IAMejemplos que utilizan AWS CLI

Para añadir un ID de cliente (audiencia) a un proveedor de Open-ID Connect (OIDC)

El siguiente add-client-id-to-open-id-connect-provider comando agrega el ID de cliente my-application-ID al OIDC proveedor nombradoserver.example.com.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Este comando no genera ninguna salida.

Para crear un OIDC proveedor, utilice el create-open-id-connect-provider comando.

Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.

Cómo añadir un rol a un perfil de instancia

El siguiente comando add-role-to-instance-profile agrega el rol nombrado S3Access al perfil de instancia llamado Webserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Este comando no genera ninguna salida.

Para crear un perfil de instancia, utilice el comando create-instance-profile.

Para obtener más información, consulte Uso de un IAM rol para conceder permisos a aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del AWS IAM usuario.

Para añadir un usuario a un IAM grupo

El siguiente add-user-to-group comando agrega un IAM usuario nombrado Bob al IAM grupo denominadoAdmins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Este comando no genera ninguna salida.

Para obtener más información, consulte Añadir y eliminar usuarios de un grupo IAM de usuarios en la Guía del AWS IAM usuario.

Para adjuntar una política gestionada a un IAM grupo

El siguiente attach-group-policy comando adjunta la política AWS administrada nombrada ReadOnlyAccess al IAM grupo denominadoFinance.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Este comando no genera ninguna salida.

Para obtener más información, consulte Políticas administradas y políticas integradas en la Guía del AWS IAMusuario.

Para adjuntar una política gestionada a un IAM rol

El siguiente attach-role-policy comando adjunta la política AWS administrada nombrada ReadOnlyAccess al IAM rol nombradoReadOnlyRole.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Este comando no genera ninguna salida.

Para obtener más información, consulte Políticas administradas y políticas integradas en la Guía del AWS IAMusuario.

Para adjuntar una política gestionada a un IAM usuario

El siguiente attach-user-policy comando adjunta la política AWS administrada nombrada AdministratorAccess al IAM usuario nombradoAlice.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Este comando no genera ninguna salida.

Para obtener más información, consulte Políticas administradas y políticas integradas en la Guía del AWS IAMusuario.

Para cambiar la contraseña de su IAM usuario

Para cambiar la contraseña de su IAM usuario, le recomendamos que utilice el --cli-input-json parámetro para pasar un JSON archivo que contenga las contraseñas antiguas y nuevas. Con este método, puede utilizar contraseñas seguras con caracteres no alfanuméricos. Puede resultar difícil utilizar contraseñas con caracteres no alfanuméricos al pasarlas como parámetros de la línea de comandos. Para usar el parámetro --cli-input-json, comience por usar el comando change-password con el parámetro --generate-cli-skeleton, como en el siguiente ejemplo.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

El comando anterior crea un JSON archivo llamado change-password.json que puedes usar para rellenar tus contraseñas antiguas y nuevas. Por ejemplo, el rol podría tener el siguiente aspecto.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

A continuación, para cambiar la contraseña, vuelva a utilizar el change-password comando, esta vez pasando el --cli-input-json parámetro para especificar el archivo. JSON El change-password comando siguiente usa el --cli-input-json parámetro con un JSON archivo llamado change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Este comando no genera ninguna salida.

Solo los usuarios pueden llamar a este comando. IAM Si se llama a este comando con las credenciales de la AWS cuenta (root), el comando devuelve un InvalidUserType error.

Para obtener más información, consulte Cómo un IAM usuario cambia su propia contraseña en la Guía del AWS IAM usuario.

Para crear una clave de acceso para un IAM usuario

El siguiente create-access-key comando crea una clave de acceso (identificador de clave de acceso y clave de acceso secreta) para el IAM usuario nombradoBob.

aws iam create-access-key \
    --user-name Bob

Salida:

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Almacene la clave de acceso secreta en un lugar seguro. Si se pierde, no se puede recuperar y debe crear una nueva clave de acceso.

Para obtener más información, consulte Administrar las claves de acceso de IAM los usuarios en la Guía del AWS IAM usuario.

Cómo crear un alias de una cuenta

El siguiente create-account-alias comando crea el alias examplecorp de su AWS cuenta.

aws iam create-account-alias \
    --account-alias examplecorp

Este comando no genera ninguna salida.

Para obtener más información, consulta el identificador de AWS cuenta y su alias en la Guía del AWS IAM usuario.

Para crear un IAM grupo

El siguiente create-group comando crea un IAM grupo denominadoAdmins.

aws iam create-group \
    --group-name Admins

Salida:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Para obtener más información, consulte Creación IAM de grupos de usuarios en la Guía del AWS IAM usuario.

Cómo crear un perfil de instancia

El siguiente comando create-instance-profile crea un perfil de instancia denominado Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Salida:

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Para añadir un rol a un perfil de instancia, utilice el comando add-role-to-instance-profile.

Para obtener más información, consulte Uso de un IAM rol para conceder permisos a aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del AWS IAM usuario.

Para crear una contraseña para un IAM usuario

Para crear una contraseña para un IAM usuario, se recomienda utilizar el --cli-input-json parámetro para pasar un JSON archivo que contenga la contraseña. Con este método, puede crear una contraseña segura con caracteres no alfanuméricos. Puede resultar difícil crear una contraseña con caracteres no alfanuméricos si la pasa como parámetro de la línea de comandos.

Para usar el parámetro --cli-input-json, comience por usar el comando create-login-profile con el parámetro --generate-cli-skeleton, como en el siguiente ejemplo.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

El comando anterior crea un JSON archivo denominado create-login-profile .json que puede utilizar para rellenar la información de un create-login-profile comando posterior. Por ejemplo:

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

A continuación, para crear una contraseña para un IAM usuario, vuelva a utilizar el create-login-profile comando, esta vez pasando el --cli-input-json parámetro para especificar el JSON archivo. El create-login-profile comando siguiente usa el --cli-input-json parámetro con un JSON archivo denominado create-login-profile .json.

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Salida:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Si la nueva contraseña infringe la política de contraseñas de la cuenta, el comando devuelve el error PasswordPolicyViolation.

Para cambiar la contraseña de un usuario que ya posee una, utilice update-login-profile. Para establecer una política de contraseñas para la cuenta, utilice el comando update-account-password-policy.

Si la política de contraseñas de la cuenta lo permite, IAM los usuarios pueden cambiar sus propias contraseñas mediante el change-password comando.

Para obtener más información, consulte Administrar las contraseñas de IAM los usuarios en la Guía del AWS IAM usuario.

Para crear un proveedor de OpenID Connect () OIDC

Para crear un proveedor de OpenID Connect (OIDC), se recomienda utilizar el --cli-input-json parámetro para pasar un JSON archivo que contenga los parámetros necesarios. Al crear un OIDC proveedor, debe pasar el URL del proveedor y el URL debe empezar https:// por. Puede resultar difícil pasarlo URL como parámetro de línea de comandos, ya que los dos puntos (:)) y la barra inclinada (/) tienen un significado especial en algunos entornos de línea de comandos. El uso del parámetro --cli-input-json evita esta limitación.

Para usar el parámetro --cli-input-json, comience por usar el comando create-open-id-connect-provider con el parámetro --generate-cli-skeleton, como en el siguiente ejemplo.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

El comando anterior crea un JSON archivo denominado create-open-id-connect -provider.json que puede utilizar para rellenar la información de un comando posterior. create-open-id-connect-provider Por ejemplo:

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

A continuación, para crear el proveedor OpenID Connect (OIDC), vuelva a utilizar el create-open-id-connect-provider comando, esta vez pasando el --cli-input-json parámetro para especificar el archivoJSON. El create-open-id-connect-provider comando siguiente usa el --cli-input-json parámetro con un JSON archivo llamado create-open-id-connect -provider.json.

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Salida:

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Para obtener más información sobre OIDC los proveedores, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.

Para obtener más información sobre la obtención de huellas digitales para un OIDC proveedor, consulte Obtención de la huella digital para un proveedor de identidades de OpenID Connect en la Guía del usuario.AWS IAM

Cómo crear una nueva versión de la política administrada

En este ejemplo, se crea una nueva v2 versión de la IAM política cuyo ARN es arn:aws:iam::123456789012:policy/MyPolicy y la convierte en la versión predeterminada.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Salida:

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Para obtener más información, consulte IAMlas políticas de control de versiones en la Guía del AWS IAM usuario.

