-application-ID" ], "ThumbprintList": [ "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE" ] }
A continuación, para crear el proveedor OpenID Connect (OIDC), vuelva a utilizar el
create-open-id-connect-provider
comando, esta vez pasando el--cli-input-json
parámetro para especificar el archivoJSON. Elcreate-open-id-connect-provider
comando siguiente usa el--cli-input-json
parámetro con un JSON archivo llamado create-open-id-connect -provider.json.aws iam create-open-id-connect-provider \ --cli-input-json
file://create-open-id-connect-provider.json
Salida:
{ "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com" }
Para obtener más información sobre OIDC los proveedores, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.
Para obtener más información sobre la obtención de huellas digitales para un OIDC proveedor, consulte Obtención de la huella digital para un proveedor de identidades de OpenID Connect en la Guía del usuario.AWS IAM
-
Para API obtener más información, consulte la Referencia de CreateOpenIdConnectProvider
comandos AWS CLI .
-
El siguiente ejemplo de código muestra cómo usarlocreate-policy-version
.
- AWS CLI
-
Cómo crear una nueva versión de la política administrada
En este ejemplo, se crea una nueva
v2
versión de la IAM política cuyo ARN esarn:aws:iam::123456789012:policy/MyPolicy
y la convierte en la versión predeterminada.aws iam create-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --policy-documentfile://NewPolicyVersion.json
\ --set-as-defaultSalida:
{ "PolicyVersion": { "CreateDate": "2015-06-16T18:56:03.721Z", "VersionId": "v2", "IsDefaultVersion": true } }
Para obtener más información, consulte IAMlas políticas de control de versiones en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreatePolicyVersion
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-policy
.
- AWS CLI
-
Ejemplo 1: cómo crear una política administrada por el cliente
El siguiente comando crea una política administrada por el cliente denominada
my-policy
.aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy
El archivo
policy
es un JSON documento de la carpeta actual que concede acceso de solo lectura a lashared
carpeta de un bucket de Amazon S3 denominadomy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket/shared/*" ] } ] }
Salida:
{ "Policy": { "PolicyName": "my-policy", "CreateDate": "2015-06-01T19:31:18.620Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "ZXR6A36LTYANPAI7NJ5UV", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::0123456789012:policy/my-policy", "UpdateDate": "2015-06-01T19:31:18.620Z" } }
Para obtener más información sobre el uso de archivos como entrada para los parámetros de cadena, consulte Especificar los valores de los parámetros AWS CLI en la Guía del AWS CLI usuario.
Ejemplo 2: cómo crear una política administrada por el cliente con una descripción
El siguiente comando crea una política administrada por el cliente denominada
my-policy
con una descripción inmutable:aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy.json
\ --description"This policy grants access to all Put, Get, and List actions for my-bucket"
El archivo
policy.json
es un JSON documento de la carpeta actual que permite el acceso a todas las acciones Put, List y Get de un bucket de Amazon S3 denominadomy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }
Salida:
{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T22:38:47+00:00", "UpdateDate": "2023-05-24T22:38:47+00:00" } }
Para obtener más información sobre las políticas basadas en la identidad, consulte las políticas basadas en la identidad y las políticas basadas en recursos en la Guía del usuario.AWS IAM
Ejemplo 3: cómo crear una política administrada por el cliente con etiquetas
El siguiente comando crea una política administrada por el cliente denominada
my-policy
con etiquetas. En este ejemplo, se utiliza el indicador de--tags
parámetros con las siguientes etiquetas con formato:. JSON'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
Alternativamente, el indicador--tags
se puede usar con etiquetas en formato abreviado:'Key=Department,Value=Accounting Key=Location,Value=Seattle'
.aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy.json
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'El archivo
policy.json
es un JSON documento de la carpeta actual que permite el acceso a todas las acciones Put, List y Get de un bucket de Amazon S3 denominadomy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }
Salida:
{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::12345678012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T23:16:39+00:00", "UpdateDate": "2023-05-24T23:16:39+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, "Key": "Location", "Value": "Seattle" { ] } }
Para obtener más información sobre las políticas de etiquetado, consulte Etiquetar las políticas administradas por los clientes en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte la Referencia CreatePolicy
de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-role
.
- AWS CLI
-
Ejemplo 1: Para crear un IAM rol
El siguiente comando
create-role
crean un rol denominadoTest-Role
y le asocia una política de confianza.aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
Salida:
{ "Role": { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AKIAIOSFODNN7EXAMPLE", "CreateDate": "2013-06-07T20:43:32.821Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }
La política de confianza se define como un JSON documento del archivo test-role-trust-policy.json. (El nombre y la extensión del archivo no son significativos). La política de confianza debe especificar una entidad principal.
Utilice el comando
put-role-policy
para asociar una política de permisos a un rol.Para obtener más información, consulte Creación de funciones en la Guía del usuario. IAM AWS IAM
Ejemplo 2: Para crear un IAM rol con una duración de sesión máxima especificada
El siguiente comando
create-role
crea un rol denominadoTest-Role
y establece una duración máxima de sesión de 7200 segundos (2 horas).aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
\ --max-session-duration7200
Salida:
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:role/Test-Role", "CreateDate": "2023-05-24T23:50:25+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678012:root" }, "Action": "sts:AssumeRole" } ] } } }
Para obtener más información, consulte Modificación de la duración máxima de sesión de un rol (AWS API) en la Guía del AWS IAM usuario.
Ejemplo 3: Para crear un IAM rol con etiquetas
El siguiente comando crea un IAM rol
Test-Role
con etiquetas. En este ejemplo, se utiliza el indicador de--tags
parámetros con las siguientes etiquetas con JSON formato:.'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
Alternativamente, el indicador--tags
se puede usar con etiquetas en formato abreviado:'Key=Department,Value=Accounting Key=Location,Value=Seattle'
.aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'Salida:
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/Test-Role", "CreateDate": "2023-05-25T23:29:41+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }, "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }
Para obtener más información, consulte Etiquetado de IAM roles en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreateRole
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-saml-provider
.
- AWS CLI
-
Para crear un SAML proveedor
En este ejemplo se crea un nuevo SAML proveedor en IAM named
MySAMLProvider
. Se describe en el documento de SAML metadatos que se encuentra en el archivoSAMLMetaData.xml
.aws iam create-saml-provider \ --saml-metadata-document
file://SAMLMetaData.xml
\ --nameMySAMLProvider
Salida:
{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider" }
Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte C reateSAMLProvider
en la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlocreate-service-linked-role
.
- AWS CLI
-
Cómo crear un rol vinculado a un servicio
En el siguiente
create-service-linked-role
ejemplo, se crea un rol vinculado a un servicio para el AWS servicio especificado y se adjunta la descripción especificada.aws iam create-service-linked-role \ --aws-service-name
lex.amazonaws.com
\ --description"My service-linked role to support Lex"
Salida:
{ "Role": { "Path": "/aws-service-role/lex.amazonaws.com/", "RoleName": "AWSServiceRoleForLexBots", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots", "CreateDate": "2019-04-17T20:34:14+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "lex.amazonaws.com" ] } } ] } } }
Para obtener más información, consulte Uso de funciones vinculadas a servicios en la Guía del usuario.AWS IAM
-
Para API obtener más información, consulte la Referencia CreateServiceLinkedRole
de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-service-specific-credential
.
- AWS CLI
-
Cree un conjunto de credenciales específicas del servicio para un usuario
El siguiente
create-service-specific-credential
ejemplo crea un nombre de usuario y una contraseña que se pueden usar para acceder únicamente al servicio configurado.aws iam create-service-specific-credential \ --user-name
sofia
\ --service-namecodecommit.amazonaws.com
Salida:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.
-
Para API obtener más información, consulte CreateServiceSpecificCredential
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-user
.
- AWS CLI
-
Ejemplo 1: Para crear un IAM usuario
El siguiente
create-user
comando crea un IAM usuario con el nombreBob
de la cuenta actual.aws iam create-user \ --user-name
Bob
Salida:
{ "User": { "UserName": "Bob", "Path": "/", "CreateDate": "2023-06-08T03:20:41.270Z", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } }
Para obtener más información, consulte Crear un IAM usuario en su AWS cuenta en la Guía del AWS IAM usuario.
Ejemplo 2: Para crear un IAM usuario en una ruta específica
El siguiente
create-user
comando crea un IAM usuario con el nombreBob
de la ruta especificada.aws iam create-user \ --user-name
Bob
\ --path/division_abc/subdivision_xyz/
Salida:
{ "User": { "Path": "/division_abc/subdivision_xyz/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob", "CreateDate": "2023-05-24T18:20:17+00:00" } }
Para obtener más información, consulte los IAMidentificadores en la Guía del AWS IAM usuario.
Ejemplo 3: Crear un IAM usuario con etiquetas
El siguiente
create-user
comando crea un IAM usuario nombradoBob
con etiquetas. En este ejemplo, se utiliza el indicador de--tags
parámetros con las siguientes etiquetas con JSON formato:.'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
Alternativamente, el indicador--tags
se puede usar con etiquetas en formato abreviado:'Key=Department,Value=Accounting Key=Location,Value=Seattle'
.aws iam create-user \ --user-name
Bob
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'Salida:
{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-25T17:14:21+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }
Para obtener más información, consulte Etiquetado de IAM usuarios en la Guía del AWS IAM usuario.
Ejemplo 3: Para crear un IAM usuario con un límite de permisos establecido
El siguiente
create-user
comando crea un nombre IAM de usuarioBob
con el límite de permisos de AmazonS3FullAccess.aws iam create-user \ --user-name
Bob
\ --permissions-boundaryarn:aws:iam::aws:policy/AmazonS3FullAccess
Salida:
{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-24T17:50:53+00:00", "PermissionsBoundary": { "PermissionsBoundaryType": "Policy", "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" } } }
Para obtener más información, consulte los límites de los permisos para IAM las entidades en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreateUser
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-virtual-mfa-device
.
- AWS CLI
-
Para crear un MFA dispositivo virtual
En este ejemplo se crea un nuevo MFA dispositivo virtual llamado
BobsMFADevice
. Crea un archivo que contiene la información de arranque denominadaQRCode.png
y la coloca en el directorioC:/
. El método de arranque utilizado en este ejemplo esQRCodePNG
.aws iam create-virtual-mfa-device \ --virtual-mfa-device-name
BobsMFADevice
\ --outfileC:/QRCode.png
\ --bootstrap-methodQRCodePNG
Salida:
{ "VirtualMFADevice": { "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice" }
Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte CreateVirtualMfaDevice
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodeactivate-mfa-device
.
- AWS CLI
-
Para desactivar un dispositivo MFA
Este comando desactiva el MFA dispositivo virtual con el ARN
arn:aws:iam::210987654321:mfa/BobsMFADevice
que está asociado al usuario.Bob
aws iam deactivate-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
Este comando no genera ninguna salida.
Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte DeactivateMfaDevice
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodecode-authorization-message
.
- AWS CLI
-
Para decodificar un mensaje de error de autorización
En el siguiente
decode-authorization-message
ejemplo, se decodifica el mensaje devuelto por la EC2 consola al intentar lanzar una instancia sin los permisos necesarios.aws sts decode-authorization-message \ --encoded-message
lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk
El resultado tiene el formato de una cadena de JSON texto de una sola línea que se puede analizar con cualquier JSON procesador de texto.
{ "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}" }
Para obtener más información, consulta ¿Cómo puedo decodificar un mensaje de error de autorización tras recibir un error «UnauthorizedOperation» durante el lanzamiento de una instancia? EC2
en AWS Re:post. -
Para API obtener más información, consulte la Referencia DecodeAuthorizationMessage
de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-access-key
.
