Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMexemples utilisant AWS CLI
Les exemples de code suivants vous montrent comment effectuer des actions et implémenter des scénarios courants à l'aide du AWS Command Line Interface withIAM.
Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Les actions vous indiquent comment appeler des fonctions de service individuelles, mais vous pouvez les visualiser dans leur contexte dans les scénarios correspondants.
Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la façon de configurer et d'exécuter le code en contexte.
Rubriques
Actions
L'exemple de code suivant montre comment utiliseradd-client-id-to-open-id-connect-provider
.
- AWS CLI
-
Pour ajouter un identifiant client (audience) à un fournisseur Open-ID Connect (OIDC)
La
add-client-id-to-open-id-connect-provider
commande suivante ajoute l'ID clientmy-application-ID
au OIDC fournisseur nomméserver.example.com
.aws iam add-client-id-to-open-id-connect-provider \ --client-id
my-application-ID
\ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/server.example.com
Cette commande ne produit aucun résultat.
Pour créer un OIDC fournisseur, utilisez la
create-open-id-connect-provider
commande.Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir AddClientIdToOpenIdConnectProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseradd-role-to-instance-profile
.
- AWS CLI
-
Pour ajouter un rôle à un profil d'instance
La
add-role-to-instance-profile
commande suivante ajoute le rôle nomméS3Access
au profil d'instance nomméWebserver
.aws iam add-role-to-instance-profile \ --role-name
S3Access
\ --instance-profile-nameWebserver
Cette commande ne produit aucun résultat.
Pour créer un profil d'instance, utilisez la
create-instance-profile
commande.Pour plus d'informations, consultez la section Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir AddRoleToInstanceProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseradd-user-to-group
.
- AWS CLI
-
Pour ajouter un utilisateur à un IAM groupe
La
add-user-to-group
commande suivante ajoute un nom IAM d'utilisateurBob
au IAM groupe nomméAdmins
.aws iam add-user-to-group \ --user-name
Bob
\ --group-nameAdmins
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Ajout et suppression d'utilisateurs dans un groupe IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir AddUserToGroup
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserattach-group-policy
.
- AWS CLI
-
Pour associer une politique gérée à un IAM groupe
La
attach-group-policy
commande suivante associe la politique AWS gérée nomméeReadOnlyAccess
au IAM groupe nomméFinance
.aws iam attach-group-policy \ --policy-arn
arn:aws:iam::aws:policy/ReadOnlyAccess
\ --group-nameFinance
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez les sections Politiques gérées et politiques intégrées dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir AttachGroupPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserattach-role-policy
.
- AWS CLI
-
Pour associer une politique gérée à un IAM rôle
La
attach-role-policy
commande suivante associe la politique AWS gérée nomméeReadOnlyAccess
au IAM rôle nomméReadOnlyRole
.aws iam attach-role-policy \ --policy-arn
arn:aws:iam::aws:policy/ReadOnlyAccess
\ --role-nameReadOnlyRole
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez les sections Politiques gérées et politiques intégrées dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir AttachRolePolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserattach-user-policy
.
- AWS CLI
-
Pour associer une politique gérée à un IAM utilisateur
La
attach-user-policy
commande suivante associe la politique AWS gérée nomméeAdministratorAccess
à l'IAMutilisateur nomméAlice
.aws iam attach-user-policy \ --policy-arn
arn:aws:iam::aws:policy/AdministratorAccess
\ --user-nameAlice
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez les sections Politiques gérées et politiques intégrées dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir AttachUserPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserchange-password
.
- AWS CLI
-
Pour modifier le mot de passe de votre IAM utilisateur
Pour modifier le mot de passe de votre IAM utilisateur, nous vous recommandons d'utiliser le
--cli-input-json
paramètre pour transmettre un JSON fichier contenant vos anciens et nouveaux mots de passe. Grâce à cette méthode, vous pouvez utiliser des mots de passe forts contenant des caractères non alphanumériques. Il peut être difficile d'utiliser des mots de passe contenant des caractères non alphanumériques lorsque vous les transmettez en tant que paramètres de ligne de commande. Pour utiliser le--cli-input-json
paramètre, commencez par utiliser lachange-password
commande avec le--generate-cli-skeleton
paramètre, comme dans l'exemple suivant.aws iam change-password \ --generate-cli-skeleton
>
change-password.json
La commande précédente crée un JSON fichier appelé change-password.json que vous pouvez utiliser pour renseigner vos anciens et nouveaux mots de passe. Par exemple, le fichier peut ressembler à ce qui suit.
{ "OldPassword": "3s0K_;xh4~8XXI", "NewPassword": "]35d/{pB9Fo9wJ" }
Ensuite, pour modifier votre mot de passe, réutilisez la
change-password
commande, en passant cette fois le--cli-input-json
paramètre pour spécifier votre JSON fichier. Lachange-password
commande suivante utilise le--cli-input-json
paramètre avec un JSON fichier appelé change-password.json.aws iam change-password \ --cli-input-json
file://change-password.json
Cette commande ne produit aucun résultat.
Cette commande ne peut être appelée que par IAM les utilisateurs. Si cette commande est appelée à l'aide des informations d'identification du AWS compte (root), elle renvoie une
InvalidUserType
erreur.Pour plus d'informations, voir Comment un IAM utilisateur modifie son propre mot de passe dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ChangePassword
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-access-key
.
- AWS CLI
-
Pour créer une clé d'accès pour un IAM utilisateur
La
create-access-key
commande suivante crée une clé d'accès (ID de clé d'accès et clé d'accès secrète) pour l'IAMutilisateur nomméBob
.aws iam create-access-key \ --user-name
Bob
Sortie :
{ "AccessKey": { "UserName": "Bob", "Status": "Active", "CreateDate": "2015-03-09T18:39:23.411Z", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" } }
Conservez votre clé d’accès secrète dans un emplacement sécurisé. Si elle est perdue, elle ne peut pas être récupérée et vous devez créer une nouvelle clé.
Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir CreateAccessKey
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-account-alias
.
- AWS CLI
-
Pour créer un alias de compte
La
create-account-alias
commande suivante crée l'aliasexamplecorp
de votre AWS compte.aws iam create-account-alias \ --account-alias
examplecorp
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez l'ID de votre AWS compte et son alias dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir CreateAccountAlias
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-group
.
- AWS CLI
-
Pour créer un IAM groupe
La
create-group
commande suivante crée un IAM groupe nomméAdmins
.aws iam create-group \ --group-name
Admins
Sortie :
{ "Group": { "Path": "/", "CreateDate": "2015-03-09T20:30:24.940Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
Pour plus d'informations, consultez la section Création de groupes IAM d'utilisateurs dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir CreateGroup
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-instance-profile
.
- AWS CLI
-
Pour créer un profil d’instance
La commande
create-instance-profile
suivante crée un profil d’instance nomméWebserver
.aws iam create-instance-profile \ --instance-profile-name
Webserver
Sortie :
{ "InstanceProfile": { "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE", "Roles": [], "CreateDate": "2015-03-09T20:33:19.626Z", "InstanceProfileName": "Webserver", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver" } }
Pour ajouter un rôle à un profil d’instance, utilisez la commande
add-role-to-instance-profile
.Pour plus d'informations, consultez la section Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir CreateInstanceProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-login-profile
.
- AWS CLI
-
Pour créer un mot de passe pour un IAM utilisateur
Pour créer un mot de passe pour un IAM utilisateur, nous vous recommandons d'utiliser le
--cli-input-json
paramètre pour transmettre un JSON fichier contenant le mot de passe. Cette méthode vous permet de créer un mot de passe fort avec des caractères non alphanumériques. Il peut être difficile de créer un mot de passe contenant des caractères non alphanumériques lorsque vous le transmettez en tant que paramètre de ligne de commande.Pour utiliser le
--cli-input-json
paramètre, commencez par utiliser lacreate-login-profile
commande avec le--generate-cli-skeleton
paramètre, comme dans l'exemple suivant.aws iam create-login-profile \ --generate-cli-skeleton
>
create-login-profile.json
La commande précédente crée un JSON fichier appelé create-login-profile .json que vous pouvez utiliser pour renseigner les informations d'une
create-login-profile
commande suivante. Par exemple :{ "UserName": "Bob", "Password": "&1-3a6u:RA0djs", "PasswordResetRequired": true }
Ensuite, pour créer un mot de passe pour un IAM utilisateur, réutilisez la
create-login-profile
commande, en passant cette fois le--cli-input-json
paramètre pour spécifier votre JSON fichier. Lacreate-login-profile
commande suivante utilise le--cli-input-json
paramètre avec un JSON fichier appelé create-login-profile .json.aws iam create-login-profile \ --cli-input-json
file://create-login-profile.json
Sortie :
{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2015-03-10T20:55:40.274Z", "PasswordResetRequired": true } }
Si le nouveau mot de passe enfreint la politique de mot de passe du compte, la commande renvoie une
PasswordPolicyViolation
erreur.Pour modifier le mot de passe d'un utilisateur qui en possède déjà un, utilisez
update-login-profile
. Pour définir une politique de mot de passe pour le compte, utilisez laupdate-account-password-policy
commande.Si la politique de mot de passe du compte le permet, les IAM utilisateurs peuvent modifier leur propre mot de passe à l'aide de la
change-password
commande.Pour plus d'informations, consultez la section Gestion des mots de passe IAM des utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir CreateLoginProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-open-id-connect-provider
.
- AWS CLI
-
Pour créer un fournisseur OpenID Connect () OIDC
Pour créer un fournisseur OpenID Connect (OIDC), nous vous recommandons d'utiliser le
--cli-input-json
paramètre pour transmettre un JSON fichier contenant les paramètres requis. Lorsque vous créez un OIDC fournisseur, vous devez transmettre le URL nom du fournisseur, et le URL doit commencer parhttps://
. Il peut être difficile de transmettre le paramètre URL en tant que paramètre de ligne de commande, car les deux points (:) et les barres obliques (/) ont une signification particulière dans certains environnements de ligne de commande. L'utilisation du--cli-input-json
paramètre permet de contourner cette limitation.Pour utiliser le
--cli-input-json
paramètre, commencez par utiliser lacreate-open-id-connect-provider
commande avec le--generate-cli-skeleton
paramètre, comme dans l'exemple suivant.aws iam create-open-id-connect-provider \ --generate-cli-skeleton
>
create-open-id-connect-provider.json
La commande précédente crée un JSON fichier appelé create-open-id-connect -provider.json que vous pouvez utiliser pour renseigner les informations d'une commande suivante.
create-open-id-connect-provider
Par exemple :{ "Url": "https://server.example.com", "ClientIDList": [ "example-application-ID" ], "ThumbprintList": [ "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE" ] }
Ensuite, pour créer le fournisseur OpenID Connect (OIDC), réutilisez la
create-open-id-connect-provider
commande, en passant cette fois le--cli-input-json
paramètre pour spécifier votre JSON fichier. Lacreate-open-id-connect-provider
commande suivante utilise le--cli-input-json
paramètre avec un JSON fichier appelé create-open-id-connect -provider.json.aws iam create-open-id-connect-provider \ --cli-input-json
file://create-open-id-connect-provider.json
Sortie :
{ "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com" }
Pour plus d'informations sur OIDC les fournisseurs, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.
Pour plus d'informations sur l'obtention des empreintes digitales d'un OIDC fournisseur, consultez la section Obtention de l'empreinte numérique d'un fournisseur d'identité OpenID Connect dans le guide de l'utilisateur.AWS IAM
-
Pour API plus de détails, voir CreateOpenIdConnectProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-policy-version
.
- AWS CLI
-
Pour créer une nouvelle version de la politique gérée
Cet exemple crée une nouvelle
v2
version de la IAM politique dont il ARN s'agitarn:aws:iam::123456789012:policy/MyPolicy
et en fait la version par défaut.aws iam create-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --policy-documentfile://NewPolicyVersion.json
\ --set-as-defaultSortie :
{ "PolicyVersion": { "CreateDate": "2015-06-16T18:56:03.721Z", "VersionId": "v2", "IsDefaultVersion": true } }
Pour plus d'informations, consultez la section IAMPolitiques de gestion des versions dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir CreatePolicyVersion
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-policy
.
- AWS CLI
-
Exemple 1 : Pour créer une politique gérée par le client
La commande suivante crée une politique gérée par le client nommée
my-policy
.aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy
Le fichier
policy
est un JSON document du dossier actuel qui accorde un accès en lecture seule aushared
dossier dans un compartiment Amazon S3 nommémy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket/shared/*" ] } ] }
Sortie :
{ "Policy": { "PolicyName": "my-policy", "CreateDate": "2015-06-01T19:31:18.620Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "ZXR6A36LTYANPAI7NJ5UV", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::0123456789012:policy/my-policy", "UpdateDate": "2015-06-01T19:31:18.620Z" } }
Pour plus d'informations sur l'utilisation de fichiers comme entrée pour les paramètres de chaîne, voir Spécifier les valeurs des paramètres pour le AWS CLI dans le guide de AWS CLI l'utilisateur.