Ejemplo 1: cómo crear una política administrada por el cliente

El siguiente comando crea una política administrada por el cliente denominada my-policy.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy

El archivo policy es un JSON documento de la carpeta actual que concede acceso de solo lectura a la shared carpeta de un bucket de Amazon S3 denominadomy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/shared/*"
            ]
        }
    ]
}

Salida:

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Para obtener más información sobre el uso de archivos como entrada para los parámetros de cadena, consulte Especificar los valores de los parámetros AWS CLI en la Guía del AWS CLI usuario.

Ejemplo 2: cómo crear una política administrada por el cliente con una descripción

El siguiente comando crea una política administrada por el cliente denominada my-policy con una descripción inmutable:

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for my-bucket"

El archivo policy.json es un JSON documento de la carpeta actual que permite el acceso a todas las acciones Put, List y Get de un bucket de Amazon S3 denominadomy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "s3:ListBucket*",
                 "s3:PutBucket*",
                 "s3:GetBucket*"
             ],
             "Resource": [
                 "arn:aws:s3:::my-bucket"
             ]
         }
     ]
 }

Salida:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Para obtener más información sobre las políticas basadas en la identidad, consulte las políticas basadas en la identidad y las políticas basadas en recursos en la Guía del usuario.AWS IAM

Ejemplo 3: cómo crear una política administrada por el cliente con etiquetas

El siguiente comando crea una política administrada por el cliente denominada my-policy con etiquetas. En este ejemplo, se utiliza el indicador de --tags parámetros con las siguientes etiquetas con formato:. JSON '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Alternativamente, el indicador --tags se puede usar con etiquetas en formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

El archivo policy.json es un JSON documento de la carpeta actual que permite el acceso a todas las acciones Put, List y Get de un bucket de Amazon S3 denominadomy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "s3:ListBucket*",
                 "s3:PutBucket*",
                 "s3:GetBucket*"
             ],
             "Resource": [
                 "arn:aws:s3:::my-bucket"
             ]
         }
     ]
 }

Salida:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {

        ]
    }
}

Para obtener más información sobre las políticas de etiquetado, consulte Etiquetar las políticas administradas por los clientes en la Guía del AWS IAMusuario.

Ejemplo 1: Para crear un IAM rol

El siguiente comando create-role crean un rol denominado Test-Role y le asocia una política de confianza.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Salida:

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La política de confianza se define como un JSON documento del archivo test-role-trust-policy.json. (El nombre y la extensión del archivo no son significativos). La política de confianza debe especificar una entidad principal.

Utilice el comando put-role-policy para asociar una política de permisos a un rol.

Para obtener más información, consulte Creación de funciones en la Guía del usuario. IAM AWS IAM

Ejemplo 2: Para crear un IAM rol con una duración de sesión máxima especificada

El siguiente comando create-role crea un rol denominado Test-Role y establece una duración máxima de sesión de 7200 segundos (2 horas).

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Salida:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Para obtener más información, consulte Modificación de la duración máxima de sesión de un rol (AWS API) en la Guía del AWS IAM usuario.

Ejemplo 3: Para crear un IAM rol con etiquetas

El siguiente comando crea un IAM rol Test-Role con etiquetas. En este ejemplo, se utiliza el indicador de --tags parámetros con las siguientes etiquetas con JSON formato:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Alternativamente, el indicador --tags se puede usar con etiquetas en formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Salida:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Para obtener más información, consulte Etiquetado de IAM roles en la Guía del AWS IAM usuario.

Para crear un SAML proveedor

En este ejemplo se crea un nuevo SAML proveedor en IAM namedMySAMLProvider. Se describe en el documento de SAML metadatos que se encuentra en el archivoSAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Salida:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.

Cómo crear un rol vinculado a un servicio

En el siguiente create-service-linked-role ejemplo, se crea un rol vinculado a un servicio para el AWS servicio especificado y se adjunta la descripción especificada.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Salida:

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Para obtener más información, consulte Uso de funciones vinculadas a servicios en la Guía del usuario.AWS IAM

Cree un conjunto de credenciales específicas del servicio para un usuario

El siguiente create-service-specific-credential ejemplo crea un nombre de usuario y una contraseña que se pueden usar para acceder únicamente al servicio configurado.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Salida:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.

Ejemplo 1: Para crear un IAM usuario

El siguiente create-user comando crea un IAM usuario con el nombre Bob de la cuenta actual.

aws iam create-user \
    --user-name Bob

Salida:

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Para obtener más información, consulte Crear un IAM usuario en su AWS cuenta en la Guía del AWS IAM usuario.

Ejemplo 2: Para crear un IAM usuario en una ruta específica

El siguiente create-user comando crea un IAM usuario con el nombre Bob de la ruta especificada.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Salida:

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Para obtener más información, consulte los IAMidentificadores en la Guía del AWS IAM usuario.

Ejemplo 3: Crear un IAM usuario con etiquetas

El siguiente create-user comando crea un IAM usuario nombrado Bob con etiquetas. En este ejemplo, se utiliza el indicador de --tags parámetros con las siguientes etiquetas con JSON formato:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Alternativamente, el indicador --tags se puede usar con etiquetas en formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Salida:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Para obtener más información, consulte Etiquetado de IAM usuarios en la Guía del AWS IAM usuario.

Ejemplo 3: Para crear un IAM usuario con un límite de permisos establecido

El siguiente create-user comando crea un nombre IAM de usuario Bob con el límite de permisos de AmazonS3FullAccess.

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Salida:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Para obtener más información, consulte los límites de los permisos para IAM las entidades en la Guía del AWS IAM usuario.

Para crear un MFA dispositivo virtual

En este ejemplo se crea un nuevo MFA dispositivo virtual llamadoBobsMFADevice. Crea un archivo que contiene la información de arranque denominada QRCode.png y la coloca en el directorio C:/. El método de arranque utilizado en este ejemplo es QRCodePNG.

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Salida:

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAM usuario.

Para desactivar un dispositivo MFA

Este comando desactiva el MFA dispositivo virtual con el ARN arn:aws:iam::210987654321:mfa/BobsMFADevice que está asociado al usuario. Bob

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Este comando no genera ninguna salida.

Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAMusuario.

Para decodificar un mensaje de error de autorización

En el siguiente decode-authorization-message ejemplo, se decodifica el mensaje devuelto por la EC2 consola al intentar lanzar una instancia sin los permisos necesarios.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

El resultado tiene el formato de una cadena de JSON texto de una sola línea que se puede analizar con cualquier JSON procesador de texto.

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Para obtener más información, consulta ¿Cómo puedo decodificar un mensaje de error de autorización tras recibir un error «UnauthorizedOperation» durante el lanzamiento de una instancia? EC2 en AWS Re:post.

Para eliminar una clave de acceso de un IAM usuario

El siguiente delete-access-key comando elimina la clave de acceso especificada (identificador de clave de acceso y clave de acceso secreta) del IAM usuario nombradoBob.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Este comando no genera ninguna salida.

Para enumerar las claves de acceso definidas para un IAM usuario, utilice el list-access-keys comando.

Para obtener más información, consulte Administrar las claves de acceso para IAM los usuarios en la Guía del AWS IAM usuario.

Cómo eliminar un alias de la cuenta

El siguiente comando delete-account-alias elimina el alias mycompany de la cuenta actual.

aws iam delete-account-alias \
    --account-alias mycompany

Este comando no genera ninguna salida.

Para obtener más información, consulta el identificador de AWS cuenta y su alias en la Guía del AWS IAM usuario.

Cómo eliminar la política de contraseñas actual de la cuenta

El siguiente comando delete-account-password-policy elimina la política de contraseñas para la cuenta actual.

aws iam delete-account-password-policy

Este comando no genera ninguna salida.

Para obtener más información, consulte Establecer una política de contraseñas de cuentas para IAM los usuarios en la Guía del AWS IAM usuario.

Para eliminar una política de un IAM grupo

El siguiente comando delete-group-policy elimina la política denominada ExamplePolicy del grupo denominado Admins.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Este comando no genera ninguna salida.