- AWS CLI
-
Para eliminar una clave de acceso de un IAM usuario
El siguiente
delete-access-key
comando elimina la clave de acceso especificada (identificador de clave de acceso y clave de acceso secreta) del IAM usuario nombradoBob
.aws iam delete-access-key \ --access-key-id
AKIDPMS9RO4H3FEXAMPLE
\ --user-nameBob
Este comando no genera ninguna salida.
Para enumerar las claves de acceso definidas para un IAM usuario, utilice el
list-access-keys
comando.Para obtener más información, consulte Administrar las claves de acceso para IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteAccessKey
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-account-alias
.
- AWS CLI
-
Cómo eliminar un alias de la cuenta
El siguiente comando
delete-account-alias
elimina el aliasmycompany
de la cuenta actual.aws iam delete-account-alias \ --account-alias
mycompany
Este comando no genera ninguna salida.
Para obtener más información, consulta el identificador de AWS cuenta y su alias en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteAccountAlias
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-account-password-policy
.
- AWS CLI
-
Cómo eliminar la política de contraseñas actual de la cuenta
El siguiente comando
delete-account-password-policy
elimina la política de contraseñas para la cuenta actual.aws iam delete-account-password-policy
Este comando no genera ninguna salida.
Para obtener más información, consulte Establecer una política de contraseñas de cuentas para IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteAccountPasswordPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-group-policy
.
- AWS CLI
-
Para eliminar una política de un IAM grupo
El siguiente comando
delete-group-policy
elimina la política denominadaExamplePolicy
del grupo denominadoAdmins
.aws iam delete-group-policy \ --group-name
Admins
\ --policy-nameExamplePolicy
Este comando no genera ninguna salida.
Para ver las políticas asociadas a un grupo, utilice el comando
list-group-policies
.Para obtener más información, consulte Administración de IAM políticas en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteGroupPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-group
.
- AWS CLI
-
Para eliminar un IAM grupo
El siguiente
delete-group
comando elimina un IAM grupo denominadoMyTestGroup
.aws iam delete-group \ --group-name
MyTestGroup
Este comando no genera ninguna salida.
Para obtener más información, consulte Eliminar un grupo IAM de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteGroup
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-instance-profile
.
- AWS CLI
-
Cómo eliminar un perfil de instancia
El siguiente comando
delete-instance-profile
elimina el perfil de instancia denominadoExampleInstanceProfile
.aws iam delete-instance-profile \ --instance-profile-name
ExampleInstanceProfile
Este comando no genera ninguna salida.
Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteInstanceProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-login-profile
.
- AWS CLI
-
Para eliminar la contraseña de un IAM usuario
El siguiente
delete-login-profile
comando elimina la contraseña del IAM usuario nombradoBob
.aws iam delete-login-profile \ --user-name
Bob
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar las contraseñas de los IAM usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteLoginProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-open-id-connect-provider
.
- AWS CLI
-
Para eliminar un proveedor de IAM identidad de OpenID Connect
En este ejemplo, se elimina el IAM OIDC proveedor que se conecta al proveedor.
example.oidcprovider.com
aws iam delete-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
Este comando no genera ninguna salida.
Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte DeleteOpenIdConnectProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-policy-version
.
- AWS CLI
-
Cómo eliminar una versión de una política administrada
En este ejemplo, se elimina la versión identificada como
v2
de la política cuya versión ARN esarn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam delete-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Este comando no genera ninguna salida.
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeletePolicyVersion
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-policy
.
- AWS CLI
-
Para eliminar una IAM política
En este ejemplo se elimina la política cuyo nombre ARN es
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam delete-policy \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Este comando no genera ninguna salida.
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeletePolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-role-permissions-boundary
.
- AWS CLI
-
Para eliminar un límite de permisos de un IAM rol
En el siguiente
delete-role-permissions-boundary
ejemplo, se elimina el límite de permisos del IAM rol especificado. Para aplicar un límite de permisos a un rol, usa el comandoput-role-permissions-boundary
.aws iam delete-role-permissions-boundary \ --role-name
lambda-application-role
Este comando no genera ninguna salida.
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteRolePermissionsBoundary
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-role-policy
.
- AWS CLI
-
Para eliminar una política de un IAM rol
El siguiente comando
delete-role-policy
elimina la política denominadaExamplePolicy
del rol denominadoTest-Role
.aws iam delete-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
Este comando no genera ninguna salida.
Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteRolePolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-role
.
- AWS CLI
-
Para eliminar un IAM rol
El siguiente comando
delete-role
elimina el rol denominadoTest-Role
.aws iam delete-role \ --role-name
Test-Role
Este comando no genera ninguna salida.
Antes de poder eliminar un rol, debe eliminarlo de cualquier perfil de instancia (
remove-role-from-instance-profile
), separar cualquier política administrada (detach-role-policy
) y eliminar cualquier política insertada que esté asociada al rol (delete-role-policy
).Para obtener más información, consulte Creación de IAM roles y Uso de perfiles de instancia en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteRole
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-saml-provider
.
- AWS CLI
-
Para eliminar un SAML proveedor
En este ejemplo se elimina el proveedor IAM SAML 2.0 cuyo ARN es
arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider
.aws iam delete-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider
Este comando no genera ninguna salida.
Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte D eleteSAMLProvider
en la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlodelete-server-certificate
.
- AWS CLI
-
Para eliminar un certificado de servidor de su AWS cuenta
El siguiente
delete-server-certificate
comando elimina el certificado de servidor especificado de su AWS cuenta.aws iam delete-server-certificate \ --server-certificate-name
myUpdatedServerCertificate
Este comando no genera ninguna salida.
Para ver una lista de los certificados de servidor disponibles en su AWS cuenta, utilice el
list-server-certificates
comando.Para obtener más información, consulte Administrar los certificados de servidor IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteServerCertificate
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-service-linked-role
.
- AWS CLI
-
Cómo eliminar un rol vinculado a un servicio
En el siguiente ejemplo de
delete-service-linked-role
, se elimina el rol vinculado a un servicio especificado que ya no necesita. La eliminación se produce de forma asíncrona. Puede comprobar el estado de la eliminación y confirmar cuando se ha realizado con el comandoget-service-linked-role-deletion-status
.aws iam delete-service-linked-role \ --role-name
AWSServiceRoleForLexBots
Salida:
{ "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE" }
Para obtener más información, consulte Uso de funciones vinculadas a servicios en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte la Referencia DeleteServiceLinkedRole
de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-service-specific-credential
.
- AWS CLI
-
Ejemplo 1: Eliminar una credencial específica del servicio para el usuario solicitante
En el siguiente
delete-service-specific-credential
ejemplo, se elimina la credencial específica del servicio especificada para el usuario que realiza la solicitud.service-specific-credential-id
Se proporciona al crear la credencial y se puede recuperar mediante el comando.list-service-specific-credentials
aws iam delete-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
Este comando no genera ninguna salida.
Ejemplo 2: Eliminar una credencial específica de un servicio para un usuario específico
En el siguiente
delete-service-specific-credential
ejemplo, se elimina la credencial específica del servicio especificada para el usuario especificado.service-specific-credential-id
Se proporciona al crear la credencial y se puede recuperar mediante el comando.list-service-specific-credentials
aws iam delete-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
Este comando no genera ninguna salida.
Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.
-
Para API obtener más información, consulte DeleteServiceSpecificCredential
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-signing-certificate
.
- AWS CLI
-
Para eliminar un certificado de firma de un IAM usuario
El siguiente
delete-signing-certificate
comando elimina el certificado de firma especificado para el IAM usuario nombradoBob
.aws iam delete-signing-certificate \ --user-name
Bob
\ --certificate-idTA7SMP42TDN5Z26OBPJE7EXAMPLE
Este comando no genera ninguna salida.
Para obtener el ID de un certificado de firma, use el comando
list-signing-certificates
.Para obtener más información, consulta Administrar certificados de firma en la Guía del EC2 usuario de Amazon.
-
Para API obtener más información, consulte DeleteSigningCertificate
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-ssh-public-key
.
- AWS CLI
-
Para eliminar una clave SSH pública adjunta a un IAM usuario
El siguiente
delete-ssh-public-key
comando elimina la clave SSH pública especificada adjunta al IAM usuariosofia
.aws iam delete-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
Este comando no genera ninguna salida.
Para obtener más información, consulte Uso y SSH uso de SSH las teclas CodeCommit en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteSshPublicKey
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-user-permissions-boundary
.
- AWS CLI
-
Para eliminar un límite de permisos de un IAM usuario
En el siguiente
delete-user-permissions-boundary
ejemplo, se elimina el límite de permisos adjunto al IAM usuario nombradointern
. Para aplicar un límite de permisos a un usuario, use el comandoput-user-permissions-boundary
.aws iam delete-user-permissions-boundary \ --user-name
intern
Este comando no genera ninguna salida.
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteUserPermissionsBoundary
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-user-policy
.
- AWS CLI
-
Para eliminar una política de un IAM usuario
El siguiente
delete-user-policy
comando elimina la política especificada del IAM usuario nombradoBob
.aws iam delete-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
Este comando no genera ninguna salida.
Para obtener una lista de políticas para un IAM usuario, utilice el
list-user-policies
comando.Para obtener más información, consulte Crear un IAM usuario en su AWS cuenta en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteUserPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-user
.
- AWS CLI
-
Para eliminar un IAM usuario
El siguiente
delete-user
comando elimina el nombreBob
de IAM usuario de la cuenta actual.aws iam delete-user \ --user-name
Bob
Este comando no genera ninguna salida.
Para obtener más información, consulte Eliminar un IAM usuario en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteUser
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-virtual-mfa-device
.
- AWS CLI
-
Para eliminar un MFA dispositivo virtual
El siguiente
delete-virtual-mfa-device
comando elimina el MFA dispositivo especificado de la cuenta corriente.aws iam delete-virtual-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/MFATest
Este comando no genera ninguna salida.
Para obtener más información, consulte Desactivación de MFA dispositivos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DeleteVirtualMfaDevice
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodetach-group-policy
.
- AWS CLI
-
Cómo desasociar una política de un grupo
En este ejemplo, se quita la política administrada con la ARN
arn:aws:iam::123456789012:policy/TesterAccessPolicy
del grupo denominadoTesters
.aws iam detach-group-policy \ --group-name
Testers
\ --policy-arnarn:aws:iam::123456789012:policy/TesterAccessPolicy
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar grupos IAM de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DetachGroupPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodetach-role-policy
.
- AWS CLI
-
Cómo desasociar una política de un rol
En este ejemplo, se quita la política administrada con la ARN
arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy
del rol llamadoFedTesterRole
.aws iam detach-role-policy \ --role-name
FedTesterRole
\ --policy-arnarn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy
Este comando no genera ninguna salida.
Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DetachRolePolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodetach-user-policy
.
- AWS CLI
-
Cómo desasociar una política de un usuario
En este ejemplo, se quita la política administrada junto con el ARN
arn:aws:iam::123456789012:policy/TesterPolicy
del usuarioBob
.aws iam detach-user-policy \ --user-name
Bob
\ --policy-arnarn:aws:iam::123456789012:policy/TesterPolicy
Este comando no genera ninguna salida.
Para obtener más información, consulte Cambiar los permisos de un IAM usuario en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte DetachUserPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloenable-mfa-device
.
- AWS CLI
-
Para habilitar un MFA dispositivo
Después de usar el
create-virtual-mfa-device
comando para crear un nuevo MFA dispositivo virtual, puede asignar el MFA dispositivo a un usuario. En el siguienteenable-mfa-device
ejemplo, se asigna el MFA dispositivo con el número de seriearn:aws:iam::210987654321:mfa/BobsMFADevice
al usuarioBob
. El comando también sincroniza el dispositivo AWS al incluir los dos primeros códigos secuenciales del dispositivo virtualMFA.aws iam enable-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
\ --authentication-code1123456
\ --authentication-code2789012
Este comando no genera ninguna salida.