Exemple 2 : Pour créer une politique gérée par le client avec une description
La commande suivante crée une politique gérée par le client nommée
my-policy
avec une description immuable :aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy.json
\ --description"This policy grants access to all Put, Get, and List actions for my-bucket"
Le fichier
policy.json
est un JSON document du dossier actuel qui donne accès à toutes les actions Put, List et Get pour un compartiment Amazon S3 nommémy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }
Sortie :
{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T22:38:47+00:00", "UpdateDate": "2023-05-24T22:38:47+00:00" } }
Pour plus d'informations sur les politiques basées sur l'identité, voir Politiques basées sur l'identité et politiques basées sur les ressources dans le Guide de l'utilisateur.AWS IAM
Exemple 3 : Pour créer une politique gérée par le client avec des balises
La commande suivante crée une politique gérée par le client nommée
my-policy
avec des balises. Cet exemple utilise l'indicateur de--tags
paramètre avec les balises au JSON format suivantes :.'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
L’indicateur--tags
peut également être utilisé avec des balises au format raccourci :'Key=Department,Value=Accounting Key=Location,Value=Seattle'
.aws iam create-policy \ --policy-name
my-policy
\ --policy-documentfile://policy.json
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'Le fichier
policy.json
est un JSON document du dossier actuel qui donne accès à toutes les actions Put, List et Get pour un compartiment Amazon S3 nommémy-bucket
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }
Sortie :
{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::12345678012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T23:16:39+00:00", "UpdateDate": "2023-05-24T23:16:39+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, "Key": "Location", "Value": "Seattle" { ] } }
Pour plus d'informations sur les politiques de balisage, consultez la section Marquage des politiques gérées par le client dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir CreatePolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-role
.
- AWS CLI
-
Exemple 1 : pour créer un IAM rôle
La commande
create-role
suivante crée un rôle nomméTest-Role
et lui attache une politique d’approbation.aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
Sortie :
{ "Role": { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AKIAIOSFODNN7EXAMPLE", "CreateDate": "2013-06-07T20:43:32.821Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }
La politique de confiance est définie sous forme de JSON document dans le fichier test-role-trust-policy.json. (Le nom et l’extension du fichier n’ont aucune importance.) La politique d’approbation doit spécifier un principal.
Pour attacher une politique des autorisations à un rôle, utilisez la commande
put-role-policy
.Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.
Exemple 2 : pour créer un IAM rôle avec une durée de session maximale spécifiée
La commande
create-role
suivante crée un rôle nomméTest-Role
et définit une durée de session maximale de 7 200 secondes (2 heures).aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
\ --max-session-duration7200
Sortie :
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:role/Test-Role", "CreateDate": "2023-05-24T23:50:25+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678012:root" }, "Action": "sts:AssumeRole" } ] } } }
Pour plus d'informations, consultez la section Modification de la durée maximale de session d'un rôle (AWS API) dans le guide de AWS IAM l'utilisateur.
Exemple 3 : pour créer un IAM rôle avec des balises
La commande suivante crée un IAM rôle
Test-Role
avec des balises. Cet exemple utilise l'indicateur de--tags
paramètre avec les balises au JSON format suivantes :.'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
L’indicateur--tags
peut également être utilisé avec des balises au format raccourci :'Key=Department,Value=Accounting Key=Location,Value=Seattle'
.aws iam create-role \ --role-name
Test-Role
\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'Sortie :
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/Test-Role", "CreateDate": "2023-05-25T23:29:41+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }, "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }
Pour plus d'informations, consultez la section Marquage IAM des rôles dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir CreateRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-saml-provider
.
- AWS CLI
-
Pour créer un SAML fournisseur
Cet exemple crée un nouveau SAML fournisseur dans IAM named
MySAMLProvider
. Elle est décrite par le document de SAML métadonnées présent dans le fichierSAMLMetaData.xml
.aws iam create-saml-provider \ --saml-metadata-document
file://SAMLMetaData.xml
\ --nameMySAMLProvider
Sortie :
{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider" }
Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir C reateSAMLProvider
dans AWS CLI Command Reference.
-
L'exemple de code suivant montre comment utilisercreate-service-linked-role
.
- AWS CLI
-
Pour créer un rôle lié à un service
L'
create-service-linked-role
exemple suivant crée un rôle lié à un service pour le AWS service spécifié et y joint la description spécifiée.aws iam create-service-linked-role \ --aws-service-name
lex.amazonaws.com
\ --description"My service-linked role to support Lex"
Sortie :
{ "Role": { "Path": "/aws-service-role/lex.amazonaws.com/", "RoleName": "AWSServiceRoleForLexBots", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots", "CreateDate": "2019-04-17T20:34:14+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "lex.amazonaws.com" ] } } ] } } }
Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir CreateServiceLinkedRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-service-specific-credential
.
- AWS CLI
-
Création d'un ensemble d'informations d'identification spécifiques au service pour un utilisateur
L'
create-service-specific-credential
exemple suivant crée un nom d'utilisateur et un mot de passe qui ne peuvent être utilisés que pour accéder au service configuré.aws iam create-service-specific-credential \ --user-name
sofia
\ --service-namecodecommit.amazonaws.com
Sortie :
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.
-
Pour API plus de détails, voir CreateServiceSpecificCredential
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-user
.
- AWS CLI
-
Exemple 1 : pour créer un IAM utilisateur
La
create-user
commande suivante crée un IAM utilisateur nomméBob
dans le compte courant.aws iam create-user \ --user-name
Bob
Sortie :
{ "User": { "UserName": "Bob", "Path": "/", "CreateDate": "2023-06-08T03:20:41.270Z", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } }
Pour plus d'informations, consultez la section Création IAM d'un utilisateur dans votre AWS compte dans le guide de AWS IAM l'utilisateur.
Exemple 2 : pour créer un IAM utilisateur sur un chemin spécifié
La
create-user
commande suivante crée un IAM utilisateur nomméBob
selon le chemin spécifié.aws iam create-user \ --user-name
Bob
\ --path/division_abc/subdivision_xyz/
Sortie :
{ "User": { "Path": "/division_abc/subdivision_xyz/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob", "CreateDate": "2023-05-24T18:20:17+00:00" } }
Pour plus d'informations, consultez la section IAMIdentifiants dans le guide de l'AWS IAMutilisateur.
Exemple 3 : pour créer un IAM utilisateur avec des balises
La
create-user
commande suivante crée un IAM utilisateur nomméBob
avec des balises. Cet exemple utilise l'indicateur de--tags
paramètre avec les balises au JSON format suivantes :.'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
L’indicateur--tags
peut également être utilisé avec des balises au format raccourci :'Key=Department,Value=Accounting Key=Location,Value=Seattle'
.aws iam create-user \ --user-name
Bob
\ --tags '{"Key": "Department", "Value": "Accounting"}
' '{"Key": "Location", "Value": "Seattle"}
'Sortie :
{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-25T17:14:21+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }
Pour plus d'informations, consultez la section Marquage des IAM utilisateurs dans le guide de l'AWS IAMutilisateur.
Exemple 3 : pour créer un IAM utilisateur avec une limite d'autorisations définie
La
create-user
commande suivante crée un IAM utilisateur dont le nom correspondBob
à la limite d'autorisations d'AmazonS3FullAccess.aws iam create-user \ --user-name
Bob
\ --permissions-boundaryarn:aws:iam::aws:policy/AmazonS3FullAccess
Sortie :
{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-24T17:50:53+00:00", "PermissionsBoundary": { "PermissionsBoundaryType": "Policy", "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" } } }
Pour plus d'informations, consultez la section Limites des autorisations pour IAM les entités dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir CreateUser
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-virtual-mfa-device
.
- AWS CLI
-
Pour créer un MFA appareil virtuel
Cet exemple crée un nouveau MFA périphérique virtuel appelé
BobsMFADevice
. Il crée un fichier qui contient les informations de bootstrap appeléesQRCode.png
et le place dans leC:/
répertoire. La méthode bootstrap utilisée dans cet exemple estQRCodePNG
.aws iam create-virtual-mfa-device \ --virtual-mfa-device-name
BobsMFADevice
\ --outfileC:/QRCode.png
\ --bootstrap-methodQRCodePNG
Sortie :
{ "VirtualMFADevice": { "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice" }
Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir CreateVirtualMfaDevice
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdeactivate-mfa-device
.
- AWS CLI
-
Pour désactiver un appareil MFA
Cette commande désactive le MFA périphérique virtuel associé à l'utilisateur
Bob
. ARNarn:aws:iam::210987654321:mfa/BobsMFADevice
aws iam deactivate-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir DeactivateMfaDevice
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdecode-authorization-message
.
- AWS CLI
-
Pour décoder un message d'échec d'autorisation
L'
decode-authorization-message
exemple suivant décode le message renvoyé par la EC2 console lors de la tentative de lancement d'une instance sans les autorisations requises.aws sts decode-authorization-message \ --encoded-message
lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk
La sortie est formatée sous la forme d'une chaîne de JSON texte d'une seule ligne que vous pouvez analyser avec n'importe quel JSON logiciel de traitement de texte.
{ "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}" }
Pour plus d'informations, consultez Comment décoder un message d'échec d'autorisation après avoir reçu une erreur « UnauthorizedOperation » lors du lancement d'une EC2 instance ?
dans AWS Re:post. -
Pour API plus de détails, voir DecodeAuthorizationMessage
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-access-key
.
- AWS CLI
-
Pour supprimer une clé d'accès pour un IAM utilisateur
La
delete-access-key
commande suivante supprime la clé d'accès spécifiée (ID de clé d'accès et clé d'accès secrète) pour l'IAMutilisateur nomméBob
.aws iam delete-access-key \ --access-key-id
AKIDPMS9RO4H3FEXAMPLE
\ --user-nameBob
Cette commande ne produit aucun résultat.
Pour répertorier les clés d'accès définies pour un IAM utilisateur, utilisez la
list-access-keys
commande.Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteAccessKey
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-account-alias
.
- AWS CLI
-
Pour supprimer un alias de compte
La commande
delete-account-alias
suivante supprime les aliasmycompany
du compte actuel.aws iam delete-account-alias \ --account-alias
mycompany
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez l'ID de votre AWS compte et son alias dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteAccountAlias
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-account-password-policy
.
- AWS CLI
-
Pour supprimer la politique de mot de passe du compte actuel
La
delete-account-password-policy
commande suivante supprime la politique de mot de passe pour le compte actuel.aws iam delete-account-password-policy
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteAccountPasswordPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-group-policy
.
- AWS CLI
-
Pour supprimer une politique d'un IAM groupe
La commande
delete-group-policy
suivante supprime la politique nomméeExamplePolicy
du groupe nomméAdmins
.aws iam delete-group-policy \ --group-name
Admins
\ --policy-nameExamplePolicy
Cette commande ne produit aucun résultat.
Pour voir les politiques attachées à un groupe, utilisez la commande
list-group-policies
.Pour plus d'informations, consultez la section Gestion des IAM politiques dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteGroupPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-group
.
- AWS CLI
-
Pour supprimer un IAM groupe
La
delete-group
commande suivante supprime un IAM groupe nomméMyTestGroup
.aws iam delete-group \ --group-name
MyTestGroup
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Suppression d'un groupe IAM d'utilisateurs dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteGroup
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-instance-profile
.
- AWS CLI
-
Pour supprimer un profil d’instance
La commande
delete-instance-profile
suivante supprime un profil d’instance nomméExampleInstanceProfile
.aws iam delete-instance-profile \ --instance-profile-name
ExampleInstanceProfile
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteInstanceProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-login-profile
.
- AWS CLI
-
Pour supprimer le mot de passe d'un IAM utilisateur
La
delete-login-profile
commande suivante supprime le mot de passe de l'IAMutilisateur nomméBob
.aws iam delete-login-profile \ --user-name
Bob
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des mots de passe IAM des utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteLoginProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-open-id-connect-provider
.
- AWS CLI
-
Pour supprimer un fournisseur d'IAMidentité OpenID Connect
Cet exemple supprime le IAM OIDC fournisseur qui se connecte au fournisseur
example.oidcprovider.com
.aws iam delete-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir DeleteOpenIdConnectProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-policy-version
.
- AWS CLI
-
Pour supprimer une version d'une politique gérée
Cet exemple supprime la version identifiée comme étant dans
v2
la politique dont ARN c'estarn:aws:iam::123456789012:policy/MySamplePolicy
le cas.aws iam delete-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeletePolicyVersion
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-policy
.