Para ver las políticas asociadas a un grupo, utilice el comando list-group-policies.

Para obtener más información, consulte Administración de IAM políticas en la Guía del AWS IAM usuario.

Para eliminar un IAM grupo

El siguiente delete-group comando elimina un IAM grupo denominadoMyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Este comando no genera ninguna salida.

Para obtener más información, consulte Eliminar un grupo IAM de usuarios en la Guía del AWS IAM usuario.

Cómo eliminar un perfil de instancia

El siguiente comando delete-instance-profile elimina el perfil de instancia denominado ExampleInstanceProfile.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Este comando no genera ninguna salida.

Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.

Para eliminar la contraseña de un IAM usuario

El siguiente delete-login-profile comando elimina la contraseña del IAM usuario nombradoBob.

aws iam delete-login-profile \
    --user-name Bob

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar las contraseñas de los IAM usuarios en la Guía del AWS IAM usuario.

Para eliminar un proveedor de IAM identidad de OpenID Connect

En este ejemplo, se elimina el IAM OIDC proveedor que se conecta al proveedor. example.oidcprovider.com

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Este comando no genera ninguna salida.

Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.

Cómo eliminar una versión de una política administrada

En este ejemplo, se elimina la versión identificada como v2 de la política cuya versión ARN esarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Este comando no genera ninguna salida.

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para eliminar una IAM política

En este ejemplo se elimina la política cuyo nombre ARN esarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Este comando no genera ninguna salida.

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para eliminar un límite de permisos de un IAM rol

En el siguiente delete-role-permissions-boundary ejemplo, se elimina el límite de permisos del IAM rol especificado. Para aplicar un límite de permisos a un rol, usa el comando put-role-permissions-boundary.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Este comando no genera ninguna salida.

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para eliminar una política de un IAM rol

El siguiente comando delete-role-policy elimina la política denominada ExamplePolicy del rol denominado Test-Role.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Este comando no genera ninguna salida.

Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.

Para eliminar un IAM rol

El siguiente comando delete-role elimina el rol denominado Test-Role.

aws iam delete-role \
    --role-name Test-Role

Este comando no genera ninguna salida.

Antes de poder eliminar un rol, debe eliminarlo de cualquier perfil de instancia (remove-role-from-instance-profile), separar cualquier política administrada (detach-role-policy) y eliminar cualquier política insertada que esté asociada al rol (delete-role-policy).

Para obtener más información, consulte Creación de IAM roles y Uso de perfiles de instancia en la Guía del AWS IAM usuario.

Para eliminar un SAML proveedor

En este ejemplo se elimina el proveedor IAM SAML 2.0 cuyo ARN esarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Este comando no genera ninguna salida.

Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.

Para eliminar un certificado de servidor de su AWS cuenta

El siguiente delete-server-certificate comando elimina el certificado de servidor especificado de su AWS cuenta.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Este comando no genera ninguna salida.

Para ver una lista de los certificados de servidor disponibles en su AWS cuenta, utilice el list-server-certificates comando.

Para obtener más información, consulte Administrar los certificados de servidor IAM en la Guía del AWS IAM usuario.

Cómo eliminar un rol vinculado a un servicio

En el siguiente ejemplo de delete-service-linked-role, se elimina el rol vinculado a un servicio especificado que ya no necesita. La eliminación se produce de forma asíncrona. Puede comprobar el estado de la eliminación y confirmar cuando se ha realizado con el comando get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Salida:

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Para obtener más información, consulte Uso de funciones vinculadas a servicios en la Guía del AWS IAMusuario.

Ejemplo 1: Eliminar una credencial específica del servicio para el usuario solicitante

En el siguiente delete-service-specific-credential ejemplo, se elimina la credencial específica del servicio especificada para el usuario que realiza la solicitud. service-specific-credential-idSe proporciona al crear la credencial y se puede recuperar mediante el comando. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Este comando no genera ninguna salida.

Ejemplo 2: Eliminar una credencial específica de un servicio para un usuario específico

En el siguiente delete-service-specific-credential ejemplo, se elimina la credencial específica del servicio especificada para el usuario especificado. service-specific-credential-idSe proporciona al crear la credencial y se puede recuperar mediante el comando. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Este comando no genera ninguna salida.

Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.

Para eliminar un certificado de firma de un IAM usuario

El siguiente delete-signing-certificate comando elimina el certificado de firma especificado para el IAM usuario nombradoBob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Este comando no genera ninguna salida.

Para obtener el ID de un certificado de firma, use el comando list-signing-certificates.

Para obtener más información, consulta Administrar certificados de firma en la Guía del EC2 usuario de Amazon.

Para eliminar una clave SSH pública adjunta a un IAM usuario

El siguiente delete-ssh-public-key comando elimina la clave SSH pública especificada adjunta al IAM usuariosofia.

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Este comando no genera ninguna salida.

Para obtener más información, consulte Uso y SSH uso de SSH las teclas CodeCommit en la Guía del AWS IAM usuario.

Para eliminar un límite de permisos de un IAM usuario

En el siguiente delete-user-permissions-boundary ejemplo, se elimina el límite de permisos adjunto al IAM usuario nombradointern. Para aplicar un límite de permisos a un usuario, use el comando put-user-permissions-boundary.

aws iam delete-user-permissions-boundary \
    --user-name intern

Este comando no genera ninguna salida.

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para eliminar una política de un IAM usuario

El siguiente delete-user-policy comando elimina la política especificada del IAM usuario nombradoBob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Este comando no genera ninguna salida.

Para obtener una lista de políticas para un IAM usuario, utilice el list-user-policies comando.

Para obtener más información, consulte Crear un IAM usuario en su AWS cuenta en la Guía del AWS IAM usuario.

Para eliminar un IAM usuario

El siguiente delete-user comando elimina el nombre Bob de IAM usuario de la cuenta actual.

aws iam delete-user \
    --user-name Bob

Este comando no genera ninguna salida.

Para obtener más información, consulte Eliminar un IAM usuario en la Guía del AWS IAM usuario.

Para eliminar un MFA dispositivo virtual

El siguiente delete-virtual-mfa-device comando elimina el MFA dispositivo especificado de la cuenta corriente.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Este comando no genera ninguna salida.

Para obtener más información, consulte Desactivación de MFA dispositivos en la Guía del AWS IAM usuario.

Cómo desasociar una política de un grupo

En este ejemplo, se quita la política administrada con la ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy del grupo denominadoTesters.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar grupos IAM de usuarios en la Guía del AWS IAM usuario.

Cómo desasociar una política de un rol

En este ejemplo, se quita la política administrada con la ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy del rol llamadoFedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Este comando no genera ninguna salida.

Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.

Cómo desasociar una política de un usuario

En este ejemplo, se quita la política administrada junto con el ARN arn:aws:iam::123456789012:policy/TesterPolicy del usuarioBob.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Este comando no genera ninguna salida.

Para obtener más información, consulte Cambiar los permisos de un IAM usuario en la Guía del AWS IAM usuario.

Para habilitar un MFA dispositivo

Después de usar el create-virtual-mfa-device comando para crear un nuevo MFA dispositivo virtual, puede asignar el MFA dispositivo a un usuario. En el siguiente enable-mfa-device ejemplo, se asigna el MFA dispositivo con el número de serie arn:aws:iam::210987654321:mfa/BobsMFADevice al usuarioBob. El comando también sincroniza el dispositivo AWS al incluir los dos primeros códigos secuenciales del dispositivo virtualMFA.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Este comando no genera ninguna salida.

Para obtener más información, consulte Habilitar un dispositivo virtual de autenticación multifactor (MFA) en la Guía del AWS IAMusuario.

Cómo generar un informe de credenciales

En el siguiente ejemplo, se intenta generar un informe de credenciales para la AWS cuenta.

aws iam generate-credential-report

Salida:

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Para obtener más información, consulte Obtener informes de credenciales para su AWS cuenta en la Guía del AWS IAMusuario.