Para obtener más información, consulte Habilitar un dispositivo virtual de autenticación multifactor (MFA) en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte EnableMfaDevice
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlogenerate-credential-report
.
- AWS CLI
-
Cómo generar un informe de credenciales
En el siguiente ejemplo, se intenta generar un informe de credenciales para la AWS cuenta.
aws iam generate-credential-report
Salida:
{ "State": "STARTED", "Description": "No report exists. Starting a new report generation task" }
Para obtener más información, consulte Obtener informes de credenciales para su AWS cuenta en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte GenerateCredentialReport
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlogenerate-organizations-access-report
.
- AWS CLI
-
Ejemplo 1: Para generar un informe de acceso para una raíz de una organización
El siguiente
generate-organizations-access-report
ejemplo inicia un trabajo en segundo plano para crear un informe de acceso para la raíz especificada en una organización. Puede mostrar el informe una vez creado ejecutando elget-organizations-access-report
comando.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb
Salida:
{ "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359" }
Ejemplo 2: Para generar un informe de acceso para una cuenta de una organización
En el siguiente
generate-organizations-access-report
ejemplo, se inicia un trabajo en segundo plano para crear un informe de acceso para el identificador123456789012
de cuenta de la organizacióno-4fxmplt198
. Puede mostrar el informe una vez creado ejecutando elget-organizations-access-report
comando.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb/123456789012
Salida:
{ "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2" }
Ejemplo 3: Para generar un informe de acceso para una cuenta de una unidad organizativa de una organización
En el siguiente
generate-organizations-access-report
ejemplo, se inicia un trabajo en segundo plano para crear un informe de acceso para el identificador234567890123
de cuenta de la unidadou-c3xb-lmu7j2yg
organizativa de la organizacióno-4fxmplt198
. Para mostrar el informe una vez creado, ejecuta elget-organizations-access-report
comando.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123
Salida:
{ "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af" }
Para obtener detalles sobre las raíces y las unidades organizativas de tu organización, usa los
organizations list-organizational-units-for-parent
comandosorganizations list-roots
y.Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GenerateOrganizationsAccessReport
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlogenerate-service-last-accessed-details
.
- AWS CLI
-
Ejemplo 1: para generar un informe de acceso al servicio para una política personalizada
En el siguiente
generate-service-last-accessed-details
ejemplo, se inicia un trabajo en segundo plano para generar un informe en el que se enumeran los servicios a los que acceden IAM los usuarios y otras entidades con una política personalizada denominadaintern-boundary
. Puede mostrar el informe una vez creado ejecutando el comandoget-service-last-accessed-details
.aws iam generate-service-last-accessed-details \ --arn
arn:aws:iam::123456789012:policy/intern-boundary
Salida:
{ "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc" }
Ejemplo 2: Para generar un informe de acceso a los servicios para la AdministratorAccess política AWS gestionada
En el siguiente
generate-service-last-accessed-details
ejemplo, se inicia un trabajo en segundo plano para generar un informe que enumere los servicios a los que acceden IAM los usuarios y otras entidades con laAdministratorAccess
política AWS gestionada. Puede mostrar el informe una vez creado ejecutando el comandoget-service-last-accessed-details
.aws iam generate-service-last-accessed-details \ --arn
arn:aws:iam::aws:policy/AdministratorAccess
Salida:
{ "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916" }
Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GenerateServiceLastAccessedDetails
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-access-key-last-used
.
- AWS CLI
-
Cómo recuperar información acerca de cuándo se utilizó por última vez la clave de acceso especificada
En el siguiente ejemplo se recupera información acerca de cuándo se utilizó por última vez la clave de acceso
ABCDEXAMPLE
.aws iam get-access-key-last-used \ --access-key-id
ABCDEXAMPLE
Salida:
{ "UserName": "Bob", "AccessKeyLastUsed": { "Region": "us-east-1", "ServiceName": "iam", "LastUsedDate": "2015-06-16T22:45:00Z" } }
Para obtener más información, consulte Administrar las claves de acceso para IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetAccessKeyLastUsed
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-account-authorization-details
.
- AWS CLI
-
Para enumerar IAM los usuarios, grupos, roles y políticas de una AWS cuenta
El siguiente
get-account-authorization-details
comando devuelve información sobre todos IAM los usuarios, grupos, roles y políticas de la AWS cuenta.aws iam get-account-authorization-details
Salida:
{ "RoleDetailList": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileList": [ { "InstanceProfileId": "AIPA1234567890EXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "RoleName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role" } ], "RoleName": "EC2role", "Path": "/", "AttachedManagedPolicies": [ { "PolicyName": "AmazonS3FullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" }, { "PolicyName": "AmazonDynamoDBFullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess" } ], "RoleLastUsed": { "Region": "us-west-2", "LastUsedDate": "2019-11-13T17:30:00Z" }, "RolePolicyList": [], "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "GroupDetailList": [ { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, "GroupName": "Admins", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Admins", "CreateDate": "2013-10-14T18:32:24Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" }, "GroupName": "Dev", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Dev", "CreateDate": "2013-10-14T18:33:55Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": [], "GroupName": "Finance", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Finance", "CreateDate": "2013-10-14T18:57:48Z", "GroupPolicyList": [ { "PolicyName": "policygen-201310141157", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "aws-portal:*", "Sid": "Stmt1381777017000", "Resource": "*", "Effect": "Allow" } ] } } ] } ], "UserDetailList": [ { "UserName": "Alice", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:24Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Alice" }, { "UserName": "Bob", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:25Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [ { "PolicyName": "DenyBillingAndIAMPolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } } } ], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Bob" }, { "UserName": "Charlie", "GroupList": [ "Dev" ], "CreateDate": "2013-10-14T18:33:56Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Charlie" } ], "Policies": [ { "PolicyName": "create-update-delete-set-managed-policies", "CreateDate": "2015-02-06T19:58:34Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-02-06T19:58:34Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies", "UpdateDate": "2015-02-06T19:58:34Z" }, { "PolicyName": "S3-read-only-specific-bucket", "CreateDate": "2015-01-21T21:39:41Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-01-21T21:39:41Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::example-bucket", "arn:aws:s3:::example-bucket/*" ] } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket", "UpdateDate": "2015-01-21T23:39:41Z" }, { "PolicyName": "AmazonEC2FullAccess", "CreateDate": "2015-02-06T18:40:15Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2014-10-30T20:59:46Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:*", "Resource": "*" }, { "Effect": "Allow", "Action": "cloudwatch:*", "Resource": "*" }, { "Effect": "Allow", "Action": "autoscaling:*", "Resource": "*" } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess", "UpdateDate": "2015-02-06T18:40:15Z" } ], "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE", "IsTruncated": true }
Para obtener más información, consulte las directrices AWS de auditoría de seguridad en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetAccountAuthorizationDetails
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-account-password-policy
.
- AWS CLI
-
Cómo ver la política de contraseñas de la cuenta actual
El siguiente comando
get-account-password-policy
muestra detalles sobre la política de contraseñas de la cuenta actual.aws iam get-account-password-policy
Salida:
{ "PasswordPolicy": { "AllowUsersToChangePassword": false, "RequireLowercaseCharacters": false, "RequireUppercaseCharacters": false, "MinimumPasswordLength": 8, "RequireNumbers": true, "RequireSymbols": true } }
Si no se ha definido una política de contraseñas para la cuenta, el comando devuelve un error
NoSuchEntity
.Para obtener más información, consulte Establecer una política de contraseñas de cuentas para IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetAccountPasswordPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-account-summary
.
- AWS CLI
-
Para obtener información sobre el uso y IAM las cuotas de la IAM entidad en la cuenta corriente
El siguiente
get-account-summary
comando devuelve información sobre el uso actual de la IAM entidad y las cuotas actuales de la IAM entidad en la cuenta.aws iam get-account-summary
Salida:
{ "SummaryMap": { "UsersQuota": 5000, "GroupsQuota": 100, "InstanceProfiles": 6, "SigningCertificatesPerUserQuota": 2, "AccountAccessKeysPresent": 0, "RolesQuota": 250, "RolePolicySizeQuota": 10240, "AccountSigningCertificatesPresent": 0, "Users": 27, "ServerCertificatesQuota": 20, "ServerCertificates": 0, "AssumeRolePolicySizeQuota": 2048, "Groups": 7, "MFADevicesInUse": 1, "Roles": 3, "AccountMFAEnabled": 1, "MFADevices": 3, "GroupsPerUserQuota": 10, "GroupPolicySizeQuota": 5120, "InstanceProfilesQuota": 100, "AccessKeysPerUserQuota": 2, "Providers": 0, "UserPolicySizeQuota": 2048 } }
Para obtener más información sobre las limitaciones de las entidades, consulta IAMlas AWS STS cuotas en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetAccountSummary
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-context-keys-for-custom-policy
.
- AWS CLI
-
Ejemplo 1: Para enumerar las claves de contexto a las que hacen referencia una o más JSON políticas personalizadas proporcionadas como parámetro en la línea de comandos
El siguiente comando
get-context-keys-for-custom-policy
analiza cada política proporcionada y enumera las claves de contexto utilizadas por esas políticas. Utilice este comando para identificar qué valores clave de contexto debe proporcionar para utilizar correctamente los comandos del simulador de políticassimulate-custom-policy
ysimulate-custom-policy
. También puede recuperar la lista de claves de contexto utilizadas por todas las políticas asociadas a un IAM usuario o rol mediante elget-context-keys-for-custom-policy
comando. Los parámetros que comienzan confile://
indican al comando que lea el contenido del archivo y lo use como valor del parámetro en lugar del nombre del archivo en sí.aws iam get-context-keys-for-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}
'Salida:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Ejemplo 2: Para enumerar las claves de contexto a las que hacen referencia una o más JSON políticas personalizadas proporcionadas como entrada de archivo
El siguiente comando
get-context-keys-for-custom-policy
es igual al anterior, excepto que las políticas se proporcionan en un archivo y no como un parámetro. Como el comando espera una JSON lista de cadenas y no una lista de JSON estructuras, el archivo debe estructurarse de la siguiente manera, aunque puede comprimirlo en una sola.[ "Policy1", "Policy2" ]
Así, por ejemplo, un archivo que contenga la política del ejemplo anterior debe tener el siguiente aspecto. Debe evitar cada comilla doble incrustada en la cadena de la política precediéndola de una barra invertida “.
[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]
A continuación, este archivo se puede enviar al siguiente comando.
aws iam get-context-keys-for-custom-policy \ --policy-input-list
file://policyfile.json
Salida:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Para obtener más información, consulte Uso del simulador de IAM políticas (AWS CLIy AWS API) en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetContextKeysForCustomPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-context-keys-for-principal-policy
.
- AWS CLI
-
Para enumerar las claves de contexto a las que hacen referencia todas las políticas asociadas a una entidad IAM principal
El siguiente comando
get-context-keys-for-principal-policy
recupera todas las políticas asociadas al usuariosaanvi
y a cualquier grupo al que pertenezca. A continuación, analiza cada una de ellas y enumera las claves de contexto utilizadas por esas políticas. Utilice este comando para identificar qué valores de clave de contexto debe proporcionar para utilizar correctamente los comandossimulate-custom-policy
ysimulate-principal-policy
. También puede recuperar la lista de claves de contexto utilizadas por una JSON política arbitraria mediante elget-context-keys-for-custom-policy
comando.aws iam get-context-keys-for-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/saanvi
Salida:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Para obtener más información, consulte Uso del simulador de IAM políticas (AWS CLIy AWS API) en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetContextKeysForPrincipalPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-credential-report
.