- AWS CLI
-
Pour supprimer une IAM politique
Cet exemple supprime la politique dont le nom ARN est
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam delete-policy \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeletePolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-role-permissions-boundary
.
- AWS CLI
-
Pour supprimer une limite d'autorisation d'un IAM rôle
L'
delete-role-permissions-boundary
exemple suivant supprime la limite des autorisations pour le IAM rôle spécifié. Pour appliquer une limite d'autorisations à un rôle, utilisez laput-role-permissions-boundary
commande.aws iam delete-role-permissions-boundary \ --role-name
lambda-application-role
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteRolePermissionsBoundary
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-role-policy
.
- AWS CLI
-
Pour supprimer une politique d'un IAM rôle
La commande
delete-role-policy
suivante supprime la politique nomméeExamplePolicy
du rôle nomméTest-Role
.aws iam delete-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteRolePolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-role
.
- AWS CLI
-
Pour supprimer un IAM rôle
La commande
delete-role
suivante supprime le rôle nomméTest-Role
.aws iam delete-role \ --role-name
Test-Role
Cette commande ne produit aucun résultat.
Pour pouvoir supprimer un rôle, vous devez le supprimer de tout profil d’instance (
remove-role-from-instance-profile
), détacher toutes les politiques gérées (detach-role-policy
) et supprimer toutes les politiques intégrées attachées au rôle (delete-role-policy
).Pour plus d'informations, consultez les sections Création de IAM rôles et Utilisation de profils d'instance dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-saml-provider
.
- AWS CLI
-
Pour supprimer un SAML fournisseur
Cet exemple supprime le fournisseur IAM SAML 2.0 dont le nom ARN est
arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider
.aws iam delete-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir D eleteSAMLProvider
dans la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-server-certificate
.
- AWS CLI
-
Pour supprimer un certificat de serveur de votre AWS compte
La
delete-server-certificate
commande suivante supprime le certificat de serveur spécifié de votre AWS compte.aws iam delete-server-certificate \ --server-certificate-name
myUpdatedServerCertificate
Cette commande ne produit aucun résultat.
Pour répertorier les certificats de serveur disponibles dans votre AWS compte, utilisez la
list-server-certificates
commande.Pour plus d'informations, consultez la section Gestion des certificats de serveur IAM dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteServerCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-service-linked-role
.
- AWS CLI
-
Pour supprimer un rôle lié à un service
L’exemple
delete-service-linked-role
suivant supprime le rôle lié à un service spécifié dont vous n’avez plus besoin. La suppression s’effectue de manière asynchrone. Vous pouvez vérifier le statut de la suppression et si elle est terminée à l’aide de la commandeget-service-linked-role-deletion-status
.aws iam delete-service-linked-role \ --role-name
AWSServiceRoleForLexBots
Sortie :
{ "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE" }
Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir DeleteServiceLinkedRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-service-specific-credential
.
- AWS CLI
-
Exemple 1 : Supprimer les informations d'identification spécifiques au service pour l'utilisateur demandeur
L'
delete-service-specific-credential
exemple suivant supprime les informations d'identification spécifiques au service spécifiées pour l'utilisateur qui fait la demande. Leservice-specific-credential-id
est fourni lorsque vous créez l'identifiant et vous pouvez le récupérer à l'aide de lalist-service-specific-credentials
commande.aws iam delete-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
Cette commande ne produit aucun résultat.
Exemple 2 : Supprimer les informations d'identification spécifiques à un service pour un utilisateur spécifié
L'
delete-service-specific-credential
exemple suivant supprime les informations d'identification spécifiques au service spécifiées pour l'utilisateur spécifié. Leservice-specific-credential-id
est fourni lorsque vous créez l'identifiant et vous pouvez le récupérer à l'aide de lalist-service-specific-credentials
commande.aws iam delete-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.
-
Pour API plus de détails, voir DeleteServiceSpecificCredential
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-signing-certificate
.
- AWS CLI
-
Pour supprimer un certificat de signature pour un IAM utilisateur
La
delete-signing-certificate
commande suivante supprime le certificat de signature spécifié pour l'IAMutilisateur nomméBob
.aws iam delete-signing-certificate \ --user-name
Bob
\ --certificate-idTA7SMP42TDN5Z26OBPJE7EXAMPLE
Cette commande ne produit aucun résultat.
Pour obtenir l'ID d'un certificat de signature, utilisez la
list-signing-certificates
commande.Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.
-
Pour API plus de détails, voir DeleteSigningCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-ssh-public-key
.
- AWS CLI
-
Pour supprimer une clé SSH publique attachée à un IAM utilisateur
La
delete-ssh-public-key
commande suivante supprime la clé SSH publique spécifiée attachée à l'IAMutilisateursofia
.aws iam delete-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
Cette commande ne produit aucun résultat.
Pour plus d'informations, reportez-vous à la section Utiliser SSH les touches et SSH avec CodeCommit dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteSshPublicKey
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-user-permissions-boundary
.
- AWS CLI
-
Pour supprimer une limite d'autorisation pour un IAM utilisateur
L'
delete-user-permissions-boundary
exemple suivant supprime la limite d'autorisations attachée à l'IAMutilisateur nomméintern
. Pour appliquer une limite d'autorisation à un utilisateur, utilisez laput-user-permissions-boundary
commande.aws iam delete-user-permissions-boundary \ --user-name
intern
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteUserPermissionsBoundary
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-user-policy
.
- AWS CLI
-
Pour supprimer une politique d'un IAM utilisateur
La
delete-user-policy
commande suivante supprime la politique spécifiée pour l'IAMutilisateur nomméBob
.aws iam delete-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
Cette commande ne produit aucun résultat.
Pour obtenir la liste des politiques d'un IAM utilisateur, utilisez la
list-user-policies
commande.Pour plus d'informations, consultez la section Création IAM d'un utilisateur dans votre AWS compte dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteUserPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-user
.
- AWS CLI
-
Pour supprimer un IAM utilisateur
La
delete-user
commande suivante supprime l'IAMutilisateur nomméBob
du compte actuel.aws iam delete-user \ --user-name
Bob
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Suppression d'un IAM utilisateur dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DeleteUser
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-virtual-mfa-device
.
- AWS CLI
-
Pour supprimer un MFA périphérique virtuel
La
delete-virtual-mfa-device
commande suivante supprime le MFA périphérique spécifié du compte actuel.aws iam delete-virtual-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/MFATest
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Désactivation MFA des appareils dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir DeleteVirtualMfaDevice
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdetach-group-policy
.
- AWS CLI
-
Pour détacher une politique d'un groupe
Cet exemple supprime la politique gérée à l'aide ARN
arn:aws:iam::123456789012:policy/TesterAccessPolicy
du groupe appeléTesters
.aws iam detach-group-policy \ --group-name
Testers
\ --policy-arnarn:aws:iam::123456789012:policy/TesterAccessPolicy
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des groupes IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DetachGroupPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdetach-role-policy
.
- AWS CLI
-
Pour détacher une politique d’un rôle
Cet exemple supprime la politique gérée avec le rôle « ARN
arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy
from » appeléFedTesterRole
.aws iam detach-role-policy \ --role-name
FedTesterRole
\ --policy-arnarn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DetachRolePolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdetach-user-policy
.
- AWS CLI
-
Pour détacher une politique d’un utilisateur
Cet exemple supprime la politique gérée avec le « ARN
arn:aws:iam::123456789012:policy/TesterPolicy
from the userBob
».aws iam detach-user-policy \ --user-name
Bob
\ --policy-arnarn:aws:iam::123456789012:policy/TesterPolicy
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Modification des autorisations d'un IAM utilisateur dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir DetachUserPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserenable-mfa-device
.
- AWS CLI
-
Pour activer un MFA appareil
Après avoir utilisé la
create-virtual-mfa-device
commande pour créer un nouveau MFA périphérique virtuel, vous pouvez l'MFAattribuer à un utilisateur. L'enable-mfa-device
exemple suivant attribue le MFA périphérique avec le numéro de sériearn:aws:iam::210987654321:mfa/BobsMFADevice
à l'utilisateurBob
. La commande synchronise également le dispositif AWS en incluant les deux premiers codes en séquence à partir du MFA dispositif virtuel.aws iam enable-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
\ --authentication-code1123456
\ --authentication-code2789012
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Activation d'un dispositif d'authentification multifactorielle virtuelle (MFA) dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir EnableMfaDevice
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisergenerate-credential-report
.
- AWS CLI
-
Pour générer un rapport sur les informations d’identification
L'exemple suivant tente de générer un rapport d'identification pour le AWS compte.
aws iam generate-credential-report
Sortie :
{ "State": "STARTED", "Description": "No report exists. Starting a new report generation task" }
Pour plus d'informations, consultez la section Obtenir des rapports d'identification pour votre AWS compte dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir GenerateCredentialReport
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisergenerate-organizations-access-report
.
- AWS CLI
-
Exemple 1 : pour générer un rapport d'accès pour un root dans une organisation
L'
generate-organizations-access-report
exemple suivant lance une tâche en arrière-plan afin de créer un rapport d'accès pour la racine spécifiée dans une organisation. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant laget-organizations-access-report
commande.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb
Sortie :
{ "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359" }
Exemple 2 : pour générer un rapport d'accès pour un compte dans une organisation
L'
generate-organizations-access-report
exemple suivant lance une tâche en arrière-plan pour créer un rapport d'accès pour l'ID de compte123456789012
dans l'organisationo-4fxmplt198
. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant laget-organizations-access-report
commande.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb/123456789012
Sortie :
{ "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2" }
Exemple 3 : Pour générer un rapport d'accès pour un compte dans une unité organisationnelle d'une organisation
L'
generate-organizations-access-report
exemple suivant lance une tâche en arrière-plan pour créer un rapport d'accès pour l'ID de compte234567890123
dans l'unitéou-c3xb-lmu7j2yg
organisationnelle de l'organisationo-4fxmplt198
. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant laget-organizations-access-report
commande.aws iam generate-organizations-access-report \ --entity-path
o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123
Sortie :
{ "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af" }
Pour obtenir des informations sur les racines et les unités organisationnelles de votre organisation, utilisez les
organizations list-organizational-units-for-parent
commandesorganizations list-roots
et.Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GenerateOrganizationsAccessReport
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisergenerate-service-last-accessed-details
.
- AWS CLI
-
Exemple 1 : pour générer un rapport d'accès aux services pour une politique personnalisée
L'
generate-service-last-accessed-details
exemple suivant lance une tâche en arrière-plan pour générer un rapport répertoriant les services auxquels accèdent IAM les utilisateurs et les autres entités avec une politique personnalisée nomméeintern-boundary
. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant laget-service-last-accessed-details
commande.aws iam generate-service-last-accessed-details \ --arn
arn:aws:iam::123456789012:policy/intern-boundary
Sortie :
{ "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc" }
Exemple 2 : pour générer un rapport d'accès aux services pour la AdministratorAccess politique AWS gérée
L'
generate-service-last-accessed-details
exemple suivant lance une tâche en arrière-plan pour générer un rapport répertoriant les services auxquels ont accédé IAM les utilisateurs et les autres entités avec laAdministratorAccess
politique AWS gérée. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant laget-service-last-accessed-details
commande.aws iam generate-service-last-accessed-details \ --arn
arn:aws:iam::aws:policy/AdministratorAccess
Sortie :
{ "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916" }
Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GenerateServiceLastAccessedDetails
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-access-key-last-used
.
- AWS CLI
-
Pour récupérer des informations relatives au moment où la clé d’accès spécifiée a été utilisée pour la dernière fois
L’exemple suivant récupère des informations relatives au moment où la clé d’accès
ABCDEXAMPLE
a été utilisée pour la dernière fois.aws iam get-access-key-last-used \ --access-key-id
ABCDEXAMPLE
Sortie :
{ "UserName": "Bob", "AccessKeyLastUsed": { "Region": "us-east-1", "ServiceName": "iam", "LastUsedDate": "2015-06-16T22:45:00Z" } }
Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetAccessKeyLastUsed
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-account-authorization-details
.