Ejemplo 1: Para generar un informe de acceso para una raíz de una organización

El siguiente generate-organizations-access-report ejemplo inicia un trabajo en segundo plano para crear un informe de acceso para la raíz especificada en una organización. Puede mostrar el informe una vez creado ejecutando el get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Salida:

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Ejemplo 2: Para generar un informe de acceso para una cuenta de una organización

En el siguiente generate-organizations-access-report ejemplo, se inicia un trabajo en segundo plano para crear un informe de acceso para el identificador 123456789012 de cuenta de la organizacióno-4fxmplt198. Puede mostrar el informe una vez creado ejecutando el get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Salida:

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Ejemplo 3: Para generar un informe de acceso para una cuenta de una unidad organizativa de una organización

En el siguiente generate-organizations-access-report ejemplo, se inicia un trabajo en segundo plano para crear un informe de acceso para el identificador 234567890123 de cuenta de la unidad ou-c3xb-lmu7j2yg organizativa de la organizacióno-4fxmplt198. Para mostrar el informe una vez creado, ejecuta el get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Salida:

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Para obtener detalles sobre las raíces y las unidades organizativas de tu organización, usa los organizations list-organizational-units-for-parent comandos organizations list-roots y.

Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAM usuario.

Ejemplo 1: para generar un informe de acceso al servicio para una política personalizada

En el siguiente generate-service-last-accessed-details ejemplo, se inicia un trabajo en segundo plano para generar un informe en el que se enumeran los servicios a los que acceden IAM los usuarios y otras entidades con una política personalizada denominadaintern-boundary. Puede mostrar el informe una vez creado ejecutando el comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Salida:

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Ejemplo 2: Para generar un informe de acceso a los servicios para la AdministratorAccess política AWS gestionada

En el siguiente generate-service-last-accessed-details ejemplo, se inicia un trabajo en segundo plano para generar un informe que enumere los servicios a los que acceden IAM los usuarios y otras entidades con la AdministratorAccess política AWS gestionada. Puede mostrar el informe una vez creado ejecutando el comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Salida:

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAM usuario.

Cómo recuperar información acerca de cuándo se utilizó por última vez la clave de acceso especificada

En el siguiente ejemplo se recupera información acerca de cuándo se utilizó por última vez la clave de acceso ABCDEXAMPLE.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Salida:

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Para obtener más información, consulte Administrar las claves de acceso para IAM los usuarios en la Guía del AWS IAM usuario.

Para enumerar IAM los usuarios, grupos, roles y políticas de una AWS cuenta

El siguiente get-account-authorization-details comando devuelve información sobre todos IAM los usuarios, grupos, roles y políticas de la AWS cuenta.

aws iam get-account-authorization-details

Salida:

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::example-bucket",
                                    "arn:aws:s3:::example-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Para obtener más información, consulte las directrices AWS de auditoría de seguridad en la Guía del AWS IAM usuario.

Cómo ver la política de contraseñas de la cuenta actual

El siguiente comando get-account-password-policy muestra detalles sobre la política de contraseñas de la cuenta actual.

aws iam get-account-password-policy

Salida:

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Si no se ha definido una política de contraseñas para la cuenta, el comando devuelve un error NoSuchEntity.

Para obtener más información, consulte Establecer una política de contraseñas de cuentas para IAM los usuarios en la Guía del AWS IAM usuario.

Para obtener información sobre el uso y IAM las cuotas de la IAM entidad en la cuenta corriente

El siguiente get-account-summary comando devuelve información sobre el uso actual de la IAM entidad y las cuotas actuales de la IAM entidad en la cuenta.

aws iam get-account-summary

Salida:

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Para obtener más información sobre las limitaciones de las entidades, consulta IAMlas AWS STS cuotas en la Guía del AWS IAM usuario.

Ejemplo 1: Para enumerar las claves de contexto a las que hacen referencia una o más JSON políticas personalizadas proporcionadas como parámetro en la línea de comandos

El siguiente comando get-context-keys-for-custom-policy analiza cada política proporcionada y enumera las claves de contexto utilizadas por esas políticas. Utilice este comando para identificar qué valores clave de contexto debe proporcionar para utilizar correctamente los comandos del simulador de políticas simulate-custom-policy ysimulate-custom-policy. También puede recuperar la lista de claves de contexto utilizadas por todas las políticas asociadas a un IAM usuario o rol mediante el get-context-keys-for-custom-policy comando. Los parámetros que comienzan con file:// indican al comando que lea el contenido del archivo y lo use como valor del parámetro en lugar del nombre del archivo en sí.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Salida:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Ejemplo 2: Para enumerar las claves de contexto a las que hacen referencia una o más JSON políticas personalizadas proporcionadas como entrada de archivo

El siguiente comando get-context-keys-for-custom-policy es igual al anterior, excepto que las políticas se proporcionan en un archivo y no como un parámetro. Como el comando espera una JSON lista de cadenas y no una lista de JSON estructuras, el archivo debe estructurarse de la siguiente manera, aunque puede comprimirlo en una sola.

[
    "Policy1",
    "Policy2"
]

Así, por ejemplo, un archivo que contenga la política del ejemplo anterior debe tener el siguiente aspecto. Debe evitar cada comilla doble incrustada en la cadena de la política precediéndola de una barra invertida “.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

A continuación, este archivo se puede enviar al siguiente comando.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Salida:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Para obtener más información, consulte Uso del simulador de IAM políticas (AWS CLIy AWS API) en la Guía del AWS IAM usuario.

Para enumerar las claves de contexto a las que hacen referencia todas las políticas asociadas a una entidad IAM principal

El siguiente comando get-context-keys-for-principal-policy recupera todas las políticas asociadas al usuario saanvi y a cualquier grupo al que pertenezca. A continuación, analiza cada una de ellas y enumera las claves de contexto utilizadas por esas políticas. Utilice este comando para identificar qué valores de clave de contexto debe proporcionar para utilizar correctamente los comandos simulate-custom-policy y simulate-principal-policy. También puede recuperar la lista de claves de contexto utilizadas por una JSON política arbitraria mediante el get-context-keys-for-custom-policy comando.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Salida:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Para obtener más información, consulte Uso del simulador de IAM políticas (AWS CLIy AWS API) en la Guía del AWS IAM usuario.

Cómo obtener un informe de credencial

En este ejemplo se abre el informe devuelto y se envía a la canalización como una matriz de líneas de texto.

aws iam get-credential-report

Salida:

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Para obtener más información, consulte Obtener informes de credenciales para su AWS cuenta en la Guía del AWS IAM usuario.

Para obtener información sobre una política asociada a un IAM grupo

El siguiente comando get-group-policy obtiene información sobre la política especificada asociada al grupo denominado Test-Group.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Salida:

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Para obtener más información, consulte Administración de IAM políticas en la Guía del AWS IAM usuario.

Para obtener un IAM grupo

En este ejemplo se devuelven detalles sobre el IAM grupoAdmins.

aws iam get-group \
    --group-name Admins

Salida:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Para obtener más información, consulte IAMIdentidades (usuarios, grupos de usuarios y roles) en la Guía del AWS IAM usuario.

Cómo obtener información sobre un perfil de instancia

El siguiente comando get-instance-profile obtiene información sobre el perfil de instancia denominado ExampleInstanceProfile.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Salida:

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.

Para obtener la información de la contraseña de un IAM usuario

El siguiente get-login-profile comando obtiene información sobre la contraseña del IAM usuario nombradoBob.

aws iam get-login-profile \
    --user-name Bob

Salida:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

El get-login-profile comando se puede utilizar para comprobar que un IAM usuario tiene una contraseña. Si no se ha definido una política de contraseñas para la cuenta, el comando devuelve el error NoSuchEntity.

No puede visualizar una contraseña con este comando. Si no se dispone de la contraseña, puede restablecerla (update-login-profile) para el usuario. Como alternativa, puede eliminar el perfil de inicio de sesión (delete-login-profile) del usuario y, a continuación, crear uno nuevo (create-login-profile).

Para obtener más información, consulte Administrar las contraseñas de IAM los usuarios en la Guía del AWS IAM usuario.

Para recuperar información sobre una clave FIDO de seguridad

El siguiente ejemplo de get-mfa-device comando recupera información sobre la clave de FIDO seguridad especificada.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Salida:

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAMusuario.

Cómo devolver información sobre el proveedor de OpenID Connect especificado

Este ejemplo devuelve detalles sobre el proveedor de OpenID Connect cuyo proveedor esARN. arn:aws:iam::123456789012:oidc-provider/server.example.com

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Salida:

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.