- AWS CLI
-
Cómo obtener un informe de credencial
En este ejemplo se abre el informe devuelto y se envía a la canalización como una matriz de líneas de texto.
aws iam get-credential-report
Salida:
{ "GeneratedTime": "2015-06-17T19:11:50Z", "ReportFormat": "text/csv" }
Para obtener más información, consulte Obtener informes de credenciales para su AWS cuenta en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetCredentialReport
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-group-policy
.
- AWS CLI
-
Para obtener información sobre una política asociada a un IAM grupo
El siguiente comando
get-group-policy
obtiene información sobre la política especificada asociada al grupo denominadoTest-Group
.aws iam get-group-policy \ --group-name
Test-Group
\ --policy-nameS3-ReadOnly-Policy
Salida:
{ "GroupName": "Test-Group", "PolicyDocument": { "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*", "Effect": "Allow" } ] }, "PolicyName": "S3-ReadOnly-Policy" }
Para obtener más información, consulte Administración de IAM políticas en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetGroupPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-group
.
- AWS CLI
-
Para obtener un IAM grupo
En este ejemplo se devuelven detalles sobre el IAM grupo
Admins
.aws iam get-group \ --group-name
Admins
Salida:
{ "Group": { "Path": "/", "CreateDate": "2015-06-16T19:41:48Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, "Users": [] }
Para obtener más información, consulte IAMIdentidades (usuarios, grupos de usuarios y roles) en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetGroup
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-instance-profile
.
- AWS CLI
-
Cómo obtener información sobre un perfil de instancia
El siguiente comando
get-instance-profile
obtiene información sobre el perfil de instancia denominadoExampleInstanceProfile
.aws iam get-instance-profile \ --instance-profile-name
ExampleInstanceProfile
Salida:
{ "InstanceProfile": { "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDGPMS9RO4H3FEXAMPLE", "CreateDate": "2013-01-09T06:33:26Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::336924118301:role/Test-Role" } ], "CreateDate": "2013-06-12T23:52:02Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile" } }
Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetInstanceProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-login-profile
.
- AWS CLI
-
Para obtener la información de la contraseña de un IAM usuario
El siguiente
get-login-profile
comando obtiene información sobre la contraseña del IAM usuario nombradoBob
.aws iam get-login-profile \ --user-name
Bob
Salida:
{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2012-09-21T23:03:39Z" } }
El
get-login-profile
comando se puede utilizar para comprobar que un IAM usuario tiene una contraseña. Si no se ha definido una política de contraseñas para la cuenta, el comando devuelve el errorNoSuchEntity
.No puede visualizar una contraseña con este comando. Si no se dispone de la contraseña, puede restablecerla (
update-login-profile
) para el usuario. Como alternativa, puede eliminar el perfil de inicio de sesión (delete-login-profile
) del usuario y, a continuación, crear uno nuevo (create-login-profile
).Para obtener más información, consulte Administrar las contraseñas de IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetLoginProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-mfa-device
.
- AWS CLI
-
Para recuperar información sobre una clave FIDO de seguridad
El siguiente ejemplo de
get-mfa-device
comando recupera información sobre la clave de FIDO seguridad especificada.aws iam get-mfa-device \ --serial-number
arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE
Salida:
{ "UserName": "alice", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00", "Certifications": { "FIDO": "L1" } }
Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte GetMfaDevice
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-open-id-connect-provider
.
- AWS CLI
-
Cómo devolver información sobre el proveedor de OpenID Connect especificado
Este ejemplo devuelve detalles sobre el proveedor de OpenID Connect cuyo proveedor esARN.
arn:aws:iam::123456789012:oidc-provider/server.example.com
aws iam get-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
Salida:
{ "Url": "server.example.com" "CreateDate": "2015-06-16T19:41:48Z", "ThumbprintList": [ "12345abcdefghijk67890lmnopqrst987example" ], "ClientIDList": [ "example-application-ID" ] }
Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte GetOpenIdConnectProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-organizations-access-report
.
- AWS CLI
-
Para recuperar un informe de acceso
En el siguiente
get-organizations-access-report
ejemplo, se muestra un informe de acceso generado anteriormente para una entidad de AWS Organizations. Para generar un informe, utilice el comandogenerate-organizations-access-report
.aws iam get-organizations-access-report \ --job-id
a8b6c06f-aaa4-8xmp-28bc-81da71836359
Salida:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-09-30T06:53:36.187Z", "JobCompletionDate": "2019-09-30T06:53:37.547Z", "NumberOfServicesAccessible": 188, "NumberOfServicesNotAccessed": 171, "AccessDetails": [ { "ServiceName": "Alexa for Business", "ServiceNamespace": "a4b", "TotalAuthenticatedEntities": 0 }, ... }
Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetOrganizationsAccessReport
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-policy-version
.
- AWS CLI
-
Cómo recuperar información acerca de la versión especificada de la política administrada especificada
En este ejemplo se devuelve el documento de política correspondiente a la versión v2 de la política cuya política ARN es
arn:aws:iam::123456789012:policy/MyManagedPolicy
.aws iam get-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Salida:
{ "PolicyVersion": { "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } ] }, "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2023-04-11T00:22:54+00:00" } }
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetPolicyVersion
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-policy
.
- AWS CLI
-
Cómo recuperar información sobre una política administrada especificada
En este ejemplo se devuelven detalles sobre la política gestionada cuya política ARN es
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam get-policy \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Salida:
{ "Policy": { "PolicyName": "MySamplePolicy", "CreateDate": "2015-06-17T19:23;32Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy", "UpdateDate": "2015-06-17T19:23:32Z" } }
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-role-policy
.
- AWS CLI
-
Para obtener información sobre una política asociada a un IAM rol
El siguiente comando
get-role-policy
obtiene información sobre la política especificada asociada al rol denominadoTest-Role
.aws iam get-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
Salida:
{ "RoleName": "Test-Role", "PolicyDocument": { "Statement": [ { "Action": [ "s3:ListBucket", "s3:Put*", "s3:Get*", "s3:*MultipartUpload*" ], "Resource": "*", "Effect": "Allow", "Sid": "1" } ] } "PolicyName": "ExamplePolicy" }
Para obtener más información, consulte Creación de IAM roles en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetRolePolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-role
.
- AWS CLI
-
Para obtener información sobre un IAM rol
El siguiente comando
get-role
obtiene información sobre el rol denominadoTest-Role
.aws iam get-role \ --role-name
Test-Role
Salida:
{ "Role": { "Description": "Test Role", "AssumeRolePolicyDocument":"<URL-encoded-JSON>", "MaxSessionDuration": 3600, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2019-11-13T16:45:56Z", "RoleName": "Test-Role", "Path": "/", "RoleLastUsed": { "Region": "us-east-1", "LastUsedDate": "2019-11-13T17:14:00Z" }, "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }
El comando muestra la política de confianza asociada al rol. Utilice el comando
list-role-policies
para enumerar las políticas de permisos asociadas al rol.Para obtener más información, consulte Creación de IAM roles en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetRole
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-saml-provider
.
- AWS CLI
-
Para recuperar el SAML metadocument del proveedor
En este ejemplo, se recuperan los detalles sobre el proveedor de la SAML versión 2.0 cuyo proveedor es. ARM
arn:aws:iam::123456789012:saml-provider/SAMLADFS
La respuesta incluye el documento de metadatos que recibió del proveedor de identidades para crear la entidad AWS SAML proveedora, así como las fechas de creación y caducidad.aws iam get-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/SAMLADFS
Salida:
{ "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...", "CreateDate": "2017-03-06T22:29:46+00:00", "ValidUntil": "2117-03-06T22:29:46.433000+00:00", "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetSamlProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-server-certificate
.
- AWS CLI
-
Para obtener detalles sobre un certificado de servidor de su AWS cuenta
El siguiente
get-server-certificate
comando recupera todos los detalles sobre el certificado de servidor especificado en su AWS cuenta.aws iam get-server-certificate \ --server-certificate-name
myUpdatedServerCertificate
Salida:
{ "ServerCertificate": { "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, "CertificateBody": "-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----", "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md 7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----" } }
Para ver una lista de los certificados de servidor disponibles en su AWS cuenta, utilice el
list-server-certificates
comando.Para obtener más información, consulte Administrar los certificados de servidor IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetServerCertificate
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-service-last-accessed-details-with-entities
.
- AWS CLI
-
Cómo recuperar un informe de acceso a un servicio con los detalles de un servicio
En el siguiente
get-service-last-accessed-details-with-entities
ejemplo, se recupera un informe que contiene detalles sobre IAM los usuarios y otras entidades que han accedido al servicio especificado. Para generar un informe, utilice el comandogenerate-service-last-accessed-details
. Para obtener una lista de los servicios a los que se accede con espacios de nombres, utiliceget-service-last-accessed-details
.aws iam get-service-last-accessed-details-with-entities \ --job-id
78b6c2ba-d09e-6xmp-7039-ecde30b26916
\ --service-namespacelambda
Salida:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:55:41.756Z", "JobCompletionDate": "2019-10-01T03:55:42.533Z", "EntityDetailsList": [ { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/admin", "Name": "admin", "Type": "USER", "Id": "AIDAIO2XMPLENQEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-30T23:02:00Z" }, { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/developer", "Name": "developer", "Type": "USER", "Id": "AIDAIBEYXMPL2YEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-16T19:34:00Z" } ] }
Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte GetServiceLastAccessedDetailsWithEntities
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-service-last-accessed-details
.
- AWS CLI
-
Cómo recuperar un informe de acceso a un servicio
En el siguiente
get-service-last-accessed-details
ejemplo, se recupera un informe generado anteriormente en el que se enumeran los servicios a los que acceden las IAM entidades. Para generar un informe, utilice el comandogenerate-service-last-accessed-details
.aws iam get-service-last-accessed-details \ --job-id
2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc
Salida:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:50:35.929Z", "ServicesLastAccessed": [ ... { "ServiceName": "AWS Lambda", "LastAuthenticated": "2019-09-30T23:02:00Z", "ServiceNamespace": "lambda", "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin", "TotalAuthenticatedEntities": 6 }, ] }
Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte GetServiceLastAccessedDetails
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-service-linked-role-deletion-status
.
- AWS CLI
-
Cómo comprobar el estado de una solicitud de eliminación de un rol vinculado a un servicio
En el siguiente ejemplo de
get-service-linked-role-deletion-status
, se muestra el estado de una solicitud anterior para eliminar un rol vinculado a un servicio. La operación de eliminación se produce de forma asíncrona. Al realizar la solicitud, se obtiene un valor deDeletionTaskId
que proporciona como un parámetro para este comando.aws iam get-service-linked-role-deletion-status \ --deletion-task-id
task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE
Salida:
{ "Status": "SUCCEEDED" }
Para obtener más información, consulte Uso de funciones vinculadas a servicios en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte la Referencia GetServiceLinkedRoleDeletionStatus
de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-ssh-public-key
.
- AWS CLI
-
Ejemplo 1: Para recuperar una clave SSH pública adjunta a un IAM usuario en forma SSH codificada
El siguiente
get-ssh-public-key
comando recupera la clave SSH pública especificada del IAM usuariosofia
. El resultado está SSH codificado.aws iam get-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
\ --encodingSSH
Salida:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Ejemplo 2: Para recuperar una clave SSH pública adjunta a un IAM usuario en forma PEM codificada
El siguiente
get-ssh-public-key
comando recupera la clave SSH pública especificada del IAM usuariosofia
. El resultado está PEM codificado.aws iam get-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
\ --encodingPEM
Salida:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Para obtener más información, consulte Uso y SSH uso de SSH las teclas CodeCommit en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetSshPublicKey
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-user-policy
.