- AWS CLI
-
Pour répertorier IAM les utilisateurs, les groupes, les rôles et les politiques d'un AWS compte
La
get-account-authorization-details
commande suivante renvoie des informations sur tous les IAM utilisateurs, groupes, rôles et politiques du AWS compte.aws iam get-account-authorization-details
Sortie :
{ "RoleDetailList": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileList": [ { "InstanceProfileId": "AIPA1234567890EXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "RoleName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role" } ], "RoleName": "EC2role", "Path": "/", "AttachedManagedPolicies": [ { "PolicyName": "AmazonS3FullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" }, { "PolicyName": "AmazonDynamoDBFullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess" } ], "RoleLastUsed": { "Region": "us-west-2", "LastUsedDate": "2019-11-13T17:30:00Z" }, "RolePolicyList": [], "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "GroupDetailList": [ { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, "GroupName": "Admins", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Admins", "CreateDate": "2013-10-14T18:32:24Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" }, "GroupName": "Dev", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Dev", "CreateDate": "2013-10-14T18:33:55Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": [], "GroupName": "Finance", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Finance", "CreateDate": "2013-10-14T18:57:48Z", "GroupPolicyList": [ { "PolicyName": "policygen-201310141157", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "aws-portal:*", "Sid": "Stmt1381777017000", "Resource": "*", "Effect": "Allow" } ] } } ] } ], "UserDetailList": [ { "UserName": "Alice", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:24Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Alice" }, { "UserName": "Bob", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:25Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [ { "PolicyName": "DenyBillingAndIAMPolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } } } ], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Bob" }, { "UserName": "Charlie", "GroupList": [ "Dev" ], "CreateDate": "2013-10-14T18:33:56Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Charlie" } ], "Policies": [ { "PolicyName": "create-update-delete-set-managed-policies", "CreateDate": "2015-02-06T19:58:34Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-02-06T19:58:34Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies", "UpdateDate": "2015-02-06T19:58:34Z" }, { "PolicyName": "S3-read-only-specific-bucket", "CreateDate": "2015-01-21T21:39:41Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-01-21T21:39:41Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::example-bucket", "arn:aws:s3:::example-bucket/*" ] } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket", "UpdateDate": "2015-01-21T23:39:41Z" }, { "PolicyName": "AmazonEC2FullAccess", "CreateDate": "2015-02-06T18:40:15Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2014-10-30T20:59:46Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:*", "Resource": "*" }, { "Effect": "Allow", "Action": "cloudwatch:*", "Resource": "*" }, { "Effect": "Allow", "Action": "autoscaling:*", "Resource": "*" } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess", "UpdateDate": "2015-02-06T18:40:15Z" } ], "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE", "IsTruncated": true }
Pour plus d'informations, consultez les directives relatives aux audits de AWS sécurité dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetAccountAuthorizationDetails
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-account-password-policy
.
- AWS CLI
-
Pour afficher la politique de mot de passe du compte actuel
La commande
get-account-password-policy
suivante affiche les détails de la politique de mot de passe du compte actuel.aws iam get-account-password-policy
Sortie :
{ "PasswordPolicy": { "AllowUsersToChangePassword": false, "RequireLowercaseCharacters": false, "RequireUppercaseCharacters": false, "MinimumPasswordLength": 8, "RequireNumbers": true, "RequireSymbols": true } }
Si aucune politique de mot de passe n’est définie pour le compte, la commande renvoie une erreur
NoSuchEntity
.Pour plus d'informations, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetAccountPasswordPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-account-summary
.
- AWS CLI
-
Pour obtenir des informations sur IAM l'utilisation des entités et les IAM quotas du compte courant
La
get-account-summary
commande suivante renvoie des informations sur l'utilisation actuelle des IAM entités et les quotas d'IAMentités actuels du compte.aws iam get-account-summary
Sortie :
{ "SummaryMap": { "UsersQuota": 5000, "GroupsQuota": 100, "InstanceProfiles": 6, "SigningCertificatesPerUserQuota": 2, "AccountAccessKeysPresent": 0, "RolesQuota": 250, "RolePolicySizeQuota": 10240, "AccountSigningCertificatesPresent": 0, "Users": 27, "ServerCertificatesQuota": 20, "ServerCertificates": 0, "AssumeRolePolicySizeQuota": 2048, "Groups": 7, "MFADevicesInUse": 1, "Roles": 3, "AccountMFAEnabled": 1, "MFADevices": 3, "GroupsPerUserQuota": 10, "GroupPolicySizeQuota": 5120, "InstanceProfilesQuota": 100, "AccessKeysPerUserQuota": 2, "Providers": 0, "UserPolicySizeQuota": 2048 } }
Pour plus d'informations sur les limitations relatives aux entités, reportez-vous à la section IAMet AWS STS aux quotas dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetAccountSummary
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-context-keys-for-custom-policy
.
- AWS CLI
-
Exemple 1 : pour répertorier les clés de contexte référencées par une ou plusieurs JSON politiques personnalisées fournies en paramètre sur la ligne de commande
La
get-context-keys-for-custom-policy
commande suivante analyse chaque politique fournie et répertorie les clés de contexte utilisées par ces politiques. Utilisez cette commande pour identifier les valeurs de clé de contexte que vous devez fournir pour utiliser correctement les commandes du simulateur de politiquessimulate-custom-policy
etsimulate-custom-policy
. Vous pouvez également récupérer la liste des clés de contexte utilisées par toutes les politiques associées à un IAM utilisateur ou à un rôle à l'aide de laget-context-keys-for-custom-policy
commande. Les valeurs de paramètres commençantfile://
par indiquent à la commande de lire le fichier et d'utiliser le contenu comme valeur du paramètre au lieu du nom du fichier lui-même.aws iam get-context-keys-for-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}
'Sortie :
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Exemple 2 : pour répertorier les clés de contexte référencées par une ou plusieurs JSON politiques personnalisées fournies en entrée de fichier
La
get-context-keys-for-custom-policy
commande suivante est identique à l'exemple précédent, sauf que les politiques sont fournies dans un fichier plutôt que sous forme de paramètre. Comme la commande attend une JSON liste de chaînes et non une liste de JSON structures, le fichier doit être structuré comme suit, bien que vous puissiez le réduire en une seule.[ "Policy1", "Policy2" ]
Ainsi, par exemple, un fichier contenant la politique de l'exemple précédent doit ressembler à ce qui suit. Vous devez éviter chaque guillemet intégré dans la chaîne de politique en le faisant précéder d'une « barre oblique inverse ».
[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]
Ce fichier peut ensuite être soumis à la commande suivante.
aws iam get-context-keys-for-custom-policy \ --policy-input-list
file://policyfile.json
Sortie :
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Pour plus d'informations, consultez la section Utilisation du simulateur de IAM politiques (AWS CLIet AWS API) dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetContextKeysForCustomPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-context-keys-for-principal-policy
.
- AWS CLI
-
Pour répertorier les clés de contexte référencées par toutes les politiques associées à un IAM principal
La
get-context-keys-for-principal-policy
commande suivante permet de récupérer toutes les politiques associées à l'utilisateursaanvi
et aux groupes dont elle est membre. Il analyse ensuite chacune d'elles et répertorie les clés de contexte utilisées par ces politiques. Utilisez cette commande pour identifier les valeurs de clé de contexte que vous devez fournir pour utiliser correctementsimulate-principal-policy
les commandessimulate-custom-policy
et. Vous pouvez également récupérer la liste des clés de contexte utilisées par une JSON politique arbitraire à l'aide de laget-context-keys-for-custom-policy
commande.aws iam get-context-keys-for-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/saanvi
Sortie :
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }
Pour plus d'informations, consultez la section Utilisation du simulateur de IAM politiques (AWS CLIet AWS API) dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetContextKeysForPrincipalPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-credential-report
.
- AWS CLI
-
Pour obtenir un rapport sur les informations d’identification
Cet exemple ouvre le rapport renvoyé et le transmet au pipeline sous la forme d’un tableau de lignes de texte.
aws iam get-credential-report
Sortie :
{ "GeneratedTime": "2015-06-17T19:11:50Z", "ReportFormat": "text/csv" }
Pour plus d'informations, consultez la section Obtenir des rapports d'identification pour votre AWS compte dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir GetCredentialReport
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-group-policy
.
- AWS CLI
-
Pour obtenir des informations sur une politique attachée à un IAM groupe
La
get-group-policy
commande suivante permet d'obtenir des informations sur la politique spécifiée attachée au groupe nomméTest-Group
.aws iam get-group-policy \ --group-name
Test-Group
\ --policy-nameS3-ReadOnly-Policy
Sortie :
{ "GroupName": "Test-Group", "PolicyDocument": { "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*", "Effect": "Allow" } ] }, "PolicyName": "S3-ReadOnly-Policy" }
Pour plus d'informations, consultez la section Gestion des IAM politiques dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetGroupPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-group
.
- AWS CLI
-
Pour créer un IAM groupe
Cet exemple renvoie des informations sur le IAM groupe
Admins
.aws iam get-group \ --group-name
Admins
Sortie :
{ "Group": { "Path": "/", "CreateDate": "2015-06-16T19:41:48Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, "Users": [] }
Pour plus d'informations, consultez la section IAMIdentités (utilisateurs, groupes d'utilisateurs et rôles) dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetGroup
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-instance-profile
.
- AWS CLI
-
Pour obtenir des informations sur le profil d'une instance
La
get-instance-profile
commande suivante permet d'obtenir des informations sur le profil d'instance nomméExampleInstanceProfile
.aws iam get-instance-profile \ --instance-profile-name
ExampleInstanceProfile
Sortie :
{ "InstanceProfile": { "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDGPMS9RO4H3FEXAMPLE", "CreateDate": "2013-01-09T06:33:26Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::336924118301:role/Test-Role" } ], "CreateDate": "2013-06-12T23:52:02Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile" } }
Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetInstanceProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-login-profile
.
- AWS CLI
-
Pour obtenir des informations sur le mot de passe d'un IAM utilisateur
La
get-login-profile
commande suivante permet d'obtenir des informations sur le mot de passe de l'IAMutilisateur nomméBob
.aws iam get-login-profile \ --user-name
Bob
Sortie :
{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2012-09-21T23:03:39Z" } }
La
get-login-profile
commande peut être utilisée pour vérifier qu'un IAM utilisateur possède un mot de passe. La commande renvoie uneNoSuchEntity
erreur si aucun mot de passe n'est défini pour l'utilisateur.Vous ne pouvez pas afficher un mot de passe à l'aide de cette commande. Si le mot de passe est perdu, vous pouvez le réinitialiser (
update-login-profile
) pour l'utilisateur. Vous pouvez également supprimer le profil de connexion (delete-login-profile
) de l'utilisateur, puis en créer un nouveau (create-login-profile
).Pour plus d'informations, consultez la section Gestion des mots de passe IAM des utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetLoginProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-mfa-device
.
- AWS CLI
-
Pour récupérer des informations relatives à une clé FIDO de sécurité
L'exemple de
get-mfa-device
commande suivant permet de récupérer des informations sur la clé FIDO de sécurité spécifiée.aws iam get-mfa-device \ --serial-number
arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE
Sortie :
{ "UserName": "alice", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00", "Certifications": { "FIDO": "L1" } }
Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir GetMfaDevice
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-open-id-connect-provider
.
- AWS CLI
-
Pour renvoyer des informations sur le fournisseur OpenID Connect spécifié
Cet exemple renvoie des informations sur le fournisseur OpenID Connect dont ARN le nom est.
arn:aws:iam::123456789012:oidc-provider/server.example.com
aws iam get-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
Sortie :
{ "Url": "server.example.com" "CreateDate": "2015-06-16T19:41:48Z", "ThumbprintList": [ "12345abcdefghijk67890lmnopqrst987example" ], "ClientIDList": [ "example-application-ID" ] }
Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir GetOpenIdConnectProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-organizations-access-report
.
- AWS CLI
-
Pour récupérer un rapport d'accès
L'
get-organizations-access-report
exemple suivant affiche un rapport d'accès généré précédemment pour une entité AWS Organizations. Pour générer un rapport, utilisez lagenerate-organizations-access-report
commande.aws iam get-organizations-access-report \ --job-id
a8b6c06f-aaa4-8xmp-28bc-81da71836359
Sortie :
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-09-30T06:53:36.187Z", "JobCompletionDate": "2019-09-30T06:53:37.547Z", "NumberOfServicesAccessible": 188, "NumberOfServicesNotAccessed": 171, "AccessDetails": [ { "ServiceName": "Alexa for Business", "ServiceNamespace": "a4b", "TotalAuthenticatedEntities": 0 }, ... }
Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetOrganizationsAccessReport
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-policy-version
.
- AWS CLI
-
Pour récupérer des informations sur la version spécifiée de la politique gérée spécifiée
Cet exemple renvoie le document de politique pour la version v2 de la politique dont le nom ARN est
arn:aws:iam::123456789012:policy/MyManagedPolicy
.aws iam get-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Sortie :
{ "PolicyVersion": { "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } ] }, "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2023-04-11T00:22:54+00:00" } }
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetPolicyVersion
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-policy
.
- AWS CLI
-
Pour récupérer des informations sur la politique gérée spécifiée
Cet exemple renvoie des informations sur la politique gérée dont ARN c'est le cas
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam get-policy \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Sortie :
{ "Policy": { "PolicyName": "MySamplePolicy", "CreateDate": "2015-06-17T19:23;32Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy", "UpdateDate": "2015-06-17T19:23:32Z" } }
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-role-policy
.