Para recuperar un informe de acceso

En el siguiente get-organizations-access-report ejemplo, se muestra un informe de acceso generado anteriormente para una entidad de AWS Organizations. Para generar un informe, utilice el comando generate-organizations-access-report.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Salida:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAM usuario.

Cómo recuperar información acerca de la versión especificada de la política administrada especificada

En este ejemplo se devuelve el documento de política correspondiente a la versión v2 de la política cuya política ARN esarn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Salida:

{
    "PolicyVersion": {
        "Document": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Cómo recuperar información sobre una política administrada especificada

En este ejemplo se devuelven detalles sobre la política gestionada cuya política ARN esarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Salida:

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para obtener información sobre una política asociada a un IAM rol

El siguiente comando get-role-policy obtiene información sobre la política especificada asociada al rol denominado Test-Role.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Salida:

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Para obtener más información, consulte Creación de IAM roles en la Guía del AWS IAM usuario.

Para obtener información sobre un IAM rol

El siguiente comando get-role obtiene información sobre el rol denominado Test-Role.

aws iam get-role \
    --role-name Test-Role

Salida:

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

El comando muestra la política de confianza asociada al rol. Utilice el comando list-role-policies para enumerar las políticas de permisos asociadas al rol.

Para obtener más información, consulte Creación de IAM roles en la Guía del AWS IAM usuario.

Para recuperar el SAML metadocument del proveedor

En este ejemplo, se recuperan los detalles sobre el proveedor de la SAML versión 2.0 cuyo proveedor es. ARM arn:aws:iam::123456789012:saml-provider/SAMLADFS La respuesta incluye el documento de metadatos que recibió del proveedor de identidades para crear la entidad AWS SAML proveedora, así como las fechas de creación y caducidad.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Salida:

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.

Para obtener detalles sobre un certificado de servidor de su AWS cuenta

El siguiente get-server-certificate comando recupera todos los detalles sobre el certificado de servidor especificado en su AWS cuenta.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Salida:

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Para ver una lista de los certificados de servidor disponibles en su AWS cuenta, utilice el list-server-certificates comando.

Para obtener más información, consulte Administrar los certificados de servidor IAM en la Guía del AWS IAM usuario.

Cómo recuperar un informe de acceso a un servicio con los detalles de un servicio

En el siguiente get-service-last-accessed-details-with-entities ejemplo, se recupera un informe que contiene detalles sobre IAM los usuarios y otras entidades que han accedido al servicio especificado. Para generar un informe, utilice el comando generate-service-last-accessed-details. Para obtener una lista de los servicios a los que se accede con espacios de nombres, utilice get-service-last-accessed-details.

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Salida:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAMusuario.

Cómo recuperar un informe de acceso a un servicio

En el siguiente get-service-last-accessed-details ejemplo, se recupera un informe generado anteriormente en el que se enumeran los servicios a los que acceden las IAM entidades. Para generar un informe, utilice el comando generate-service-last-accessed-details.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Salida:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Para obtener más información, consulte Refinar los permisos al AWS utilizar la información a la que se accedió por última vez en la Guía del AWS IAMusuario.

Cómo comprobar el estado de una solicitud de eliminación de un rol vinculado a un servicio

En el siguiente ejemplo de get-service-linked-role-deletion-status, se muestra el estado de una solicitud anterior para eliminar un rol vinculado a un servicio. La operación de eliminación se produce de forma asíncrona. Al realizar la solicitud, se obtiene un valor de DeletionTaskId que proporciona como un parámetro para este comando.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Salida:

{
"Status": "SUCCEEDED"
}

Para obtener más información, consulte Uso de funciones vinculadas a servicios en la Guía del AWS IAMusuario.

Ejemplo 1: Para recuperar una clave SSH pública adjunta a un IAM usuario en forma SSH codificada

El siguiente get-ssh-public-key comando recupera la clave SSH pública especificada del IAM usuariosofia. El resultado está SSH codificado.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Salida:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Ejemplo 2: Para recuperar una clave SSH pública adjunta a un IAM usuario en forma PEM codificada

El siguiente get-ssh-public-key comando recupera la clave SSH pública especificada del IAM usuariosofia. El resultado está PEM codificado.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Salida:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Para obtener más información, consulte Uso y SSH uso de SSH las teclas CodeCommit en la Guía del AWS IAM usuario.

Para enumerar los detalles de la política de un IAM usuario

El siguiente get-user-policy comando muestra los detalles de la política especificada que se adjunta al IAM usuario nombradoBob.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Salida:

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Para obtener una lista de políticas para un IAM usuario, utilice el list-user-policies comando.

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para obtener información sobre un IAM usuario

El siguiente get-user comando obtiene información sobre el IAM usuario nombradoPaulo.

aws iam get-user \
    --user-name Paulo

Salida:

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Para obtener más información, consulte Administración de IAM usuarios en la Guía del AWS IAM usuario.

Para enumerar la clave de acceso IDs de un IAM usuario

El siguiente list-access-keys comando muestra las claves IDs de acceso del IAM usuario nombradoBob.

aws iam list-access-keys \
    --user-name Bob

Salida:

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

No puede enumerar las claves de acceso secretas de IAM los usuarios. Si se pierden las claves de acceso secretas, debe crear nuevas claves de acceso mediante el comando create-access-keys.

Para obtener más información, consulte Administrar las claves de acceso de IAM los usuarios en la Guía del AWS IAM usuario.

Cómo enumerar los alias de una cuenta

El siguiente comando list-account-aliases enumera los alias de la cuenta actual.

aws iam list-account-aliases

Salida:

{
    "AccountAliases": [
    "mycompany"
    ]
}

Para obtener más información, consulta el identificador de AWS cuenta y su alias en la Guía del AWS IAM usuario.

Cómo enumerar todas las políticas administradas que se asocian al grupo especificado

En este ejemplo, se devuelven ARNs los nombres y las políticas administradas que están asociadas al IAM grupo nombrado Admins en la AWS cuenta.

aws iam list-attached-group-policies \
    --group-name Admins

Salida:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Cómo enumerar todas las políticas administradas que se asocian al rol especificado

Este comando devuelve los nombres y ARNs las políticas administradas asociadas a la IAM función nombrada SecurityAuditRole en la AWS cuenta.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Salida:

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Cómo enumerar todas las políticas administradas que se asocian al usuario especificado

Este comando devuelve los nombres y ARNs las políticas administradas del IAM usuario nombrado Bob en la AWS cuenta.

aws iam list-attached-user-policies \
    --user-name Bob

Salida:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Cómo enumerar todos los usuarios, grupos y roles a los que está adjunta la política administrada especificada

En este ejemplo, se devuelve una lista de IAM grupos, funciones y usuarios a los que se ha arn:aws:iam::123456789012:policy/TestPolicy adjuntado la política.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Salida:

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Cómo enumerar todas las políticas integradas que se asocian al grupo especificado

El siguiente list-group-policies comando muestra los nombres de las políticas en línea que están asociadas al IAM grupo mencionado Admins en la cuenta actual.

aws iam list-group-policies \
    --group-name Admins

Salida:

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Para obtener más información, consulte Administración de IAM políticas en la Guía del AWS IAM usuario.

Para enumerar los grupos a los que pertenece un IAM usuario

El siguiente list-groups-for-user comando muestra los grupos a los que Bob pertenece el IAM usuario nombrado.

aws iam list-groups-for-user \
    --user-name Bob

Salida:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Para obtener más información, consulte Administración de grupos IAM de usuarios en la Guía del AWS IAM usuario.

Para enumerar los IAM grupos de la cuenta corriente

El siguiente list-groups comando muestra los IAM grupos de la cuenta corriente.

aws iam list-groups

Salida:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Para obtener más información, consulte Administración de grupos IAM de usuarios en la Guía del AWS IAM usuario.

Para enumerar las etiquetas adjuntas a un perfil de instancia

El siguiente list-instance-profile-tags comando recupera la lista de etiquetas asociadas al perfil de instancia especificado.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Salida:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.

Para enumerar los perfiles de instancia de un IAM rol

El siguiente comando list-instance-profiles-for-role muestra los perfiles de instancia que están asociados con el rol Test-Role.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Salida:

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.