- AWS CLI
-
Para enumerar los detalles de la política de un IAM usuario
El siguiente
get-user-policy
comando muestra los detalles de la política especificada que se adjunta al IAM usuario nombradoBob
.aws iam get-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
Salida:
{ "UserName": "Bob", "PolicyName": "ExamplePolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow" } ] } }
Para obtener una lista de políticas para un IAM usuario, utilice el
list-user-policies
comando.Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetUserPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-user
.
- AWS CLI
-
Para obtener información sobre un IAM usuario
El siguiente
get-user
comando obtiene información sobre el IAM usuario nombradoPaulo
.aws iam get-user \ --user-name
Paulo
Salida:
{ "User": { "UserName": "Paulo", "Path": "/", "CreateDate": "2019-09-21T23:03:13Z", "UserId": "AIDA123456789EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Paulo" } }
Para obtener más información, consulte Administración de IAM usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte GetUser
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-access-keys
.
- AWS CLI
-
Para enumerar la clave de acceso IDs de un IAM usuario
El siguiente
list-access-keys
comando muestra las claves IDs de acceso del IAM usuario nombradoBob
.aws iam list-access-keys \ --user-name
Bob
Salida:
{ "AccessKeyMetadata": [ { "UserName": "Bob", "Status": "Active", "CreateDate": "2013-06-04T18:17:34Z", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" }, { "UserName": "Bob", "Status": "Inactive", "CreateDate": "2013-06-06T20:42:26Z", "AccessKeyId": "AKIAI44QH8DHBEXAMPLE" } ] }
No puede enumerar las claves de acceso secretas de IAM los usuarios. Si se pierden las claves de acceso secretas, debe crear nuevas claves de acceso mediante el comando
create-access-keys
.Para obtener más información, consulte Administrar las claves de acceso de IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListAccessKeys
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-account-aliases
.
- AWS CLI
-
Cómo enumerar los alias de una cuenta
El siguiente comando
list-account-aliases
enumera los alias de la cuenta actual.aws iam list-account-aliases
Salida:
{ "AccountAliases": [ "mycompany" ] }
Para obtener más información, consulta el identificador de AWS cuenta y su alias en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListAccountAliases
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-attached-group-policies
.
- AWS CLI
-
Cómo enumerar todas las políticas administradas que se asocian al grupo especificado
En este ejemplo, se devuelven ARNs los nombres y las políticas administradas que están asociadas al IAM grupo nombrado
Admins
en la AWS cuenta.aws iam list-attached-group-policies \ --group-name
Admins
Salida:
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListAttachedGroupPolicies
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-attached-role-policies
.
- AWS CLI
-
Cómo enumerar todas las políticas administradas que se asocian al rol especificado
Este comando devuelve los nombres y ARNs las políticas administradas asociadas a la IAM función nombrada
SecurityAuditRole
en la AWS cuenta.aws iam list-attached-role-policies \ --role-name
SecurityAuditRole
Salida:
{ "AttachedPolicies": [ { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListAttachedRolePolicies
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-attached-user-policies
.
- AWS CLI
-
Cómo enumerar todas las políticas administradas que se asocian al usuario especificado
Este comando devuelve los nombres y ARNs las políticas administradas del IAM usuario nombrado
Bob
en la AWS cuenta.aws iam list-attached-user-policies \ --user-name
Bob
Salida:
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListAttachedUserPolicies
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-entities-for-policy
.
- AWS CLI
-
Cómo enumerar todos los usuarios, grupos y roles a los que está adjunta la política administrada especificada
En este ejemplo, se devuelve una lista de IAM grupos, funciones y usuarios a los que se ha
arn:aws:iam::123456789012:policy/TestPolicy
adjuntado la política.aws iam list-entities-for-policy \ --policy-arn
arn:aws:iam::123456789012:policy/TestPolicy
Salida:
{ "PolicyGroups": [ { "GroupName": "Admins", "GroupId": "AGPACKCEVSQ6C2EXAMPLE" } ], "PolicyUsers": [ { "UserName": "Alice", "UserId": "AIDACKCEVSQ6C2EXAMPLE" } ], "PolicyRoles": [ { "RoleName": "DevRole", "RoleId": "AROADBQP57FF2AEXAMPLE" } ], "IsTruncated": false }
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListEntitiesForPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-group-policies
.
- AWS CLI
-
Cómo enumerar todas las políticas integradas que se asocian al grupo especificado
El siguiente
list-group-policies
comando muestra los nombres de las políticas en línea que están asociadas al IAM grupo mencionadoAdmins
en la cuenta actual.aws iam list-group-policies \ --group-name
Admins
Salida:
{ "PolicyNames": [ "AdminRoot", "ExamplePolicy" ] }
Para obtener más información, consulte Administración de IAM políticas en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListGroupPolicies
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-groups-for-user
.
- AWS CLI
-
Para enumerar los grupos a los que pertenece un IAM usuario
El siguiente
list-groups-for-user
comando muestra los grupos a los queBob
pertenece el IAM usuario nombrado.aws iam list-groups-for-user \ --user-name
Bob
Salida:
{ "Groups": [ { "Path": "/", "CreateDate": "2013-05-06T01:18:08Z", "GroupId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admin", "GroupName": "Admin" }, { "Path": "/", "CreateDate": "2013-05-06T01:37:28Z", "GroupId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/s3-Users", "GroupName": "s3-Users" } ] }
Para obtener más información, consulte Administración de grupos IAM de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListGroupsForUser
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-groups
.
- AWS CLI
-
Para enumerar los IAM grupos de la cuenta corriente
El siguiente
list-groups
comando muestra los IAM grupos de la cuenta corriente.aws iam list-groups
Salida:
{ "Groups": [ { "Path": "/", "CreateDate": "2013-06-04T20:27:27.972Z", "GroupId": "AIDACKCEVSQ6C2EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, { "Path": "/", "CreateDate": "2013-04-16T20:30:42Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/S3-Admins", "GroupName": "S3-Admins" } ] }
Para obtener más información, consulte Administración de grupos IAM de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListGroups
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-instance-profile-tags
.
- AWS CLI
-
Para enumerar las etiquetas adjuntas a un perfil de instancia
El siguiente
list-instance-profile-tags
comando recupera la lista de etiquetas asociadas al perfil de instancia especificado.aws iam list-instance-profile-tags \ --instance-profile-name
deployment-role
Salida:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte ListInstanceProfileTags
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-instance-profiles-for-role
.
- AWS CLI
-
Para enumerar los perfiles de instancia de un IAM rol
El siguiente comando
list-instance-profiles-for-role
muestra los perfiles de instancia que están asociados con el rolTest-Role
.aws iam list-instance-profiles-for-role \ --role-name
Test-Role
Salida:
{ "InstanceProfiles": [ { "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDACKCEVSQ6C2EXAMPLE", "CreateDate": "2013-06-07T20:42:15Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } ], "CreateDate": "2013-06-07T21:05:24Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile" } ] }
Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListInstanceProfilesForRole
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-instance-profiles
.
- AWS CLI
-
Cómo enumerar los perfiles de instancia de la cuenta
El siguiente comando
list-instance-profiles
enumera los perfiles de instancia asociados con la cuenta actual.aws iam list-instance-profiles
Salida:
{ "InstanceProfiles": [ { "Path": "/", "InstanceProfileName": "example-dev-role", "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role", "CreateDate": "2023-09-21T18:17:41+00:00", "Roles": [ { "Path": "/", "RoleName": "example-dev-role", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-dev-role", "CreateDate": "2023-09-21T18:17:40+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] }, { "Path": "/", "InstanceProfileName": "example-s3-role", "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role", "CreateDate": "2023-09-21T18:18:50+00:00", "Roles": [ { "Path": "/", "RoleName": "example-s3-role", "RoleId": "AROAINUBC5O7XLEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-s3-role", "CreateDate": "2023-09-21T18:18:49+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] } ] }
Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListInstanceProfiles
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-mfa-device-tags
.
- AWS CLI
-
Para enumerar las etiquetas adjuntas a un MFA dispositivo
El siguiente
list-mfa-device-tags
comando recupera la lista de etiquetas asociadas al MFA dispositivo especificado.aws iam list-mfa-device-tags \ --serial-number
arn:aws:iam::123456789012:mfa/alice
Salida:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte ListMfaDeviceTags
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-mfa-devices
.
- AWS CLI
-
Para enumerar todos MFA los dispositivos de un usuario específico
En este ejemplo, se muestran detalles sobre el MFA dispositivo asignado al IAM usuario
Bob
.aws iam list-mfa-devices \ --user-name
Bob
Salida:
{ "MFADevices": [ { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob", "EnableDate": "2019-10-28T20:37:09+00:00" }, { "UserName": "Bob", "SerialNumber": "GAKT12345678", "EnableDate": "2023-02-18T21:44:42+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE", "EnableDate": "2023-09-19T02:25:35+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00" } ] }
Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListMfaDevices
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-open-id-connect-provider-tags
.
- AWS CLI
-
Para enumerar las etiquetas adjuntas a un proveedor de identidad compatible con OpenID Connect (OIDC)
El siguiente
list-open-id-connect-provider-tags
comando recupera la lista de etiquetas asociadas al proveedor de identidad especificadoOIDC.aws iam list-open-id-connect-provider-tags \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
Salida:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte ListOpenIdConnectProviderTags
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-open-id-connect-providers
.
- AWS CLI
-
Para incluir información sobre los proveedores de OpenID Connect de la cuenta AWS
Este ejemplo devuelve una lista ARNS de todos los proveedores de OpenID Connect que están definidos en la cuenta corriente AWS .
aws iam list-open-id-connect-providers
Salida:
{ "OpenIDConnectProviderList": [ { "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com" } ] }
Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte ListOpenIdConnectProviders
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-policies-granting-service-access
.
- AWS CLI
-
Para enumerar las políticas que otorgan un acceso principal al servicio especificado
En el siguiente
list-policies-granting-service-access
ejemplo, se recupera la lista de políticas que otorgan al IAM usuariosofia
acceso al AWS CodeCommit servicio.aws iam list-policies-granting-service-access \ --arn
arn:aws:iam::123456789012:user/sofia
\ --service-namespacescodecommit
Salida:
{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "codecommit", "Policies": [ { "PolicyName": "Grant-Sofia-Access-To-CodeCommit", "PolicyType": "INLINE", "EntityType": "USER", "EntityName": "sofia" } ] } ], "IsTruncated": false }
Para obtener más información, consulte Uso IAM con CodeCommit: credenciales, SSH claves y claves de AWS acceso de Git en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListPoliciesGrantingServiceAccess
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-policies
.
- AWS CLI
-
Para enumerar las políticas administradas que están disponibles para su AWS cuenta
En este ejemplo, se devuelve un conjunto de las dos primeras políticas administradas disponibles en la AWS cuenta corriente.
aws iam list-policies \ --max-items
3
Salida:
{ "Policies": [ { "PolicyName": "AWSCloudTrailAccessPolicy", "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2019-09-04T17:43:42+00:00", "UpdateDate": "2019-09-04T17:43:42+00:00" }, { "PolicyName": "AdministratorAccess", "PolicyId": "ANPAIWMBCKSKIEE64ZLYK", "Arn": "arn:aws:iam::aws:policy/AdministratorAccess", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 6, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:46+00:00", "UpdateDate": "2015-02-06T18:39:46+00:00" }, { "PolicyName": "PowerUserAccess", "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS", "Arn": "arn:aws:iam::aws:policy/PowerUserAccess", "Path": "/", "DefaultVersionId": "v5", "AttachmentCount": 1, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:47+00:00", "UpdateDate": "2023-07-06T22:04:00+00:00" } ], "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ==" }
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListPolicies
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-policy-tags
.