- AWS CLI
-
Pour obtenir des informations sur une politique associée à un IAM rôle
La
get-role-policy
commande suivante permet d'obtenir des informations sur la politique spécifiée attachée au rôle nomméTest-Role
.aws iam get-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
Sortie :
{ "RoleName": "Test-Role", "PolicyDocument": { "Statement": [ { "Action": [ "s3:ListBucket", "s3:Put*", "s3:Get*", "s3:*MultipartUpload*" ], "Resource": "*", "Effect": "Allow", "Sid": "1" } ] } "PolicyName": "ExamplePolicy" }
Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetRolePolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-role
.
- AWS CLI
-
Pour obtenir des informations sur un IAM rôle
La commande
get-role
suivante permet d’obtenir des informations sur le rôle nomméTest-Role
.aws iam get-role \ --role-name
Test-Role
Sortie :
{ "Role": { "Description": "Test Role", "AssumeRolePolicyDocument":"<URL-encoded-JSON>", "MaxSessionDuration": 3600, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2019-11-13T16:45:56Z", "RoleName": "Test-Role", "Path": "/", "RoleLastUsed": { "Region": "us-east-1", "LastUsedDate": "2019-11-13T17:14:00Z" }, "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }
La commande affiche la politique d’approbation attachée au rôle. Pour répertorier les politiques des autorisations attachées à un rôle, utilisez la commande
list-role-policies
.Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-saml-provider
.
- AWS CLI
-
Pour récupérer le SAML méta-document du fournisseur
Cet exemple permet de récupérer les informations relatives au fournisseur SAML 2.0 dont le nom ARM est
arn:aws:iam::123456789012:saml-provider/SAMLADFS
. La réponse inclut le document de métadonnées que vous avez obtenu du fournisseur d'identité pour créer l'entité AWS SAML fournisseur ainsi que les dates de création et d'expiration.aws iam get-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/SAMLADFS
Sortie :
{ "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...", "CreateDate": "2017-03-06T22:29:46+00:00", "ValidUntil": "2117-03-06T22:29:46.433000+00:00", "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetSamlProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-server-certificate
.
- AWS CLI
-
Pour obtenir des informations sur un certificat de serveur associé à votre AWS compte
La
get-server-certificate
commande suivante permet de récupérer tous les détails relatifs au certificat de serveur spécifié dans votre AWS compte.aws iam get-server-certificate \ --server-certificate-name
myUpdatedServerCertificate
Sortie :
{ "ServerCertificate": { "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, "CertificateBody": "-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----", "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md 7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----" } }
Pour répertorier les certificats de serveur disponibles dans votre AWS compte, utilisez la
list-server-certificates
commande.Pour plus d'informations, consultez la section Gestion des certificats de serveur IAM dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetServerCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-service-last-accessed-details-with-entities
.
- AWS CLI
-
Pour récupérer un rapport d'accès aux services contenant les détails d'un service
L'
get-service-last-accessed-details-with-entities
exemple suivant extrait un rapport contenant des informations détaillées sur IAM les utilisateurs et les autres entités ayant accédé au service spécifié. Pour générer un rapport, utilisez lagenerate-service-last-accessed-details
commande. Pour obtenir la liste des services accessibles avec des espaces de noms, utilisezget-service-last-accessed-details
.aws iam get-service-last-accessed-details-with-entities \ --job-id
78b6c2ba-d09e-6xmp-7039-ecde30b26916
\ --service-namespacelambda
Sortie :
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:55:41.756Z", "JobCompletionDate": "2019-10-01T03:55:42.533Z", "EntityDetailsList": [ { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/admin", "Name": "admin", "Type": "USER", "Id": "AIDAIO2XMPLENQEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-30T23:02:00Z" }, { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/developer", "Name": "developer", "Type": "USER", "Id": "AIDAIBEYXMPL2YEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-16T19:34:00Z" } ] }
Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetServiceLastAccessedDetailsWithEntities
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-service-last-accessed-details
.
- AWS CLI
-
Pour récupérer un rapport d'accès aux services
L'
get-service-last-accessed-details
exemple suivant extrait un rapport généré précédemment qui répertorie les services auxquels les IAM entités ont accès. Pour générer un rapport, utilisez lagenerate-service-last-accessed-details
commande.aws iam get-service-last-accessed-details \ --job-id
2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc
Sortie :
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:50:35.929Z", "ServicesLastAccessed": [ ... { "ServiceName": "AWS Lambda", "LastAuthenticated": "2019-09-30T23:02:00Z", "ServiceNamespace": "lambda", "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin", "TotalAuthenticatedEntities": 6 }, ] }
Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetServiceLastAccessedDetails
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-service-linked-role-deletion-status
.
- AWS CLI
-
Pour vérifier le statut d’une requête de suppression d’un rôle lié à un service
L’exemple
get-service-linked-role-deletion-status
suivant affiche le statut d’une requête précédente de suppression d’un rôle lié à un service. L’opération de suppression s’effectue de manière asynchrone. Lorsque vous effectuez la requête, vous obtenez une valeurDeletionTaskId
que vous fournissez en tant que paramètre de cette commande.aws iam get-service-linked-role-deletion-status \ --deletion-task-id
task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE
Sortie :
{ "Status": "SUCCEEDED" }
Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir GetServiceLinkedRoleDeletionStatus
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-ssh-public-key
.
- AWS CLI
-
Exemple 1 : Pour récupérer une clé SSH publique attachée à un IAM utilisateur sous forme SSH codée
La
get-ssh-public-key
commande suivante permet de récupérer la clé SSH publique spécifiée auprès de l'IAMutilisateursofia
. La sortie est en cours d'SSHencodage.aws iam get-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
\ --encodingSSH
Sortie :
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Exemple 2 : Pour récupérer une clé SSH publique attachée à un IAM utilisateur sous forme PEM codée
La
get-ssh-public-key
commande suivante permet de récupérer la clé SSH publique spécifiée auprès de l'IAMutilisateursofia
. La sortie est en cours d'PEMencodage.aws iam get-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA123456789EXAMPLE
\ --encodingPEM
Sortie :
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Pour plus d'informations, reportez-vous à la section Utiliser SSH les touches et SSH avec CodeCommit dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetSshPublicKey
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-user-policy
.
- AWS CLI
-
Pour répertorier les détails de la politique d'un IAM utilisateur
La
get-user-policy
commande suivante répertorie les détails de la politique spécifiée attachée à l'IAMutilisateur nomméBob
.aws iam get-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
Sortie :
{ "UserName": "Bob", "PolicyName": "ExamplePolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow" } ] } }
Pour obtenir la liste des politiques d'un IAM utilisateur, utilisez la
list-user-policies
commande.Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetUserPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-user
.
- AWS CLI
-
Pour obtenir des informations sur un IAM utilisateur
La
get-user
commande suivante permet d'obtenir des informations sur l'IAMutilisateur nomméPaulo
.aws iam get-user \ --user-name
Paulo
Sortie :
{ "User": { "UserName": "Paulo", "Path": "/", "CreateDate": "2019-09-21T23:03:13Z", "UserId": "AIDA123456789EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Paulo" } }
Pour plus d'informations, consultez la section Gestion des IAM utilisateurs dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir GetUser
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-access-keys
.
- AWS CLI
-
Pour répertorier la clé d'accès IDs d'un IAM utilisateur
La
list-access-keys
commande suivante répertorie les clés d'accès IDs de l'IAMutilisateur nomméBob
.aws iam list-access-keys \ --user-name
Bob
Sortie :
{ "AccessKeyMetadata": [ { "UserName": "Bob", "Status": "Active", "CreateDate": "2013-06-04T18:17:34Z", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" }, { "UserName": "Bob", "Status": "Inactive", "CreateDate": "2013-06-06T20:42:26Z", "AccessKeyId": "AKIAI44QH8DHBEXAMPLE" } ] }
Vous ne pouvez pas répertorier les clés d'accès secrètes des IAM utilisateurs. Si les clés d’accès secrètes sont perdues, vous devez créer de nouvelles clés d’accès à l’aide de la commande
create-access-keys
.Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListAccessKeys
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-account-aliases
.
- AWS CLI
-
Pour répertorier des alias de compte
La commande
list-account-aliases
suivante répertorie les alias du compte actuel.aws iam list-account-aliases
Sortie :
{ "AccountAliases": [ "mycompany" ] }
Pour plus d'informations, consultez l'ID de votre AWS compte et son alias dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListAccountAliases
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-attached-group-policies
.
- AWS CLI
-
Pour répertorier toutes les politiques gérées associées au groupe spécifié
Cet exemple renvoie les noms et ARNs les politiques gérées attachés au IAM groupe nommé
Admins
dans le AWS compte.aws iam list-attached-group-policies \ --group-name
Admins
Sortie :
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListAttachedGroupPolicies
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-attached-role-policies
.
- AWS CLI
-
Pour répertorier toutes les politiques gérées qui sont attachées au rôle spécifié
Cette commande renvoie les noms et ARNs les politiques gérées associées au IAM rôle nommé
SecurityAuditRole
dans le AWS compte.aws iam list-attached-role-policies \ --role-name
SecurityAuditRole
Sortie :
{ "AttachedPolicies": [ { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListAttachedRolePolicies
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-attached-user-policies
.
- AWS CLI
-
Pour répertorier toutes les politiques gérées associées à l'utilisateur spécifié
Cette commande renvoie les noms et ARNs les politiques gérées pour l'IAMutilisateur nommé
Bob
dans le AWS compte.aws iam list-attached-user-policies \ --user-name
Bob
Sortie :
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListAttachedUserPolicies
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-entities-for-policy
.
- AWS CLI
-
Pour répertorier tous les utilisateurs, groupes et rôles auxquels la politique gérée spécifiée est attachée
Cet exemple renvoie une liste des IAM groupes, des rôles et des utilisateurs auxquels la politique
arn:aws:iam::123456789012:policy/TestPolicy
est attachée.aws iam list-entities-for-policy \ --policy-arn
arn:aws:iam::123456789012:policy/TestPolicy
Sortie :
{ "PolicyGroups": [ { "GroupName": "Admins", "GroupId": "AGPACKCEVSQ6C2EXAMPLE" } ], "PolicyUsers": [ { "UserName": "Alice", "UserId": "AIDACKCEVSQ6C2EXAMPLE" } ], "PolicyRoles": [ { "RoleName": "DevRole", "RoleId": "AROADBQP57FF2AEXAMPLE" } ], "IsTruncated": false }
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListEntitiesForPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-group-policies
.
- AWS CLI
-
Pour répertorier toutes les politiques intégrées associées au groupe spécifié
La
list-group-policies
commande suivante répertorie les noms des politiques intégrées associées au IAM groupe nomméAdmins
dans le compte courant.aws iam list-group-policies \ --group-name
Admins
Sortie :
{ "PolicyNames": [ "AdminRoot", "ExamplePolicy" ] }
Pour plus d'informations, consultez la section Gestion des IAM politiques dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListGroupPolicies
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-groups-for-user
.
- AWS CLI
-
Pour répertorier les groupes auxquels appartient un IAM utilisateur
La
list-groups-for-user
commande suivante affiche les groupes auxquelsBob
appartient l'IAMutilisateur nommé.aws iam list-groups-for-user \ --user-name
Bob
Sortie :
{ "Groups": [ { "Path": "/", "CreateDate": "2013-05-06T01:18:08Z", "GroupId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admin", "GroupName": "Admin" }, { "Path": "/", "CreateDate": "2013-05-06T01:37:28Z", "GroupId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/s3-Users", "GroupName": "s3-Users" } ] }
Pour plus d'informations, consultez la section Gestion des groupes IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListGroupsForUser
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-groups
.
- AWS CLI
-
Pour répertorier les IAM groupes du compte courant
La
list-groups
commande suivante répertorie les IAM groupes du compte courant.aws iam list-groups
Sortie :
{ "Groups": [ { "Path": "/", "CreateDate": "2013-06-04T20:27:27.972Z", "GroupId": "AIDACKCEVSQ6C2EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, { "Path": "/", "CreateDate": "2013-04-16T20:30:42Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/S3-Admins", "GroupName": "S3-Admins" } ] }
Pour plus d'informations, consultez la section Gestion des groupes IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListGroups
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-instance-profile-tags
.
- AWS CLI
-
Pour répertorier les balises associées à un profil d'instance
La
list-instance-profile-tags
commande suivante permet de récupérer la liste des balises associées au profil d'instance spécifié.aws iam list-instance-profile-tags \ --instance-profile-name
deployment-role
Sortie :
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListInstanceProfileTags
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-instance-profiles-for-role
.
- AWS CLI
-
Pour répertorier les profils d'instance d'un IAM rôle
La
list-instance-profiles-for-role
commande suivante répertorie les profils d'instance associés au rôleTest-Role
.aws iam list-instance-profiles-for-role \ --role-name
Test-Role
Sortie :
{ "InstanceProfiles": [ { "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDACKCEVSQ6C2EXAMPLE", "CreateDate": "2013-06-07T20:42:15Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } ], "CreateDate": "2013-06-07T21:05:24Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile" } ] }
Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListInstanceProfilesForRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-instance-profiles
.