Cómo enumerar los perfiles de instancia de la cuenta

El siguiente comando list-instance-profiles enumera los perfiles de instancia asociados con la cuenta actual.

aws iam list-instance-profiles

Salida:

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.

Para enumerar las etiquetas adjuntas a un MFA dispositivo

El siguiente list-mfa-device-tags comando recupera la lista de etiquetas asociadas al MFA dispositivo especificado.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Salida:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.

Para enumerar todos MFA los dispositivos de un usuario específico

En este ejemplo, se muestran detalles sobre el MFA dispositivo asignado al IAM usuarioBob.

aws iam list-mfa-devices \
    --user-name Bob

Salida:

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAM usuario.

Para enumerar las etiquetas adjuntas a un proveedor de identidad compatible con OpenID Connect (OIDC)

El siguiente list-open-id-connect-provider-tags comando recupera la lista de etiquetas asociadas al proveedor de identidad especificadoOIDC.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Salida:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.

Para incluir información sobre los proveedores de OpenID Connect de la cuenta AWS

Este ejemplo devuelve una lista ARNS de todos los proveedores de OpenID Connect que están definidos en la cuenta corriente AWS .

aws iam list-open-id-connect-providers

Salida:

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.

Para enumerar las políticas que otorgan un acceso principal al servicio especificado

En el siguiente list-policies-granting-service-access ejemplo, se recupera la lista de políticas que otorgan al IAM usuario sofia acceso al AWS CodeCommit servicio.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Salida:

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Para obtener más información, consulte Uso IAM con CodeCommit: credenciales, SSH claves y claves de AWS acceso de Git en la Guía del AWS IAM usuario.

Para enumerar las políticas administradas que están disponibles para su AWS cuenta

En este ejemplo, se devuelve un conjunto de las dos primeras políticas administradas disponibles en la AWS cuenta corriente.

aws iam list-policies \
    --max-items 3

Salida:

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para enumerar las etiquetas adjuntas a una política gestionada

El siguiente list-policy-tags comando recupera la lista de etiquetas asociadas a la política administrada especificada.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Salida:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.

Cómo enumerar información sobre las versiones de la política administrada especificada

En este ejemplo se devuelve la lista de versiones disponibles de la política cuya política ARN esarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Salida:

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para enumerar las políticas asociadas a un IAM rol

El siguiente list-role-policies comando muestra los nombres de las políticas de permisos del IAM rol especificado.

aws iam list-role-policies \
    --role-name Test-Role

Salida:

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Para ver la política de confianza asociada a un rol, utilice el comando get-role. Para ver los detalles de una política de permisos, utilice el comando get-role-policy.

Para obtener más información, consulte Creación de IAM funciones en la Guía del AWS IAM usuario.

Cómo enumerar las etiquetas adjuntas a un rol

El siguiente comando list-role-tags recupera la lista de etiquetas asociadas al rol especificado.

aws iam list-role-tags \
    --role-name production-role

Salida:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para enumerar IAM las funciones de la cuenta actual

El siguiente list-roles comando muestra las IAM funciones de la cuenta actual.

aws iam list-roles

Salida:

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Para obtener más información, consulte Creación de IAM roles en la Guía del AWS IAM usuario.

Para enumerar las etiquetas adjuntas a un SAML proveedor

El siguiente list-saml-provider-tags comando recupera la lista de etiquetas asociadas al SAML proveedor especificado.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Salida:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.

Para enumerar los SAML proveedores de la AWS cuenta

En este ejemplo, se recupera la lista de proveedores SAML 2.0 creada en la AWS cuenta corriente.

aws iam list-saml-providers

Salida:

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.

Para enumerar las etiquetas adjuntas a un certificado de servidor

El siguiente list-server-certificate-tags comando recupera la lista de etiquetas asociadas al certificado de servidor especificado.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Salida:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.

Para enumerar los certificados de servidor de su AWS cuenta

El siguiente list-server-certificates comando muestra todos los certificados de servidor almacenados y disponibles para su uso en su AWS cuenta.

aws iam list-server-certificates

Salida:

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Para obtener más información, consulte Administrar los certificados de servidor IAM en la Guía del AWS IAM usuario.

Ejemplo 1: Listar las credenciales específicas del servicio para un usuario

El siguiente list-service-specific-credentials ejemplo muestra todas las credenciales específicas del servicio asignadas al usuario especificado. Las contraseñas no se incluyen en la respuesta.

aws iam list-service-specific-credentials \
    --user-name sofia

Salida:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Ejemplo 2: Enumere las credenciales específicas del servicio de un usuario filtrado a un servicio específico

En el siguiente list-service-specific-credentials ejemplo, se muestran las credenciales específicas del servicio asignadas al usuario que realiza la solicitud. La lista se filtra para incluir solo las credenciales del servicio especificado. Las contraseñas no se incluyen en la respuesta.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Salida:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.

Para recuperar una lista de credenciales

En el siguiente list-service-specific-credentials ejemplo, se enumeran las credenciales generadas para el HTTPS acceso a AWS CodeCommit los repositorios de un usuario denominadodeveloper.

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Salida:

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.

Para enumerar los certificados de firma de un IAM usuario

El siguiente list-signing-certificates comando muestra los certificados de firma del IAM usuario nombradoBob.

aws iam list-signing-certificates \
    --user-name Bob

Salida:

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Para obtener más información, consulta Administrar certificados de firma en la Guía del EC2 usuario de Amazon.

Para enumerar las claves SSH públicas adjuntas a un IAM usuario

En el siguiente list-ssh-public-keys ejemplo, se enumeran las claves SSH públicas adjuntas al IAM usuariosofia.

aws iam list-ssh-public-keys \
    --user-name sofia

Salida:

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Para obtener más información, consulte Uso y SSH uso de SSH las claves CodeCommit en la Guía del AWS IAM usuario

Para enumerar las políticas de un IAM usuario

El siguiente list-user-policies comando muestra las políticas asociadas al IAM usuario nombradoBob.

aws iam list-user-policies \
    --user-name Bob

Salida:

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Para obtener más información, consulte Crear un IAM usuario en su AWS cuenta en la Guía del AWS IAM usuario.

Cómo enumerar las etiquetas adjuntas a un usuario

El siguiente list-user-tags comando recupera la lista de etiquetas asociadas al IAM usuario especificado.

aws iam list-user-tags \
    --user-name alice

Salida:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.

Para enumerar IAM los usuarios

El siguiente list-users comando muestra los IAM usuarios de la cuenta actual.

aws iam list-users

Salida:

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Para obtener más información, consulte Listar IAM los usuarios en la Guía del AWS IAM usuario.

Para enumerar MFA los dispositivos virtuales

El siguiente list-virtual-mfa-devices comando muestra los MFA dispositivos virtuales que se han configurado para la cuenta actual.

aws iam list-virtual-mfa-devices

Salida:

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Para obtener más información, consulte Habilitar un dispositivo virtual de autenticación multifactor (MFA) en la Guía del AWS IAM usuario.

Cómo agregar una política a un grupo

El siguiente put-group-policy comando agrega una política al IAM grupo denominadoAdmins.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Este comando no genera ninguna salida.

La política se define como un JSON documento del AdminPolicyarchivo.json. (El nombre y la extensión del archivo no son significativos).

Para obtener más información, consulte Administración de IAM políticas en la Guía del AWS IAM usuario.

Ejemplo 1: aplicar a un IAM rol un límite de permisos basado en una política personalizada

En el siguiente put-role-permissions-boundary ejemplo, se aplica la política personalizada intern-boundary denominada límite de permisos para el IAM rol especificado.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Este comando no genera ninguna salida.

Ejemplo 2: Para aplicar a un IAM rol un límite de permisos basado en una política AWS administrada

En el siguiente put-role-permissions-boundary ejemplo, se aplica la PowerUserAccess política AWS administrada como límite de permisos para el IAM rol especificado.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Este comando no genera ninguna salida.

Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.

Para adjuntar una política de permisos a un IAM rol

El siguiente comando put-role-policy agrega una política de permisos al rol denominado Test-Role.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Este comando no genera ninguna salida.

La política se define como un JSON documento del AdminPolicyarchivo.json. (El nombre y la extensión del archivo no son significativos).

Para asociar una política de confianza a un rol, utilice el comando update-assume-role-policy.

Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.

Ejemplo 1: aplicar a un IAM usuario un límite de permisos basado en una política personalizada

En el siguiente put-user-permissions-boundary ejemplo, se aplica una política personalizada intern-boundary denominada límite de permisos para el IAM usuario especificado.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Este comando no genera ninguna salida.

Ejemplo 2: Para aplicar a un IAM usuario un límite de permisos basado en una política AWS administrada

En el siguiente put-user-permissions-boundary ejemplo, se aplica la política AWS administrada PowerUserAccess denominada límite de permisos para el usuario especificadoIAM.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Este comando no genera ninguna salida.

Para obtener más información, consulte Añadir y eliminar permisos de IAM identidad en la Guía del AWS IAMusuario.

Para adjuntar una política a un IAM usuario

El siguiente put-user-policy comando adjunta una política al IAM usuario nombradoBob.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Este comando no genera ninguna salida.

La política se define como un JSON documento del AdminPolicyarchivo.json. (El nombre y la extensión del archivo no son significativos).

Para obtener más información, consulte Añadir y eliminar permisos de IAM identidad en la Guía del AWS IAM usuario.

Para eliminar el ID de cliente especificado de la lista de clientes IDs registrados para el proveedor de IAM OpenID Connect especificado

En este ejemplo, se elimina el ID My-TestApp-3 de cliente de la lista de clientes IDs asociados al IAM OIDC proveedor del que ARN se encuentraarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Este comando no genera ninguna salida.

Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.

Cómo eliminar un rol de un perfil de instancia

El siguiente comando remove-role-from-instance-profile elimina el rol llamado Test-Role del perfil de instancia denominado ExampleInstanceProfile.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Para obtener más información, consulte Uso de perfiles de instancia en la Guía del AWS IAM usuario.

Para eliminar un usuario de un IAM grupo

El siguiente remove-user-from-group comando elimina el usuario nombrado Bob del IAM grupo denominadoAdmins.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Este comando no genera ninguna salida.

Para obtener más información, consulte Añadir y eliminar usuarios de un grupo IAM de usuarios en la Guía del AWS IAM usuario.

Ejemplo 1: restablecer la contraseña de una credencial específica del servicio adjunta al usuario que realiza la solicitud

El siguiente reset-service-specific-credential ejemplo genera una nueva contraseña segura desde el punto de vista criptográfico para la credencial específica del servicio especificada adjunta al usuario que realiza la solicitud.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Salida:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Ejemplo 2: restablecer la contraseña de una credencial específica del servicio adjunta a un usuario específico

El siguiente reset-service-specific-credential ejemplo genera una nueva contraseña criptográficamente segura para una credencial específica del servicio adjunta al usuario especificado.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Salida:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Para obtener más información, consulta Crear credenciales de Git para HTTPS las conexiones CodeCommit en la Guía del AWS CodeCommit usuario.

Para sincronizar un dispositivo MFA

El siguiente resync-mfa-device ejemplo sincroniza el MFA dispositivo que está asociado al IAM usuario Bob y cuyo dispositivo ARN está asociado arn:aws:iam::123456789012:mfa/BobsMFADevice con un programa de autenticación que proporcionó los dos códigos de autenticación.

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Este comando no genera ninguna salida.

Para obtener más información, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del AWS IAM usuario.

Cómo establecer la versión especificada de la política especificada como la versión predeterminada de la política.

En este ejemplo, se establece la v2 versión de la política arn:aws:iam::123456789012:policy/MyPolicy que ARN es la versión activa predeterminada.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Para obtener más información, consulte Políticas y permisos IAM en la Guía del AWS IAM usuario.

Para configurar la versión del token de punto final global

El siguiente set-security-token-service-preferences ejemplo configura Amazon STS para que utilice los tokens de la versión 2 al autenticarse en el punto final global.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar AWS STS en una AWS región en la Guía del AWS IAMusuario.

Ejemplo 1: simular los efectos de todas IAM las políticas asociadas a un IAM usuario o rol

A continuación, se simulate-custom-policy muestra cómo proporcionar la política y definir los valores de las variables y simular una API llamada para ver si está permitida o denegada. El siguiente ejemplo muestra una política que permite el acceso a la base de datos solo después de una fecha y hora especificadas. La simulación se realiza correctamente porque las acciones simuladas y la aws:CurrentTime variable especificada cumplen todos los requisitos de la política.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Salida:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Ejemplo 2: simular un comando prohibido por la política

El siguiente simulate-custom-policy ejemplo muestra los resultados de la simulación de un comando prohibido por la política. En este ejemplo, la fecha proporcionada es anterior a la requerida por la condición de la política.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Salida:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Para obtener más información, consulte Probar IAM políticas con el simulador IAM de políticas en la Guía del AWS IAM usuario.

Ejemplo 1: simular los efectos de una IAM política arbitraria

A continuación, se simulate-principal-policy muestra cómo simular que un usuario solicita una API acción y cómo determinar si las políticas asociadas a ese usuario permiten o deniegan la acción. En el siguiente ejemplo, el usuario tiene una política que solo permite la codecommit:ListRepositories acción.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Salida:

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Ejemplo 2: simular los efectos de un comando prohibido

El siguiente simulate-custom-policy ejemplo muestra los resultados de la simulación de un comando prohibido por una de las políticas del usuario. En el ejemplo siguiente, el usuario tiene una política que permite el acceso a una base de datos de DynamoDB solo después de una fecha y hora determinadas. En la simulación, el usuario intenta acceder a la base de datos con un aws:CurrentTime valor anterior a lo que permite la condición de la política.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Salida:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Para obtener más información, consulte Probar IAM políticas con el simulador IAM de políticas en la Guía del AWS IAM usuario.

Para añadir una etiqueta a un perfil de instancia

El siguiente tag-instance-profile comando agrega una etiqueta con el nombre de un departamento al perfil de instancia especificado.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para añadir una etiqueta a un MFA dispositivo

El siguiente tag-mfa-device comando agrega una etiqueta con el nombre de un departamento al MFA dispositivo especificado.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para añadir una etiqueta a un proveedor de identidad compatible con OpenID Connect (OIDC)

El siguiente tag-open-id-connect-provider comando agrega una etiqueta con el nombre de un departamento al proveedor de OIDC identidad especificado.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para añadir una etiqueta a una política gestionada por el cliente

El siguiente tag-policy comando agrega una etiqueta con el nombre de un departamento a la política administrada por el cliente especificada.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Cómo añadir una etiqueta a un rol

El siguiente comando tag-role agrega una etiqueta con el nombre de un departamento al rol especificado.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para añadir una etiqueta a un SAML proveedor

El siguiente tag-saml-provider comando agrega una etiqueta con el nombre de un departamento al SAML proveedor especificado.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para agregar una etiqueta a un certificado de servidor

El siguiente tag-saml-provider comando agrega una etiqueta con el nombre de un departamento al certificado de servidor especificado.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAMusuario.

Cómo añadir una etiqueta a un usuario

El siguiente comando tag-user agrega una etiqueta con el departamento asociado al usuario especificado.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para eliminar una etiqueta de un perfil de instancia

El siguiente untag-instance-profile comando elimina cualquier etiqueta con el nombre clave «Departamento» del perfil de instancia especificado.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para quitar una etiqueta de un MFA dispositivo

El siguiente untag-mfa-device comando elimina cualquier etiqueta con el nombre clave «Departamento» del MFA dispositivo especificado.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para eliminar una etiqueta de un proveedor OIDC de identidad

El siguiente untag-open-id-connect-provider comando elimina cualquier etiqueta con el nombre clave «Departamento» del proveedor de OIDC identidad especificado.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para eliminar una etiqueta de una política gestionada por el cliente

El siguiente untag-policy comando elimina cualquier etiqueta con el nombre clave «Departamento» de la política gestionada por el cliente especificada.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Cómo eliminar una etiqueta de un rol

El siguiente comando untag-role elimina cualquier etiqueta con el nombre clave “Departamento” del rol especificado.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para eliminar una etiqueta de un SAML proveedor

El siguiente untag-saml-provider comando elimina cualquier etiqueta con el nombre clave «Departamento» del perfil de instancia especificado.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para eliminar una etiqueta de un certificado de servidor

El siguiente untag-server-certificate comando elimina cualquier etiqueta con el nombre clave «Departamento» del certificado de servidor especificado.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Cómo eliminar una etiqueta de un usuario

El siguiente comando untag-user elimina cualquier etiqueta con el nombre clave “Departamento” del usuario especificado.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Este comando no genera ninguna salida.