- AWS CLI
-
Para enumerar las etiquetas adjuntas a una política gestionada
El siguiente
list-policy-tags
comando recupera la lista de etiquetas asociadas a la política administrada especificada.aws iam list-policy-tags \ --policy-arn
arn:aws:iam::123456789012:policy/billing-access
Salida:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte ListPolicyTags
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-policy-versions
.
- AWS CLI
-
Cómo enumerar información sobre las versiones de la política administrada especificada
En este ejemplo se devuelve la lista de versiones disponibles de la política cuya política ARN es
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam list-policy-versions \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Salida:
{ "IsTruncated": false, "Versions": [ { "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2015-06-02T23:19:44Z" }, { "VersionId": "v1", "IsDefaultVersion": false, "CreateDate": "2015-06-02T22:30:47Z" } ] }
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListPolicyVersions
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-role-policies
.
- AWS CLI
-
Para enumerar las políticas asociadas a un IAM rol
El siguiente
list-role-policies
comando muestra los nombres de las políticas de permisos del IAM rol especificado.aws iam list-role-policies \ --role-name
Test-Role
Salida:
{ "PolicyNames": [ "ExamplePolicy" ] }
Para ver la política de confianza asociada a un rol, utilice el comando
get-role
. Para ver los detalles de una política de permisos, utilice el comandoget-role-policy
.Para obtener más información, consulte Creación de IAM funciones en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListRolePolicies
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-role-tags
.
- AWS CLI
-
Cómo enumerar las etiquetas adjuntas a un rol
El siguiente comando
list-role-tags
recupera la lista de etiquetas asociadas al rol especificado.aws iam list-role-tags \ --role-name
production-role
Salida:
{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListRoleTags
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-roles
.
- AWS CLI
-
Para enumerar IAM las funciones de la cuenta actual
El siguiente
list-roles
comando muestra las IAM funciones de la cuenta actual.aws iam list-roles
Salida:
{ "Roles": [ { "Path": "/", "RoleName": "ExampleRole", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/ExampleRole", "CreateDate": "2017-09-12T19:23:36+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 }, { "Path": "/example_path/", "RoleName": "ExampleRoleWithPath", "RoleId": "AROAI4QRP7UFT7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath", "CreateDate": "2023-09-21T20:29:38+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 } ] }
Para obtener más información, consulte Creación de IAM roles en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListRoles
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-saml-provider-tags
.
- AWS CLI
-
Para enumerar las etiquetas adjuntas a un SAML proveedor
El siguiente
list-saml-provider-tags
comando recupera la lista de etiquetas asociadas al SAML proveedor especificado.aws iam list-saml-provider-tags \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
Salida:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte ListSamlProviderTags
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-saml-providers
.
- AWS CLI
-
Para enumerar los SAML proveedores de la AWS cuenta
En este ejemplo, se recupera la lista de proveedores SAML 2.0 creada en la AWS cuenta corriente.
aws iam list-saml-providers
Salida:
{ "SAMLProviderList": [ { "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS", "ValidUntil": "2015-06-05T22:45:14Z", "CreateDate": "2015-06-05T22:45:14Z" } ] }
Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte L istSAMLProviders
en la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarlolist-server-certificate-tags
.
- AWS CLI
-
Para enumerar las etiquetas adjuntas a un certificado de servidor
El siguiente
list-server-certificate-tags
comando recupera la lista de etiquetas asociadas al certificado de servidor especificado.aws iam list-server-certificate-tags \ --server-certificate-name
ExampleCertificate
Salida:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte ListServerCertificateTags
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-server-certificates
.
- AWS CLI
-
Para enumerar los certificados de servidor de su AWS cuenta
El siguiente
list-server-certificates
comando muestra todos los certificados de servidor almacenados y disponibles para su uso en su AWS cuenta.aws iam list-server-certificates
Salida:
{ "ServerCertificateMetadataList": [ { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, { "Path": "/cloudfront/", "ServerCertificateName": "MyTestCert", "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert", "UploadDate": "2015-04-21T18:14:16+00:00", "Expiration": "2018-01-14T17:52:36+00:00" } ] }
Para obtener más información, consulte Administrar los certificados de servidor IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListServerCertificates
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-service-specific-credential
.
- AWS CLI
-
Ejemplo 1: Listar las credenciales específicas del servicio para un usuario
El siguiente
list-service-specific-credentials
ejemplo muestra todas las credenciales específicas del servicio asignadas al usuario especificado. Las contraseñas no se incluyen en la respuesta.aws iam list-service-specific-credentials \ --user-name
sofia
Salida:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Ejemplo 2: Enumere las credenciales específicas del servicio de un usuario filtrado a un servicio específico
En el siguiente
list-service-specific-credentials
ejemplo, se muestran las credenciales específicas del servicio asignadas al usuario que realiza la solicitud. La lista se filtra para incluir solo las credenciales del servicio especificado. Las contraseñas no se incluyen en la respuesta.aws iam list-service-specific-credentials \ --service-name
codecommit.amazonaws.com
Salida:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.
-
Para API obtener más información, consulte ListServiceSpecificCredential
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-service-specific-credentials
.
- AWS CLI
-
Para recuperar una lista de credenciales
En el siguiente
list-service-specific-credentials
ejemplo, se enumeran las credenciales generadas para el HTTPS acceso a AWS CodeCommit los repositorios de un usuario denominadodeveloper
.aws iam list-service-specific-credentials \ --user-name
developer
\ --service-namecodecommit.amazonaws.com
Salida:
{ "ServiceSpecificCredentials": [ { "UserName": "developer", "Status": "Inactive", "ServiceUserName": "developer-at-123456789012", "CreateDate": "2019-10-01T04:31:41Z", "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE", "ServiceName": "codecommit.amazonaws.com" }, { "UserName": "developer", "Status": "Active", "ServiceUserName": "developer+1-at-123456789012", "CreateDate": "2019-10-01T04:31:45Z", "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP", "ServiceName": "codecommit.amazonaws.com" } ] }
Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.
-
Para API obtener más información, consulte ListServiceSpecificCredentials
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-signing-certificates
.
- AWS CLI
-
Para enumerar los certificados de firma de un IAM usuario
El siguiente
list-signing-certificates
comando muestra los certificados de firma del IAM usuario nombradoBob
.aws iam list-signing-certificates \ --user-name
Bob
Salida:
{ "Certificates": [ { "UserName": "Bob", "Status": "Inactive", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08Z" } ] }
Para obtener más información, consulta Administrar certificados de firma en la Guía del EC2 usuario de Amazon.
-
Para API obtener más información, consulte ListSigningCertificates
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-ssh-public-keys
.
- AWS CLI
-
Para enumerar las claves SSH públicas adjuntas a un IAM usuario
En el siguiente
list-ssh-public-keys
ejemplo, se enumeran las claves SSH públicas adjuntas al IAM usuariosofia
.aws iam list-ssh-public-keys \ --user-name
sofia
Salida:
{ "SSHPublicKeys": [ { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } ] }
Para obtener más información, consulte Uso y SSH uso de SSH las claves CodeCommit en la Guía del AWS IAM usuario
-
Para API obtener más información, consulte ListSshPublicKeys
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-user-policies
.
- AWS CLI
-
Para enumerar las políticas de un IAM usuario
El siguiente
list-user-policies
comando muestra las políticas asociadas al IAM usuario nombradoBob
.aws iam list-user-policies \ --user-name
Bob
Salida:
{ "PolicyNames": [ "ExamplePolicy", "TestPolicy" ] }
Para obtener más información, consulte Crear un IAM usuario en su AWS cuenta en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListUserPolicies
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-user-tags
.
- AWS CLI
-
Cómo enumerar las etiquetas adjuntas a un usuario
El siguiente
list-user-tags
comando recupera la lista de etiquetas asociadas al IAM usuario especificado.aws iam list-user-tags \ --user-name
alice
Salida:
{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte ListUserTags
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-users
.
- AWS CLI
-
Para enumerar IAM los usuarios
El siguiente
list-users
comando muestra los IAM usuarios de la cuenta actual.aws iam list-users
Salida:
{ "Users": [ { "UserName": "Adele", "Path": "/", "CreateDate": "2013-03-07T05:14:48Z", "UserId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Adele" }, { "UserName": "Bob", "Path": "/", "CreateDate": "2012-09-21T23:03:13Z", "UserId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } ] }
Para obtener más información, consulte Listar IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListUsers
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-virtual-mfa-devices
.
- AWS CLI
-
Para enumerar MFA los dispositivos virtuales
El siguiente
list-virtual-mfa-devices
comando muestra los MFA dispositivos virtuales que se han configurado para la cuenta actual.aws iam list-virtual-mfa-devices
Salida:
{ "VirtualMFADevices": [ { "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice" }, { "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred" } ] }
Para obtener más información, consulte Habilitar un dispositivo virtual de autenticación multifactor (MFA) en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ListVirtualMfaDevices
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloput-group-policy
.
- AWS CLI
-
Cómo agregar una política a un grupo
El siguiente
put-group-policy
comando agrega una política al IAM grupo denominadoAdmins
.aws iam put-group-policy \ --group-name
Admins
\ --policy-documentfile://AdminPolicy.json
\ --policy-nameAdminRoot
Este comando no genera ninguna salida.
La política se define como un JSON documento del AdminPolicyarchivo.json. (El nombre y la extensión del archivo no son significativos).
Para obtener más información, consulte Administración de IAM políticas en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte PutGroupPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloput-role-permissions-boundary
.
- AWS CLI
-
Ejemplo 1: aplicar a un IAM rol un límite de permisos basado en una política personalizada
En el siguiente
put-role-permissions-boundary
ejemplo, se aplica la política personalizadaintern-boundary
denominada límite de permisos para el IAM rol especificado.aws iam put-role-permissions-boundary \ --permissions-boundary
arn:aws:iam::123456789012:policy/intern-boundary
\ --role-namelambda-application-role
Este comando no genera ninguna salida.
Ejemplo 2: Para aplicar a un IAM rol un límite de permisos basado en una política AWS administrada
En el siguiente
put-role-permissions-boundary
ejemplo, se aplica laPowerUserAccess
política AWS administrada como límite de permisos para el IAM rol especificado.aws iam put-role-permissions-boundary \ --permissions-boundary
arn:aws:iam::aws:policy/PowerUserAccess
\ --role-namex-account-admin
Este comando no genera ninguna salida.
Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte PutRolePermissionsBoundary
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloput-role-policy
.
- AWS CLI
-
Para adjuntar una política de permisos a un IAM rol
El siguiente comando
put-role-policy
agrega una política de permisos al rol denominadoTest-Role
.aws iam put-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
\ --policy-documentfile://AdminPolicy.json
Este comando no genera ninguna salida.
La política se define como un JSON documento del AdminPolicyarchivo.json. (El nombre y la extensión del archivo no son significativos).
Para asociar una política de confianza a un rol, utilice el comando
update-assume-role-policy
.Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte PutRolePolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloput-user-permissions-boundary
.
- AWS CLI
-
Ejemplo 1: aplicar a un IAM usuario un límite de permisos basado en una política personalizada
En el siguiente
put-user-permissions-boundary
ejemplo, se aplica una política personalizadaintern-boundary
denominada límite de permisos para el IAM usuario especificado.aws iam put-user-permissions-boundary \ --permissions-boundary
arn:aws:iam::123456789012:policy/intern-boundary
\ --user-nameintern
Este comando no genera ninguna salida.
Ejemplo 2: Para aplicar a un IAM usuario un límite de permisos basado en una política AWS administrada
En el siguiente
put-user-permissions-boundary
ejemplo, se aplica la política AWS administradaPowerUserAccess
denominada límite de permisos para el usuario especificadoIAM.aws iam put-user-permissions-boundary \ --permissions-boundary
arn:aws:iam::aws:policy/PowerUserAccess
\ --user-namedeveloper
Este comando no genera ninguna salida.