- AWS CLI
-
Pour répertorie les profils d'instance pour le compte
La
list-instance-profiles
commande suivante répertorie les profils d'instance associés au compte actuel.aws iam list-instance-profiles
Sortie :
{ "InstanceProfiles": [ { "Path": "/", "InstanceProfileName": "example-dev-role", "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role", "CreateDate": "2023-09-21T18:17:41+00:00", "Roles": [ { "Path": "/", "RoleName": "example-dev-role", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-dev-role", "CreateDate": "2023-09-21T18:17:40+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] }, { "Path": "/", "InstanceProfileName": "example-s3-role", "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role", "CreateDate": "2023-09-21T18:18:50+00:00", "Roles": [ { "Path": "/", "RoleName": "example-s3-role", "RoleId": "AROAINUBC5O7XLEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-s3-role", "CreateDate": "2023-09-21T18:18:49+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] } ] }
Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListInstanceProfiles
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-mfa-device-tags
.
- AWS CLI
-
Pour répertorier les tags attachés à un MFA appareil
La
list-mfa-device-tags
commande suivante permet de récupérer la liste des balises associées au MFA périphérique spécifié.aws iam list-mfa-device-tags \ --serial-number
arn:aws:iam::123456789012:mfa/alice
Sortie :
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListMfaDeviceTags
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-mfa-devices
.
- AWS CLI
-
Pour répertorier tous les MFA appareils d'un utilisateur spécifique
Cet exemple renvoie des informations sur l'MFAappareil attribué à l'IAMutilisateur
Bob
.aws iam list-mfa-devices \ --user-name
Bob
Sortie :
{ "MFADevices": [ { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob", "EnableDate": "2019-10-28T20:37:09+00:00" }, { "UserName": "Bob", "SerialNumber": "GAKT12345678", "EnableDate": "2023-02-18T21:44:42+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE", "EnableDate": "2023-09-19T02:25:35+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00" } ] }
Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir ListMfaDevices
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-open-id-connect-provider-tags
.
- AWS CLI
-
Pour répertorier les tags attachés à un fournisseur d'identité compatible avec OpenID Connect (OIDC)
La
list-open-id-connect-provider-tags
commande suivante permet de récupérer la liste des balises associées au fournisseur OIDC d'identité spécifié.aws iam list-open-id-connect-provider-tags \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
Sortie :
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListOpenIdConnectProviderTags
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-open-id-connect-providers
.
- AWS CLI
-
Pour répertorier les informations relatives aux fournisseurs OpenID Connect dans le compte AWS
Cet exemple renvoie une liste ARNS de tous les fournisseurs OpenID Connect définis dans le compte courant AWS .
aws iam list-open-id-connect-providers
Sortie :
{ "OpenIDConnectProviderList": [ { "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com" } ] }
Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir ListOpenIdConnectProviders
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-policies-granting-service-access
.
- AWS CLI
-
Pour répertorier les politiques qui accordent un accès principal au service spécifié
L'
list-policies-granting-service-access
exemple suivant extrait la liste des politiques qui accordent à l'IAMutilisateur l'sofia
accès au AWS CodeCommit service.aws iam list-policies-granting-service-access \ --arn
arn:aws:iam::123456789012:user/sofia
\ --service-namespacescodecommit
Sortie :
{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "codecommit", "Policies": [ { "PolicyName": "Grant-Sofia-Access-To-CodeCommit", "PolicyType": "INLINE", "EntityType": "USER", "EntityName": "sofia" } ] } ], "IsTruncated": false }
Pour plus d'informations, consultez la section Utilisation IAM avec CodeCommit : informations d'identification, SSH clés et clés AWS d'accès Git dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListPoliciesGrantingServiceAccess
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-policies
.
- AWS CLI
-
Pour répertorier les politiques gérées disponibles pour votre AWS compte
Cet exemple renvoie une collection des deux premières politiques gérées disponibles dans le AWS compte courant.
aws iam list-policies \ --max-items
3
Sortie :
{ "Policies": [ { "PolicyName": "AWSCloudTrailAccessPolicy", "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2019-09-04T17:43:42+00:00", "UpdateDate": "2019-09-04T17:43:42+00:00" }, { "PolicyName": "AdministratorAccess", "PolicyId": "ANPAIWMBCKSKIEE64ZLYK", "Arn": "arn:aws:iam::aws:policy/AdministratorAccess", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 6, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:46+00:00", "UpdateDate": "2015-02-06T18:39:46+00:00" }, { "PolicyName": "PowerUserAccess", "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS", "Arn": "arn:aws:iam::aws:policy/PowerUserAccess", "Path": "/", "DefaultVersionId": "v5", "AttachmentCount": 1, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:47+00:00", "UpdateDate": "2023-07-06T22:04:00+00:00" } ], "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ==" }
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListPolicies
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-policy-tags
.
- AWS CLI
-
Pour répertorier les balises associées à une politique gérée
La
list-policy-tags
commande suivante permet de récupérer la liste des balises associées à la politique gérée spécifiée.aws iam list-policy-tags \ --policy-arn
arn:aws:iam::123456789012:policy/billing-access
Sortie :
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListPolicyTags
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-policy-versions
.
- AWS CLI
-
Pour répertorier les informations relatives aux versions de la politique gérée spécifiée
Cet exemple renvoie la liste des versions disponibles de la politique dont ARN c'est le cas
arn:aws:iam::123456789012:policy/MySamplePolicy
.aws iam list-policy-versions \ --policy-arn
arn:aws:iam::123456789012:policy/MySamplePolicy
Sortie :
{ "IsTruncated": false, "Versions": [ { "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2015-06-02T23:19:44Z" }, { "VersionId": "v1", "IsDefaultVersion": false, "CreateDate": "2015-06-02T22:30:47Z" } ] }
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListPolicyVersions
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-role-policies
.
- AWS CLI
-
Pour répertorier les politiques associées à un IAM rôle
La
list-role-policies
commande suivante répertorie les noms des politiques d'autorisation pour le IAM rôle spécifié.aws iam list-role-policies \ --role-name
Test-Role
Sortie :
{ "PolicyNames": [ "ExamplePolicy" ] }
Pour voir la politique d’approbation attachée à un rôle, utilisez la commande
get-role
. Pour voir les détails d’une politique des autorisations, utilisez la commandeget-role-policy
.Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListRolePolicies
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-role-tags
.
- AWS CLI
-
Pour répertorier les balises associées à un rôle
La
list-role-tags
commande suivante permet de récupérer la liste des balises associées au rôle spécifié.aws iam list-role-tags \ --role-name
production-role
Sortie :
{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListRoleTags
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-roles
.
- AWS CLI
-
Pour répertorier IAM les rôles associés au compte courant
La
list-roles
commande suivante répertorie IAM les rôles du compte courant.aws iam list-roles
Sortie :
{ "Roles": [ { "Path": "/", "RoleName": "ExampleRole", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/ExampleRole", "CreateDate": "2017-09-12T19:23:36+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 }, { "Path": "/example_path/", "RoleName": "ExampleRoleWithPath", "RoleId": "AROAI4QRP7UFT7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath", "CreateDate": "2023-09-21T20:29:38+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 } ] }
Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListRoles
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-saml-provider-tags
.
- AWS CLI
-
Pour répertorier les balises associées à un SAML fournisseur
La
list-saml-provider-tags
commande suivante permet de récupérer la liste des balises associées au SAML fournisseur spécifié.aws iam list-saml-provider-tags \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
Sortie :
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListSamlProviderTags
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-saml-providers
.
- AWS CLI
-
Pour répertorier les SAML fournisseurs du AWS compte
Cet exemple permet de récupérer la liste des fournisseurs SAML 2.0 créée dans le AWS compte courant.
aws iam list-saml-providers
Sortie :
{ "SAMLProviderList": [ { "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS", "ValidUntil": "2015-06-05T22:45:14Z", "CreateDate": "2015-06-05T22:45:14Z" } ] }
Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir L istSAMLProviders
dans AWS CLI Command Reference.
-
L'exemple de code suivant montre comment utiliserlist-server-certificate-tags
.
- AWS CLI
-
Pour répertorier les balises associées à un certificat de serveur
La
list-server-certificate-tags
commande suivante permet de récupérer la liste des balises associées au certificat de serveur spécifié.aws iam list-server-certificate-tags \ --server-certificate-name
ExampleCertificate
Sortie :
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListServerCertificateTags
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-server-certificates
.
- AWS CLI
-
Pour répertorier les certificats de serveur de votre AWS compte
La
list-server-certificates
commande suivante répertorie tous les certificats de serveur stockés et disponibles pour utilisation dans votre AWS compte.aws iam list-server-certificates
Sortie :
{ "ServerCertificateMetadataList": [ { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, { "Path": "/cloudfront/", "ServerCertificateName": "MyTestCert", "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert", "UploadDate": "2015-04-21T18:14:16+00:00", "Expiration": "2018-01-14T17:52:36+00:00" } ] }
Pour plus d'informations, consultez la section Gestion des certificats de serveur IAM dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListServerCertificates
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-service-specific-credential
.
- AWS CLI
-
Exemple 1 : Répertorier les informations d'identification spécifiques au service pour un utilisateur
L'
list-service-specific-credentials
exemple suivant affiche toutes les informations d'identification spécifiques au service attribuées à l'utilisateur spécifié. Les mots de passe ne sont pas inclus dans la réponse.aws iam list-service-specific-credentials \ --user-name
sofia
Sortie :
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Exemple 2 : Répertorier les informations d'identification spécifiques au service pour un utilisateur filtré vers un service spécifique
L'
list-service-specific-credentials
exemple suivant affiche les informations d'identification spécifiques au service attribuées à l'utilisateur qui fait la demande. La liste est filtrée pour inclure uniquement les informations d'identification pour le service spécifié. Les mots de passe ne sont pas inclus dans la réponse.aws iam list-service-specific-credentials \ --service-name
codecommit.amazonaws.com
Sortie :
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.
-
Pour API plus de détails, voir ListServiceSpecificCredential
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-service-specific-credentials
.
- AWS CLI
-
Pour récupérer une liste d'informations d'identification
L'
list-service-specific-credentials
exemple suivant répertorie les informations d'identification générées pour HTTPS l'accès aux AWS CodeCommit référentiels pour un utilisateur nommédeveloper
.aws iam list-service-specific-credentials \ --user-name
developer
\ --service-namecodecommit.amazonaws.com
Sortie :
{ "ServiceSpecificCredentials": [ { "UserName": "developer", "Status": "Inactive", "ServiceUserName": "developer-at-123456789012", "CreateDate": "2019-10-01T04:31:41Z", "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE", "ServiceName": "codecommit.amazonaws.com" }, { "UserName": "developer", "Status": "Active", "ServiceUserName": "developer+1-at-123456789012", "CreateDate": "2019-10-01T04:31:45Z", "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP", "ServiceName": "codecommit.amazonaws.com" } ] }
Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.
-
Pour API plus de détails, voir ListServiceSpecificCredentials
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-signing-certificates
.
- AWS CLI
-
Pour répertorier les certificats de signature d'un IAM utilisateur
La
list-signing-certificates
commande suivante répertorie les certificats de signature de l'IAMutilisateur nomméBob
.aws iam list-signing-certificates \ --user-name
Bob
Sortie :
{ "Certificates": [ { "UserName": "Bob", "Status": "Inactive", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08Z" } ] }
Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.
-
Pour API plus de détails, voir ListSigningCertificates
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-ssh-public-keys
.
- AWS CLI
-
Pour répertorier les clés SSH publiques associées à un IAM utilisateur
L'
list-ssh-public-keys
exemple suivant répertorie les clés SSH publiques associées à l'IAMutilisateursofia
.aws iam list-ssh-public-keys \ --user-name
sofia
Sortie :
{ "SSHPublicKeys": [ { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } ] }
Pour plus d'informations, voir Utiliser SSH les touches et SSH avec CodeCommit dans le Guide de AWS IAM l'utilisateur
-
Pour API plus de détails, voir ListSshPublicKeys
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-user-policies
.
- AWS CLI
-
Pour répertorier les politiques d'un IAM utilisateur
La
list-user-policies
commande suivante répertorie les politiques associées à l'IAMutilisateur nomméBob
.aws iam list-user-policies \ --user-name
Bob
Sortie :
{ "PolicyNames": [ "ExamplePolicy", "TestPolicy" ] }
Pour plus d'informations, consultez la section Création IAM d'un utilisateur dans votre AWS compte dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListUserPolicies
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-user-tags
.