Para obtener más información, consulte Etiquetado de IAM recursos en la Guía del AWS IAM usuario.

Para activar o desactivar una clave de acceso para un usuario IAM

El siguiente update-access-key comando desactiva la clave de acceso especificada (identificador de clave de acceso y clave de acceso secreta) para el IAM usuario nombrado. Bob

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Este comando no genera ninguna salida.

Si se desactiva la clave, no se puede utilizar para acceder a ella mediante programación. AWS Sin embargo, la clave sigue disponible y se puede reactivar.

Para obtener más información, consulte Administrar las claves de acceso para IAM los usuarios en la Guía del AWS IAMusuario.

Cómo ver la política de contraseñas de la cuenta actual

El siguiente comando update-account-password-policy establece que la política de contraseñas requiera una longitud mínima de ocho caracteres y que la contraseña contenga uno o más números.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Este comando no genera ninguna salida.

Los cambios en la política de contraseñas de una cuenta afectan a cualquier contraseña nueva que se cree para IAM los usuarios de la cuenta. Los cambios en la política de contraseñas no afectan a las contraseñas existentes.

Para obtener más información, consulte Establecer una política de contraseñas de cuentas para IAM los usuarios en la Guía del AWS IAM usuario.

Para actualizar la política de confianza de un IAM rol

El siguiente comando update-assume-role-policy actualiza la política de confianza del rol denominado Test-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Este comando no genera ninguna salida.

La política de confianza se define como un JSON documento del archivo test-role-trust-policy.json. (El nombre y la extensión del archivo no son significativos). La política de confianza debe especificar una entidad principal.

Utilice el comando put-role-policy para actualizar la política de permisos de un rol.

Para obtener más información, consulte Creación de funciones en la Guía del usuario. IAM AWS IAM

Para cambiar el nombre de un grupo IAM

El siguiente update-group comando cambia el nombre del IAM grupo Test aTest-1.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Este comando no genera ninguna salida.

Para obtener más información, consulte Cambiar el nombre de un grupo IAM de usuarios en la Guía del AWS IAM usuario.

Para actualizar la contraseña de un IAM usuario

El siguiente update-login-profile comando crea una contraseña nueva para el IAM usuario nombradoBob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Este comando no genera ninguna salida.

Para establecer una política de contraseñas para la cuenta, use el comando update-account-password-policy. Si la nueva contraseña infringe la política de contraseñas de la cuenta, el comando devuelve un error de PasswordPolicyViolation.

Si la política de contraseñas de la cuenta lo permite, IAM los usuarios pueden cambiar sus propias contraseñas mediante el change-password comando.

Guarde la nueva contraseña en un lugar seguro. Si se pierde la contraseña, no se puede recuperar y debe crear una nueva con el comando create-login-profile.

Para obtener más información, consulte Administrar las contraseñas de IAM los usuarios en la Guía del AWS IAM usuario.

Cómo reemplazar la lista existente de huellas digitales de certificados de servidor por una nueva lista

En este ejemplo, se actualiza la lista de huellas digitales de los certificados del OIDC proveedor que ARN va arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com a utilizar una nueva huella digital.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Este comando no genera ninguna salida.

Para obtener más información, consulte Creación de proveedores de identidad de OpenID Connect (OIDC) en la Guía del AWS IAMusuario.

Para cambiar la descripción de un IAM rol

El siguiente update-role comando cambia la descripción del IAM rol production-role aMain production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Salida:

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.

Para cambiar la descripción de un IAM rol o la duración de la sesión

El siguiente update-role comando cambia la descripción del IAM rol production-role a 12 horas Main production role y establece la duración máxima de la sesión en 12 horas.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Este comando no genera ninguna salida.

Para obtener más información, consulte Modificación de un rol en la Guía del AWS IAM usuario.

Para actualizar el documento de metadatos de un SAML proveedor existente

En este ejemplo, se actualiza el SAML proveedor IAM en el ARN que se encuentra arn:aws:iam::123456789012:saml-provider/SAMLADFS con un nuevo documento de SAML metadatos del archivoSAMLMetaData.xml.

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Salida:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Para obtener más información, consulte Creación de proveedores de IAM SAML identidad en la Guía del AWS IAM usuario.

Para cambiar la ruta o el nombre de un certificado de servidor de su AWS cuenta

El siguiente comando update-server-certificate cambia el nombre del certificado de myServerCertificate a myUpdatedServerCertificate. También cambia la ruta para /cloudfront/ que el CloudFront servicio de Amazon pueda acceder a ella. Este comando no genera ninguna salida. Puede ver los resultados de la actualización al ejecutar el comando list-server-certificates.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Este comando no genera ninguna salida.

Para obtener más información, consulte Gestión de certificados de servidor IAM en la Guía del AWS IAM usuario.

Ejemplo 1: Para actualizar el estado de la credencial específica del servicio del usuario solicitante

El siguiente update-service-specific-credential ejemplo cambia el estado de la credencial especificada para el usuario al que realiza la solicitud. Inactive

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Este comando no genera ninguna salida.

Ejemplo 2: Para actualizar el estado de la credencial específica del servicio de un usuario específico

En el siguiente update-service-specific-credential ejemplo, se cambia el estado de la credencial del usuario especificado a Inactivo.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Este comando no genera ninguna salida.

Para obtener más información, consulte Crear credenciales de Git para HTTPS las conexiones a CodeCommit en la Guía del AWS CodeCommit usuario

Para activar o desactivar un certificado de firma para un usuario IAM

El siguiente update-signing-certificate comando desactiva el certificado de firma especificado para el IAM usuario nombrado. Bob

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Para obtener el ID de un certificado de firma, use el comando list-signing-certificates.

Para obtener más información, consulta Administrar certificados de firma en la Guía del EC2 usuario de Amazon.

Para cambiar el estado de una clave SSH pública

El siguiente update-ssh-public-key comando cambia el estado de la clave pública especificada aInactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Este comando no genera ninguna salida.

Para obtener más información, consulte Uso y SSH uso de SSH las teclas CodeCommit en la Guía del AWS IAM usuario.

Para cambiar el nombre de un IAM usuario

El siguiente update-user comando cambia el nombre del IAM usuario Bob aRobert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Este comando no genera ninguna salida.

Para obtener más información, consulte Cambiar el nombre de un grupo IAM de usuarios en la Guía del AWS IAM usuario.

Para cargar un certificado de servidor en su AWS cuenta

El siguiente upload-server-certificatecomando carga un certificado de servidor en su AWS cuenta. En este ejemplo, el certificado está en el archivo public_key_cert_file.pem, la clave privada asociada está en el archivo my_private_key.pem y la cadena de certificados proporcionada por la entidad de certificación (CA) está en el archivo my_certificate_chain_file.pem. Cuando el archivo haya terminado de cargarse, estará disponible con ese nombre. myServerCertificate Los parámetros que comienzan con file:// indican al comando que lea el contenido del archivo y lo use como valor del parámetro en lugar del nombre del archivo en sí.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Salida:

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Para obtener más información, consulte Creación, carga y eliminación de certificados de servidor en la guía de uso IAM.

Para cargar un certificado de firma para un IAM usuario

El siguiente upload-signing-certificate comando carga un certificado de firma para el IAM usuario nombradoBob.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Salida:

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

El certificado está en un archivo con el formato certificate.pem. PEM

Para obtener más información, consulte Creación y carga de un certificado de firma de usuario en la guía de uso. IAM

Para cargar una clave SSH pública y asociarla a un usuario

El siguiente upload-ssh-public-key comando carga la clave pública que se encuentra en el archivo sshkey.pub y la adjunta al usuario. sofia

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Salida:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Para obtener más información sobre cómo generar claves en un formato adecuado para este comando, consulte SSHLinux, macOS o Unix: configurar las claves públicas y privadas para Git CodeCommit o SSHWindows: configurar las claves públicas y privadas para Git y CodeCommit en la Guía del AWS CodeCommit usuario.