Para obtener más información, consulte Añadir y eliminar permisos de IAM identidad en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte PutUserPermissionsBoundary
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloput-user-policy
.
- AWS CLI
-
Para adjuntar una política a un IAM usuario
El siguiente
put-user-policy
comando adjunta una política al IAM usuario nombradoBob
.aws iam put-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
\ --policy-documentfile://AdminPolicy.json
Este comando no genera ninguna salida.
La política se define como un JSON documento del AdminPolicyarchivo.json. (El nombre y la extensión del archivo no son significativos).
Para obtener más información, consulte Añadir y eliminar permisos de IAM identidad en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte PutUserPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloremove-client-id-from-open-id-connect-provider
.
- AWS CLI
-
Para eliminar el ID de cliente especificado de la lista de clientes IDs registrados para el proveedor de IAM OpenID Connect especificado
En este ejemplo, se elimina el ID
My-TestApp-3
de cliente de la lista de clientes IDs asociados al IAM OIDC proveedor del que ARN se encuentraarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
.aws iam remove-client-id-from-open-id-connect-provider --client-id
My-TestApp-3
\ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
Este comando no genera ninguna salida.
Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte RemoveClientIdFromOpenIdConnectProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloremove-role-from-instance-profile
.
- AWS CLI
-
Cómo eliminar un rol de un perfil de instancia
El siguiente comando
remove-role-from-instance-profile
elimina el rol llamadoTest-Role
del perfil de instancia denominadoExampleInstanceProfile
.aws iam remove-role-from-instance-profile \ --instance-profile-name
ExampleInstanceProfile
\ --role-nameTest-Role
Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte RemoveRoleFromInstanceProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloremove-user-from-group
.
- AWS CLI
-
Para eliminar un usuario de un IAM grupo
El siguiente
remove-user-from-group
comando elimina el usuario nombradoBob
del IAM grupo denominadoAdmins
.aws iam remove-user-from-group \ --user-name
Bob
\ --group-nameAdmins
Este comando no genera ninguna salida.
Para obtener más información, consulte Añadir y eliminar usuarios de un grupo IAM de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte RemoveUserFromGroup
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloreset-service-specific-credential
.
- AWS CLI
-
Ejemplo 1: restablecer la contraseña de una credencial específica del servicio adjunta al usuario que realiza la solicitud
El siguiente
reset-service-specific-credential
ejemplo genera una nueva contraseña segura desde el punto de vista criptográfico para la credencial específica del servicio especificada adjunta al usuario que realiza la solicitud.aws iam reset-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
Salida:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Ejemplo 2: restablecer la contraseña de una credencial específica del servicio adjunta a un usuario específico
El siguiente
reset-service-specific-credential
ejemplo genera una nueva contraseña criptográficamente segura para una credencial específica del servicio adjunta al usuario especificado.aws iam reset-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
Salida:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.
-
Para API obtener más información, consulte ResetServiceSpecificCredential
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloresync-mfa-device
.
- AWS CLI
-
Para sincronizar un dispositivo MFA
El siguiente
resync-mfa-device
ejemplo sincroniza el MFA dispositivo que está asociado al IAM usuarioBob
y cuyo dispositivo ARN está asociadoarn:aws:iam::123456789012:mfa/BobsMFADevice
con un programa de autenticación que proporcionó los dos códigos de autenticación.aws iam resync-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
\ --authentication-code1123456
\ --authentication-code2987654
Este comando no genera ninguna salida.
Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte ResyncMfaDevice
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloset-default-policy-version
.
- AWS CLI
-
Cómo establecer la versión especificada de la política especificada como la versión predeterminada de la política.
En este ejemplo, se establece la
v2
versión de la políticaarn:aws:iam::123456789012:policy/MyPolicy
que ARN es la versión activa predeterminada.aws iam set-default-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte SetDefaultPolicyVersion
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloset-security-token-service-preferences
.
- AWS CLI
-
Para configurar la versión del token de punto final global
El siguiente
set-security-token-service-preferences
ejemplo configura Amazon STS para que utilice los tokens de la versión 2 al autenticarse en el punto final global.aws iam set-security-token-service-preferences \ --global-endpoint-token-version
v2Token
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar AWS STS en una AWS región en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte SetSecurityTokenServicePreferences
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlosimulate-custom-policy
.
- AWS CLI
-
Ejemplo 1: simular los efectos de todas IAM las políticas asociadas a un IAM usuario o rol
A continuación, se
simulate-custom-policy
muestra cómo proporcionar la política y definir los valores de las variables y simular una API llamada para ver si está permitida o denegada. El siguiente ejemplo muestra una política que permite el acceso a la base de datos solo después de una fecha y hora especificadas. La simulación se realiza correctamente porque las acciones simuladas y laaws:CurrentTime
variable especificada cumplen todos los requisitos de la política.aws iam simulate-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}
' \ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"
Salida:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "PolicyInputList.1", "StartPosition": { "Line": 1, "Column": 38 }, "EndPosition": { "Line": 1, "Column": 167 } } ], "MissingContextValues": [] } ] }
Ejemplo 2: simular un comando prohibido por la política
El siguiente
simulate-custom-policy
ejemplo muestra los resultados de la simulación de un comando prohibido por la política. En este ejemplo, la fecha proporcionada es anterior a la requerida por la condición de la política.aws iam simulate-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}
' \ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"
Salida:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }
Para obtener más información, consulte Probar IAM políticas con el simulador IAM de políticas en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte SimulateCustomPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlosimulate-principal-policy
.
- AWS CLI
-
Ejemplo 1: simular los efectos de una IAM política arbitraria
A continuación, se
simulate-principal-policy
muestra cómo simular que un usuario solicita una API acción y cómo determinar si las políticas asociadas a ese usuario permiten o deniegan la acción. En el siguiente ejemplo, el usuario tiene una política que solo permite lacodecommit:ListRepositories
acción.aws iam simulate-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/alejandro
\ --action-namescodecommit:ListRepositories
Salida:
{ "EvaluationResults": [ { "EvalActionName": "codecommit:ListRepositories", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo", "StartPosition": { "Line": 3, "Column": 19 }, "EndPosition": { "Line": 9, "Column": 10 } } ], "MissingContextValues": [] } ] }
Ejemplo 2: simular los efectos de un comando prohibido
El siguiente
simulate-custom-policy
ejemplo muestra los resultados de la simulación de un comando prohibido por una de las políticas del usuario. En el ejemplo siguiente, el usuario tiene una política que permite el acceso a una base de datos de DynamoDB solo después de una fecha y hora determinadas. En la simulación, el usuario intenta acceder a la base de datos con unaws:CurrentTime
valor anterior a lo que permite la condición de la política.aws iam simulate-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/alejandro
\ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"
Salida:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }
Para obtener más información, consulte Probar IAM políticas con el simulador IAM de políticas en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte SimulatePrincipalPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-instance-profile
.
- AWS CLI
-
Para añadir una etiqueta a un perfil de instancia
El siguiente
tag-instance-profile
comando agrega una etiqueta con el nombre de un departamento al perfil de instancia especificado.aws iam tag-instance-profile \ --instance-profile-name
deployment-role
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte TagInstanceProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-mfa-device
.
- AWS CLI
-
Para añadir una etiqueta a un MFA dispositivo
El siguiente
tag-mfa-device
comando agrega una etiqueta con el nombre de un departamento al MFA dispositivo especificado.aws iam tag-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/alice
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte TagMfaDevice
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-open-id-connect-provider
.
- AWS CLI
-
Para añadir una etiqueta a un proveedor de identidad compatible con OpenID Connect (OIDC)
El siguiente
tag-open-id-connect-provider
comando agrega una etiqueta con el nombre de un departamento al proveedor de OIDC identidad especificado.aws iam tag-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte TagOpenIdConnectProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-policy
.
- AWS CLI
-
Para añadir una etiqueta a una política gestionada por el cliente
El siguiente
tag-policy
comando agrega una etiqueta con el nombre de un departamento a la política administrada por el cliente especificada.aws iam tag-policy \ --policy-arn
arn:aws:iam::123456789012:policy/billing-access
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte TagPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-role
.
- AWS CLI
-
Cómo añadir una etiqueta a un rol
El siguiente comando
tag-role
agrega una etiqueta con el nombre de un departamento al rol especificado.aws iam tag-role --role-name
my-role
\ --tags '{"Key": "Department", "Value": "Accounting"}
'Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte TagRole
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-saml-provider
.
- AWS CLI
-
Para añadir una etiqueta a un SAML proveedor
El siguiente
tag-saml-provider
comando agrega una etiqueta con el nombre de un departamento al SAML proveedor especificado.aws iam tag-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte TagSamlProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-server-certificate
.
- AWS CLI
-
Para agregar una etiqueta a un certificado de servidor
El siguiente
tag-saml-provider
comando agrega una etiqueta con el nombre de un departamento al certificado de servidor especificado.aws iam tag-server-certificate \ --server-certificate-name
ExampleCertificate
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte TagServerCertificate
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-user
.
- AWS CLI
-
Cómo añadir una etiqueta a un usuario
El siguiente comando
tag-user
agrega una etiqueta con el departamento asociado al usuario especificado.aws iam tag-user \ --user-name
alice
\ --tags '{"Key": "Department", "Value": "Accounting"}
'Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte TagUser
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-instance-profile
.
- AWS CLI
-
Para eliminar una etiqueta de un perfil de instancia
El siguiente
untag-instance-profile
comando elimina cualquier etiqueta con el nombre clave «Departamento» del perfil de instancia especificado.aws iam untag-instance-profile \ --instance-profile-name
deployment-role
\ --tag-keysDepartment
Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UntagInstanceProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-mfa-device
.
- AWS CLI
-
Para quitar una etiqueta de un MFA dispositivo
El siguiente
untag-mfa-device
comando elimina cualquier etiqueta con el nombre clave «Departamento» del MFA dispositivo especificado.aws iam untag-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/alice
\ --tag-keysDepartment
Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UntagMfaDevice
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-open-id-connect-provider
.
- AWS CLI
-
Para eliminar una etiqueta de un proveedor OIDC de identidad
El siguiente
untag-open-id-connect-provider
comando elimina cualquier etiqueta con el nombre clave «Departamento» del proveedor de OIDC identidad especificado.aws iam untag-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
\ --tag-keysDepartment
Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UntagOpenIdConnectProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-policy
.
- AWS CLI
-
Para eliminar una etiqueta de una política gestionada por el cliente
El siguiente
untag-policy
comando elimina cualquier etiqueta con el nombre clave «Departamento» de la política gestionada por el cliente especificada.aws iam untag-policy \ --policy-arn
arn:aws:iam::452925170507:policy/billing-access
\ --tag-keysDepartment
Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UntagPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-role
.
- AWS CLI
-
Cómo eliminar una etiqueta de un rol
El siguiente comando
untag-role
elimina cualquier etiqueta con el nombre clave “Departamento” del rol especificado.aws iam untag-role \ --role-name
my-role
\ --tag-keysDepartment
Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UntagRole
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-saml-provider
.
- AWS CLI
-
Para eliminar una etiqueta de un SAML proveedor
El siguiente
untag-saml-provider
comando elimina cualquier etiqueta con el nombre clave «Departamento» del perfil de instancia especificado.aws iam untag-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
\ --tag-keysDepartment
Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UntagSamlProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-server-certificate
.
- AWS CLI
-
Para eliminar una etiqueta de un certificado de servidor
El siguiente
untag-server-certificate
comando elimina cualquier etiqueta con el nombre clave «Departamento» del certificado de servidor especificado.aws iam untag-server-certificate \ --server-certificate-name
ExampleCertificate
\ --tag-keysDepartment
Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UntagServerCertificate
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-user
.