- AWS CLI
-
Pour répertorier les tags associés à un utilisateur
La
list-user-tags
commande suivante permet de récupérer la liste des balises associées à l'IAMutilisateur spécifié.aws iam list-user-tags \ --user-name
alice
Sortie :
{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListUserTags
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-users
.
- AWS CLI
-
Pour répertorier IAM les utilisateurs
La
list-users
commande suivante répertorie les IAM utilisateurs du compte courant.aws iam list-users
Sortie :
{ "Users": [ { "UserName": "Adele", "Path": "/", "CreateDate": "2013-03-07T05:14:48Z", "UserId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Adele" }, { "UserName": "Bob", "Path": "/", "CreateDate": "2012-09-21T23:03:13Z", "UserId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } ] }
Pour plus d'informations, consultez la section Liste IAM des utilisateurs dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListUsers
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-virtual-mfa-devices
.
- AWS CLI
-
Pour répertorier les MFA appareils virtuels
La
list-virtual-mfa-devices
commande suivante répertorie les MFA périphériques virtuels qui ont été configurés pour le compte actuel.aws iam list-virtual-mfa-devices
Sortie :
{ "VirtualMFADevices": [ { "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice" }, { "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred" } ] }
Pour plus d'informations, consultez la section Activation d'un dispositif d'authentification multifactorielle virtuelle (MFA) dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir ListVirtualMfaDevices
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserput-group-policy
.
- AWS CLI
-
Pour ajouter une politique à un groupe
La
put-group-policy
commande suivante ajoute une politique au IAM groupe nomméAdmins
.aws iam put-group-policy \ --group-name
Admins
\ --policy-documentfile://AdminPolicy.json
\ --policy-nameAdminRoot
Cette commande ne produit aucun résultat.
La politique est définie sous forme de JSON document dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)
Pour plus d'informations, consultez la section Gestion des IAM politiques dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir PutGroupPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserput-role-permissions-boundary
.
- AWS CLI
-
Exemple 1 : appliquer une limite d'autorisation basée sur une politique personnalisée à un IAM rôle
L'
put-role-permissions-boundary
exemple suivant applique la politique personnaliséeintern-boundary
nommée limite d'autorisations pour le IAM rôle spécifié.aws iam put-role-permissions-boundary \ --permissions-boundary
arn:aws:iam::123456789012:policy/intern-boundary
\ --role-namelambda-application-role
Cette commande ne produit aucun résultat.
Exemple 2 : appliquer une limite d'autorisation basée sur une politique AWS gérée à un IAM rôle
L'
put-role-permissions-boundary
exemple suivant applique laPowerUserAccess
politique AWS gérée comme limite d'autorisations pour le IAM rôle spécifié.aws iam put-role-permissions-boundary \ --permissions-boundary
arn:aws:iam::aws:policy/PowerUserAccess
\ --role-namex-account-admin
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir PutRolePermissionsBoundary
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserput-role-policy
.
- AWS CLI
-
Pour associer une politique d'autorisation à un IAM rôle
La commande
put-role-policy
suivante ajoute une politique d’autorisation au rôle nomméTest-Role
.aws iam put-role-policy \ --role-name
Test-Role
\ --policy-nameExamplePolicy
\ --policy-documentfile://AdminPolicy.json
Cette commande ne produit aucun résultat.
La politique est définie sous forme de JSON document dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)
Pour attacher une politique d’approbation à un rôle, utilisez la commande
update-assume-role-policy
.Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir PutRolePolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserput-user-permissions-boundary
.
- AWS CLI
-
Exemple 1 : pour appliquer une limite d'autorisation basée sur une politique personnalisée à un IAM utilisateur
L'
put-user-permissions-boundary
exemple suivant applique une politique personnaliséeintern-boundary
nommée limite d'autorisations pour l'IAMutilisateur spécifié.aws iam put-user-permissions-boundary \ --permissions-boundary
arn:aws:iam::123456789012:policy/intern-boundary
\ --user-nameintern
Cette commande ne produit aucun résultat.
Exemple 2 : appliquer une limite d'autorisation basée sur une politique AWS gérée à un IAM utilisateur
L'
put-user-permissions-boundary
exemple suivant applique la politique AWS géréePowerUserAccess
nommée limite d'autorisations pour l'utilisateur spécifiéIAM.aws iam put-user-permissions-boundary \ --permissions-boundary
arn:aws:iam::aws:policy/PowerUserAccess
\ --user-namedeveloper
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir PutUserPermissionsBoundary
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserput-user-policy
.
- AWS CLI
-
Pour associer une politique à un IAM utilisateur
La
put-user-policy
commande suivante attache une politique à l'IAMutilisateur nomméBob
.aws iam put-user-policy \ --user-name
Bob
\ --policy-nameExamplePolicy
\ --policy-documentfile://AdminPolicy.json
Cette commande ne produit aucun résultat.
La politique est définie sous forme de JSON document dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)
Pour plus d'informations, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir PutUserPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserremove-client-id-from-open-id-connect-provider
.
- AWS CLI
-
Pour supprimer l'ID client spécifié de la liste des clients IDs enregistrés pour le fournisseur IAM OpenID Connect spécifié
Cet exemple supprime l'ID client
My-TestApp-3
de la liste des clients IDs associés au IAM OIDC fournisseur dont l'identifiant ARN estarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
.aws iam remove-client-id-from-open-id-connect-provider --client-id
My-TestApp-3
\ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir RemoveClientIdFromOpenIdConnectProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserremove-role-from-instance-profile
.
- AWS CLI
-
Pour supprimer un rôle d'un profil d'instance
La
remove-role-from-instance-profile
commande suivante supprime le rôle nomméTest-Role
du profil d'instance nomméExampleInstanceProfile
.aws iam remove-role-from-instance-profile \ --instance-profile-name
ExampleInstanceProfile
\ --role-nameTest-Role
Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir RemoveRoleFromInstanceProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserremove-user-from-group
.
- AWS CLI
-
Pour supprimer un utilisateur d'un IAM groupe
La
remove-user-from-group
commande suivante supprime l'utilisateur nomméBob
du IAM groupe nomméAdmins
.aws iam remove-user-from-group \ --user-name
Bob
\ --group-nameAdmins
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Ajout et suppression d'utilisateurs dans un groupe IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir RemoveUserFromGroup
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserreset-service-specific-credential
.
- AWS CLI
-
Exemple 1 : réinitialisation du mot de passe pour un identifiant spécifique au service attaché à l'utilisateur qui fait la demande
L'
reset-service-specific-credential
exemple suivant génère un nouveau mot de passe cryptographiquement fort pour les informations d'identification spécifiques au service spécifiées associées à l'utilisateur qui fait la demande.aws iam reset-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
Sortie :
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Exemple 2 : réinitialiser le mot de passe d'un identifiant spécifique à un service associé à un utilisateur spécifié
L'
reset-service-specific-credential
exemple suivant génère un nouveau mot de passe cryptographiquement fort pour un identifiant spécifique au service attaché à l'utilisateur spécifié.aws iam reset-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
Sortie :
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }
Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.
-
Pour API plus de détails, voir ResetServiceSpecificCredential
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserresync-mfa-device
.
- AWS CLI
-
Pour synchroniser un MFA appareil
L'
resync-mfa-device
exemple suivant synchronise le MFA périphérique associé à l'IAMutilisateurarn:aws:iam::123456789012:mfa/BobsMFADevice
avec un programmeBob
d'authentification qui a fourni les deux codes d'authentification. ARNaws iam resync-mfa-device \ --user-name
Bob
\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice
\ --authentication-code1123456
\ --authentication-code2987654
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir ResyncMfaDevice
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserset-default-policy-version
.
- AWS CLI
-
Pour définir la version spécifiée de la stratégie spécifiée comme version par défaut de la stratégie.
Cet exemple définit la
v2
version de la politique qui ARN estarn:aws:iam::123456789012:policy/MyPolicy
la version active par défaut.aws iam set-default-policy-version \ --policy-arn
arn:aws:iam::123456789012:policy/MyPolicy
\ --version-idv2
Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir SetDefaultPolicyVersion
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserset-security-token-service-preferences
.
- AWS CLI
-
Pour définir la version du jeton de point de terminaison global
L'
set-security-token-service-preferences
exemple suivant configure Amazon STS pour utiliser les jetons de version 2 lorsque vous vous authentifiez auprès du point de terminaison global.aws iam set-security-token-service-preferences \ --global-endpoint-token-version
v2Token
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion AWS STS dans une AWS région dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir SetSecurityTokenServicePreferences
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisersimulate-custom-policy
.
- AWS CLI
-
Exemple 1 : pour simuler les effets de toutes les IAM politiques associées à un IAM utilisateur ou à un rôle
Ce qui suit
simulate-custom-policy
montre comment fournir à la fois la politique, définir les valeurs des variables et simuler un API appel pour voir s'il est autorisé ou refusé. L'exemple suivant montre une politique qui permet l'accès à la base de données uniquement après une date et une heure spécifiées. La simulation réussit car les actions simulées et laaws:CurrentTime
variable spécifiée répondent toutes aux exigences de la politique.aws iam simulate-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}
' \ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"
Sortie :
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "PolicyInputList.1", "StartPosition": { "Line": 1, "Column": 38 }, "EndPosition": { "Line": 1, "Column": 167 } } ], "MissingContextValues": [] } ] }
Exemple 2 : pour simuler une commande interdite par la politique
L'
simulate-custom-policy
exemple suivant montre les résultats de la simulation d'une commande interdite par la politique. Dans cet exemple, la date fournie est antérieure à celle requise par la condition de la police.aws iam simulate-custom-policy \ --policy-input-list '
{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}
' \ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"
Sortie :
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }
Pour plus d'informations, consultez la section Tester IAM les politiques avec le simulateur de IAM politiques dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir SimulateCustomPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisersimulate-principal-policy
.
- AWS CLI
-
Exemple 1 : Pour simuler les effets d'une IAM politique arbitraire
Ce qui suit
simulate-principal-policy
montre comment simuler un utilisateur appelant une API action et déterminer si les politiques associées à cet utilisateur autorisent ou refusent l'action. Dans l'exemple suivant, l'utilisateur dispose d'une politique qui autorise uniquement l'codecommit:ListRepositories
action.aws iam simulate-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/alejandro
\ --action-namescodecommit:ListRepositories
Sortie :
{ "EvaluationResults": [ { "EvalActionName": "codecommit:ListRepositories", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo", "StartPosition": { "Line": 3, "Column": 19 }, "EndPosition": { "Line": 9, "Column": 10 } } ], "MissingContextValues": [] } ] }
Exemple 2 : Pour simuler les effets d'une commande interdite
L'
simulate-custom-policy
exemple suivant montre les résultats de la simulation d'une commande interdite par l'une des politiques de l'utilisateur. Dans l'exemple suivant, l'utilisateur dispose d'une politique qui autorise l'accès à une base de données DynamoDB uniquement après une certaine date et heure. Dans le cadre de la simulation, l'utilisateur tente d'accéder à la base de données avec uneaws:CurrentTime
valeur antérieure à celle autorisée par les conditions de la politique.aws iam simulate-principal-policy \ --policy-source-arn
arn:aws:iam::123456789012:user/alejandro
\ --action-namesdynamodb:CreateBackup
\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"
Sortie :
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }
Pour plus d'informations, consultez la section Tester IAM les politiques avec le simulateur de IAM politiques dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir SimulatePrincipalPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-instance-profile
.
- AWS CLI
-
Pour ajouter une balise à un profil d'instance
La
tag-instance-profile
commande suivante ajoute une balise avec un nom de département au profil d'instance spécifié.aws iam tag-instance-profile \ --instance-profile-name
deployment-role
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir TagInstanceProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-mfa-device
.
- AWS CLI
-
Pour ajouter un tag à un MFA appareil
La
tag-mfa-device
commande suivante ajoute une balise portant le nom du département à l'MFAappareil spécifié.aws iam tag-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/alice
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir TagMfaDevice
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-open-id-connect-provider
.
- AWS CLI
-
Pour ajouter un tag à un fournisseur d'identité compatible avec OpenID Connect (OIDC)
La
tag-open-id-connect-provider
commande suivante ajoute une balise avec un nom de département au fournisseur OIDC d'identité spécifié.aws iam tag-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir TagOpenIdConnectProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-policy
.
- AWS CLI
-
Pour ajouter un tag à une politique gérée par le client
La
tag-policy
commande suivante ajoute une balise avec un nom de département à la politique gérée par le client spécifiée.aws iam tag-policy \ --policy-arn
arn:aws:iam::123456789012:policy/billing-access
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir TagPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-role
.
- AWS CLI
-
Pour ajouter un tag à un rôle
La
tag-role
commande suivante ajoute une balise avec un nom de département au rôle spécifié.aws iam tag-role --role-name
my-role
\ --tags '{"Key": "Department", "Value": "Accounting"}
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir TagRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-saml-provider
.