- AWS CLI
-
Cómo eliminar una etiqueta de un usuario
El siguiente comando
untag-user
elimina cualquier etiqueta con el nombre clave “Departamento” del usuario especificado.aws iam untag-user \ --user-name
alice
\ --tag-keysDepartment
Este comando no genera ninguna salida.
Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UntagUser
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-access-key
.
- AWS CLI
-
Para activar o desactivar una clave de acceso para un usuario IAM
El siguiente
update-access-key
comando desactiva la clave de acceso especificada (identificador de clave de acceso y clave de acceso secreta) para el IAM usuario nombrado.Bob
aws iam update-access-key \ --access-key-id
AKIAIOSFODNN7EXAMPLE
\ --statusInactive
\ --user-nameBob
Este comando no genera ninguna salida.
Si se desactiva la clave, no se puede utilizar para acceder a ella mediante programación. AWS Sin embargo, la clave sigue disponible y se puede reactivar.
Para obtener más información, consulte Administrar las claves de acceso para IAM los usuarios en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte UpdateAccessKey
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-account-password-policy
.
- AWS CLI
-
Cómo ver la política de contraseñas de la cuenta actual
El siguiente comando
update-account-password-policy
establece que la política de contraseñas requiera una longitud mínima de ocho caracteres y que la contraseña contenga uno o más números.aws iam update-account-password-policy \ --minimum-password-length
8
\ --require-numbersEste comando no genera ninguna salida.
Los cambios en la política de contraseñas de una cuenta afectan a cualquier contraseña nueva que se cree para IAM los usuarios de la cuenta. Los cambios en la política de contraseñas no afectan a las contraseñas existentes.
Para obtener más información, consulte Establecer una política de contraseñas de cuentas para IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateAccountPasswordPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-assume-role-policy
.
- AWS CLI
-
Para actualizar la política de confianza de un IAM rol
El siguiente comando
update-assume-role-policy
actualiza la política de confianza del rol denominadoTest-Role
.aws iam update-assume-role-policy \ --role-name
Test-Role
\ --policy-documentfile://Test-Role-Trust-Policy.json
Este comando no genera ninguna salida.
La política de confianza se define como un JSON documento del archivo test-role-trust-policy.json. (El nombre y la extensión del archivo no son significativos). La política de confianza debe especificar una entidad principal.
Utilice el comando
put-role-policy
para actualizar la política de permisos de un rol.Para obtener más información, consulte Creación de funciones en la Guía del usuario. IAM AWS IAM
-
Para API obtener más información, consulte UpdateAssumeRolePolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-group
.
- AWS CLI
-
Para cambiar el nombre de un grupo IAM
El siguiente
update-group
comando cambia el nombre del IAM grupoTest
aTest-1
.aws iam update-group \ --group-name
Test
\ --new-group-nameTest-1
Este comando no genera ninguna salida.
Para obtener más información, consulte Cambiar el nombre de un grupo IAM de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateGroup
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-login-profile
.
- AWS CLI
-
Para actualizar la contraseña de un IAM usuario
El siguiente
update-login-profile
comando crea una contraseña nueva para el IAM usuario nombradoBob
.aws iam update-login-profile \ --user-name
Bob
\ --password<password>
Este comando no genera ninguna salida.
Para establecer una política de contraseñas para la cuenta, use el comando
update-account-password-policy
. Si la nueva contraseña infringe la política de contraseñas de la cuenta, el comando devuelve un error dePasswordPolicyViolation
.Si la política de contraseñas de la cuenta lo permite, IAM los usuarios pueden cambiar sus propias contraseñas mediante el
change-password
comando.Guarde la nueva contraseña en un lugar seguro. Si se pierde la contraseña, no se puede recuperar y debe crear una nueva con el comando
create-login-profile
.Para obtener más información, consulte Administrar las contraseñas de IAM los usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateLoginProfile
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-open-id-connect-provider-thumbprint
.
- AWS CLI
-
Cómo reemplazar la lista existente de huellas digitales de certificados de servidor por una nueva lista
En este ejemplo, se actualiza la lista de huellas digitales de los certificados del OIDC proveedor que ARN va
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
a utilizar una nueva huella digital.aws iam update-open-id-connect-provider-thumbprint \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
\ --thumbprint-list7359755EXAMPLEabc3060bce3EXAMPLEec4542a3
Este comando no genera ninguna salida.
Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.
-
Para API obtener más información, consulte UpdateOpenIdConnectProviderThumbprint
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-role-description
.
- AWS CLI
-
Para cambiar la descripción de un IAM rol
El siguiente
update-role
comando cambia la descripción del IAM rolproduction-role
aMain production role
.aws iam update-role-description \ --role-name
production-role
\ --description 'Main production role
'Salida:
{ "Role": { "Path": "/", "RoleName": "production-role", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/production-role", "CreateDate": "2017-12-06T17:16:37+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }, "Description": "Main production role" } }
Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateRoleDescription
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-role
.
- AWS CLI
-
Para cambiar la descripción de un IAM rol o la duración de la sesión
El siguiente
update-role
comando cambia la descripción del IAM rolproduction-role
a 12 horasMain production role
y establece la duración máxima de la sesión en 12 horas.aws iam update-role \ --role-name
production-role
\ --description 'Main production role
' \ --max-session-duration43200
Este comando no genera ninguna salida.
Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateRole
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-saml-provider
.
- AWS CLI
-
Para actualizar el documento de metadatos de un SAML proveedor existente
En este ejemplo, se actualiza el SAML proveedor IAM en el ARN que se encuentra
arn:aws:iam::123456789012:saml-provider/SAMLADFS
con un nuevo documento de SAML metadatos del archivoSAMLMetaData.xml
.aws iam update-saml-provider \ --saml-metadata-document
file://SAMLMetaData.xml
\ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/SAMLADFS
Salida:
{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS" }
Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateSamlProvider
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-server-certificate
.
- AWS CLI
-
Para cambiar la ruta o el nombre de un certificado de servidor de su AWS cuenta
El siguiente comando
update-server-certificate
cambia el nombre del certificado demyServerCertificate
amyUpdatedServerCertificate
. También cambia la ruta para/cloudfront/
que el CloudFront servicio de Amazon pueda acceder a ella. Este comando no genera ninguna salida. Puede ver los resultados de la actualización al ejecutar el comandolist-server-certificates
.aws-iam update-server-certificate \ --server-certificate-name
myServerCertificate
\ --new-server-certificate-namemyUpdatedServerCertificate
\ --new-path/cloudfront/
Este comando no genera ninguna salida.
Para obtener más información, consulte Gestión de certificados de servidor IAM en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateServerCertificate
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloupdate-service-specific-credential
.
- AWS CLI
-
Ejemplo 1: Para actualizar el estado de la credencial específica del servicio del usuario solicitante
El siguiente
update-service-specific-credential
ejemplo cambia el estado de la credencial especificada para el usuario al que realiza la solicitud.Inactive
aws iam update-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
\ --statusInactive
Este comando no genera ninguna salida.
Ejemplo 2: Para actualizar el estado de la credencial específica del servicio de un usuario específico
En el siguiente
update-service-specific-credential
ejemplo, se cambia el estado de la credencial del usuario especificado a Inactivo.aws iam update-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
\ --statusInactive
Este comando no genera ninguna salida.
Para obtener más información, consulte Crear credenciales de Git para HTTPS las conexiones a CodeCommit en la Guía del AWS CodeCommit usuario
-
Para API obtener más información, consulte UpdateServiceSpecificCredential
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloupdate-signing-certificate
.
- AWS CLI
-
Para activar o desactivar un certificado de firma para un usuario IAM
El siguiente
update-signing-certificate
comando desactiva el certificado de firma especificado para el IAM usuario nombrado.Bob
aws iam update-signing-certificate \ --certificate-id
TA7SMP42TDN5Z26OBPJE7EXAMPLE
\ --statusInactive
\ --user-nameBob
Para obtener el ID de un certificado de firma, use el comando
list-signing-certificates
.Para obtener más información, consulta Administrar certificados de firma en la Guía del EC2 usuario de Amazon.
-
Para API obtener más información, consulte UpdateSigningCertificate
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloupdate-ssh-public-key
.
- AWS CLI
-
Para cambiar el estado de una clave SSH pública
El siguiente
update-ssh-public-key
comando cambia el estado de la clave pública especificada aInactive
.aws iam update-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA1234567890EXAMPLE
\ --statusInactive
Este comando no genera ninguna salida.
Para obtener más información, consulte Uso y SSH uso de SSH las teclas CodeCommit en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateSshPublicKey
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloupdate-user
.
- AWS CLI
-
Para cambiar el nombre de un IAM usuario
El siguiente
update-user
comando cambia el nombre del IAM usuarioBob
aRobert
.aws iam update-user \ --user-name
Bob
\ --new-user-nameRobert
Este comando no genera ninguna salida.
Para obtener más información, consulte Cambiar el nombre de un grupo IAM de usuarios en la Guía del AWS IAM usuario.
-
Para API obtener más información, consulte UpdateUser
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloupload-server-certificate
.
- AWS CLI
-
Para cargar un certificado de servidor en su AWS cuenta
El siguiente upload-server-certificatecomando carga un certificado de servidor en su AWS cuenta. En este ejemplo, el certificado está en el archivo
public_key_cert_file.pem
, la clave privada asociada está en el archivomy_private_key.pem
y la cadena de certificados proporcionada por la entidad de certificación (CA) está en el archivomy_certificate_chain_file.pem
. Cuando el archivo haya terminado de cargarse, estará disponible con ese nombre. myServerCertificate Los parámetros que comienzan confile://
indican al comando que lea el contenido del archivo y lo use como valor del parámetro en lugar del nombre del archivo en sí.aws iam upload-server-certificate \ --server-certificate-name
myServerCertificate
\ --certificate-bodyfile://public_key_cert_file.pem
\ --private-keyfile://my_private_key.pem
\ --certificate-chainfile://my_certificate_chain_file.pem
Salida:
{ "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" } }
Para obtener más información, consulte Creación, carga y eliminación de certificados de servidor en la guía de uso IAM.
-
Para API obtener más información, consulte UploadServerCertificate
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloupload-signing-certificate
.
- AWS CLI
-
Para cargar un certificado de firma para un IAM usuario
El siguiente
upload-signing-certificate
comando carga un certificado de firma para el IAM usuario nombradoBob
.aws iam upload-signing-certificate \ --user-name
Bob
\ --certificate-bodyfile://certificate.pem
Salida:
{ "Certificate": { "UserName": "Bob", "Status": "Active", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08.121Z" } }
El certificado está en un archivo con el formato certificate.pem. PEM
Para obtener más información, consulte Creación y carga de un certificado de firma de usuario en la guía de uso. IAM
-
Para API obtener más información, consulte UploadSigningCertificate
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usarloupload-ssh-public-key
.
- AWS CLI
-
Para cargar una clave SSH pública y asociarla a un usuario
El siguiente
upload-ssh-public-key
comando carga la clave pública que se encuentra en el archivosshkey.pub
y la adjunta al usuario.sofia
aws iam upload-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-bodyfile://sshkey.pub
Salida:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>", "Status": "Active", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Para obtener más información sobre cómo generar claves en un formato adecuado para este comando, consulte SSHLinux, macOS o Unix: configurar las claves públicas y privadas para Git CodeCommit o SSHWindows: configurar las claves públicas y privadas para Git y CodeCommit en la Guía del AWS CodeCommit usuario.
-
Para API obtener más información, consulte UploadSshPublicKey
la Referencia de AWS CLI comandos.
-