- AWS CLI
-
Pour ajouter un tag à un SAML fournisseur
La
tag-saml-provider
commande suivante ajoute une balise avec un nom de département au SAML fournisseur spécifié.aws iam tag-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir TagSamlProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-server-certificate
.
- AWS CLI
-
Pour ajouter une balise à un certificat de serveur
La
tag-saml-provider
commande suivante ajoute une balise avec un nom de département au certificat de serveur spécifié.aws iam tag-server-certificate \ --server-certificate-name
ExampleCertificate
\ --tags '[{"Key": "Department", "Value": "Accounting"}]
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir TagServerCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-user
.
- AWS CLI
-
Pour ajouter un tag à un utilisateur
La
tag-user
commande suivante ajoute une balise avec le département associé à l'utilisateur spécifié.aws iam tag-user \ --user-name
alice
\ --tags '{"Key": "Department", "Value": "Accounting"}
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir TagUser
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-instance-profile
.
- AWS CLI
-
Pour supprimer une balise d'un profil d'instance
La
untag-instance-profile
commande suivante supprime toute balise portant le nom de clé « Department » du profil d'instance spécifié.aws iam untag-instance-profile \ --instance-profile-name
deployment-role
\ --tag-keysDepartment
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UntagInstanceProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-mfa-device
.
- AWS CLI
-
Pour supprimer une étiquette d'un MFA appareil
La
untag-mfa-device
commande suivante supprime toute balise portant le nom de clé « Department » du MFA périphérique spécifié.aws iam untag-mfa-device \ --serial-number
arn:aws:iam::123456789012:mfa/alice
\ --tag-keysDepartment
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UntagMfaDevice
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-open-id-connect-provider
.
- AWS CLI
-
Pour supprimer un tag d'un fournisseur OIDC d'identité
La
untag-open-id-connect-provider
commande suivante supprime toute balise portant le nom de clé « Department » du fournisseur OIDC d'identité spécifié.aws iam untag-open-id-connect-provider \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/server.example.com
\ --tag-keysDepartment
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UntagOpenIdConnectProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-policy
.
- AWS CLI
-
Pour supprimer un tag d'une politique gérée par le client
La
untag-policy
commande suivante supprime toute balise portant le nom de clé « Department » de la politique gérée par le client spécifiée.aws iam untag-policy \ --policy-arn
arn:aws:iam::452925170507:policy/billing-access
\ --tag-keysDepartment
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UntagPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-role
.
- AWS CLI
-
Pour supprimer un tag d'un rôle
La
untag-role
commande suivante supprime toute balise portant le nom de clé « Department » du rôle spécifié.aws iam untag-role \ --role-name
my-role
\ --tag-keysDepartment
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UntagRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-saml-provider
.
- AWS CLI
-
Pour supprimer un tag d'un SAML fournisseur
La
untag-saml-provider
commande suivante supprime toute balise portant le nom de clé « Department » du profil d'instance spécifié.aws iam untag-saml-provider \ --saml-provider-arn
arn:aws:iam::123456789012:saml-provider/ADFS
\ --tag-keysDepartment
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UntagSamlProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-server-certificate
.
- AWS CLI
-
Pour supprimer une étiquette d'un certificat de serveur
La
untag-server-certificate
commande suivante supprime toute balise portant le nom de clé « Department » du certificat de serveur spécifié.aws iam untag-server-certificate \ --server-certificate-name
ExampleCertificate
\ --tag-keysDepartment
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UntagServerCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-user
.
- AWS CLI
-
Pour supprimer un tag d'un utilisateur
La
untag-user
commande suivante supprime toute balise portant le nom de clé « Department » de l'utilisateur spécifié.aws iam untag-user \ --user-name
alice
\ --tag-keysDepartment
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UntagUser
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-access-key
.
- AWS CLI
-
Pour activer ou désactiver une clé d'accès pour un utilisateur IAM
La
update-access-key
commande suivante désactive la clé d'accès spécifiée (ID de clé d'accès et clé d'accès secrète) pour l'IAMutilisateur nomméBob
.aws iam update-access-key \ --access-key-id
AKIAIOSFODNN7EXAMPLE
\ --statusInactive
\ --user-nameBob
Cette commande ne produit aucun résultat.
La désactivation de la clé signifie qu'elle ne peut pas être utilisée pour un accès programmatique à. AWS Cependant, la clé est toujours disponible et peut être réactivée.
Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateAccessKey
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-account-password-policy
.
- AWS CLI
-
Pour définir ou modifier la politique de mot de passe du compte actuel
La
update-account-password-policy
commande suivante définit la politique de mot de passe pour exiger une longueur minimale de huit caractères et un ou plusieurs chiffres dans le mot de passe.aws iam update-account-password-policy \ --minimum-password-length
8
\ --require-numbersCette commande ne produit aucun résultat.
Les modifications apportées à la politique de mot de passe d'un compte affectent tous les nouveaux mots de passe créés pour IAM les utilisateurs du compte. Les modifications apportées à la politique des mots de passe n'affectent pas les mots de passe existants.
Pour plus d'informations, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateAccountPasswordPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-assume-role-policy
.
- AWS CLI
-
Pour mettre à jour la politique de confiance pour un IAM rôle
La
update-assume-role-policy
commande suivante met à jour la politique de confiance pour le rôle nomméTest-Role
.aws iam update-assume-role-policy \ --role-name
Test-Role
\ --policy-documentfile://Test-Role-Trust-Policy.json
Cette commande ne produit aucun résultat.
La politique de confiance est définie sous forme de JSON document dans le fichier test-role-trust-policy.json. (Le nom et l’extension du fichier n’ont aucune importance.) La politique d’approbation doit spécifier un principal.
Pour mettre à jour la politique d'autorisation pour un rôle, utilisez la
put-role-policy
commande.Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateAssumeRolePolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-group
.
- AWS CLI
-
Pour renommer un groupe IAM
La
update-group
commande suivante change le nom du IAM groupeTest
enTest-1
.aws iam update-group \ --group-name
Test
\ --new-group-nameTest-1
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Modification du nom d'un groupe IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateGroup
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-login-profile
.
- AWS CLI
-
Pour mettre à jour le mot de passe d'un IAM utilisateur
La
update-login-profile
commande suivante crée un nouveau mot de passe pour l'IAMutilisateur nomméBob
.aws iam update-login-profile \ --user-name
Bob
\ --password<password>
Cette commande ne produit aucun résultat.
Pour définir une politique de mot de passe pour le compte, utilisez la
update-account-password-policy
commande. Si le nouveau mot de passe enfreint la politique de mot de passe du compte, la commande renvoie unePasswordPolicyViolation
erreur.Si la politique de mot de passe du compte le permet, les IAM utilisateurs peuvent modifier leur propre mot de passe à l'aide de la
change-password
commande.Conservez le mot de passe dans un endroit sûr. Si le mot de passe est perdu, il ne peut pas être récupéré et vous devez en créer un nouveau à l'aide de la
create-login-profile
commande.Pour plus d'informations, consultez la section Gestion des mots de passe IAM des utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateLoginProfile
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-open-id-connect-provider-thumbprint
.
- AWS CLI
-
Pour remplacer la liste existante des empreintes numériques des certificats de serveur par une nouvelle liste
Cet exemple met à jour la liste des empreintes numériques des certificats pour le OIDC fournisseur qui doit
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
utiliser ARN une nouvelle empreinte numérique.aws iam update-open-id-connect-provider-thumbprint \ --open-id-connect-provider-arn
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
\ --thumbprint-list7359755EXAMPLEabc3060bce3EXAMPLEec4542a3
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.
-
Pour API plus de détails, voir UpdateOpenIdConnectProviderThumbprint
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-role-description
.
- AWS CLI
-
Pour modifier la description d'un IAM rôle
La
update-role
commande suivante remplace la description du IAM rôleproduction-role
parMain production role
.aws iam update-role-description \ --role-name
production-role
\ --description 'Main production role
'Sortie :
{ "Role": { "Path": "/", "RoleName": "production-role", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/production-role", "CreateDate": "2017-12-06T17:16:37+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }, "Description": "Main production role" } }
Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateRoleDescription
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-role
.
- AWS CLI
-
Pour modifier la description d'un IAM rôle ou la durée d'une session
La
update-role
commande suivante modifie la description du IAM rôleproduction-role
Main production role
et définit la durée maximale de session à 12 heures.aws iam update-role \ --role-name
production-role
\ --description 'Main production role
' \ --max-session-duration43200
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateRole
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-saml-provider
.
- AWS CLI
-
Pour mettre à jour le document de métadonnées d'un SAML fournisseur existant
Cet exemple met à jour le SAML IAM fournisseur ARN concerné
arn:aws:iam::123456789012:saml-provider/SAMLADFS
avec un nouveau document de SAML métadonnées issu du fichierSAMLMetaData.xml
.aws iam update-saml-provider \ --saml-metadata-document
file://SAMLMetaData.xml
\ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/SAMLADFS
Sortie :
{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS" }
Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateSamlProvider
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-server-certificate
.
- AWS CLI
-
Pour modifier le chemin ou le nom d'un certificat de serveur dans votre AWS compte
La commande
update-server-certificate
suivante fait passer le nom du certificat demyServerCertificate
àmyUpdatedServerCertificate
. Il modifie également le chemin pour/cloudfront/
qu'il soit accessible par le CloudFront service Amazon. Cette commande ne produit aucun résultat. Vous pouvez afficher les résultats de la mise à jour en exécutant la commandelist-server-certificates
.aws-iam update-server-certificate \ --server-certificate-name
myServerCertificate
\ --new-server-certificate-namemyUpdatedServerCertificate
\ --new-path/cloudfront/
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des certificats de serveur IAM dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateServerCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-service-specific-credential
.
- AWS CLI
-
Exemple 1 : pour mettre à jour le statut des informations d'identification spécifiques au service de l'utilisateur demandeur
L'
update-service-specific-credential
exemple suivant modifie le statut des informations d'identification spécifiées pour l'utilisateur à qui la demande est adresséeInactive
.aws iam update-service-specific-credential \ --service-specific-credential-id
ACCAEXAMPLE123EXAMPLE
\ --statusInactive
Cette commande ne produit aucun résultat.
Exemple 2 : pour mettre à jour le statut des informations d'identification spécifiques au service d'un utilisateur spécifié
L'
update-service-specific-credential
exemple suivant fait passer le statut des informations d'identification de l'utilisateur spécifié à Inactif.aws iam update-service-specific-credential \ --user-name
sofia
\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE
\ --statusInactive
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions à CodeCommit dans le guide de AWS CodeCommit l'utilisateur
-
Pour API plus de détails, voir UpdateServiceSpecificCredential
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-signing-certificate
.
- AWS CLI
-
Pour activer ou désactiver un certificat de signature pour un utilisateur IAM
La
update-signing-certificate
commande suivante désactive le certificat de signature spécifié pour l'IAMutilisateur nomméBob
.aws iam update-signing-certificate \ --certificate-id
TA7SMP42TDN5Z26OBPJE7EXAMPLE
\ --statusInactive
\ --user-nameBob
Pour obtenir l'ID d'un certificat de signature, utilisez la
list-signing-certificates
commande.Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.
-
Pour API plus de détails, voir UpdateSigningCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-ssh-public-key
.
- AWS CLI
-
Pour modifier le statut d'une clé SSH publique
La
update-ssh-public-key
commande suivante change le statut de la clé publique spécifiée enInactive
.aws iam update-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-idAPKA1234567890EXAMPLE
\ --statusInactive
Cette commande ne produit aucun résultat.
Pour plus d'informations, reportez-vous à la section Utiliser SSH les touches et SSH avec CodeCommit dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateSshPublicKey
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-user
.
- AWS CLI
-
Pour modifier le nom IAM d'un utilisateur
La
update-user
commande suivante change le nom de l'IAMutilisateurBob
enRobert
.aws iam update-user \ --user-name
Bob
\ --new-user-nameRobert
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Modification du nom d'un groupe IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.
-
Pour API plus de détails, voir UpdateUser
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupload-server-certificate
.
- AWS CLI
-
Pour télécharger un certificat de serveur sur votre AWS compte
La upload-server-certificatecommande suivante télécharge un certificat de serveur sur votre AWS compte. Dans cet exemple, le certificat se trouve dans le fichier
public_key_cert_file.pem
, la clé privée associée se trouve dans le fichiermy_private_key.pem
et la chaîne de certificats fournie par l’autorité de certification (CA) se trouve dans le fichiermy_certificate_chain_file.pem
. Lorsque le téléchargement du fichier est terminé, il est disponible sous le nom myServerCertificate. Les paramètres commençant parfile://
indiquent à la commande de lire le contenu du fichier et de l’utiliser comme valeur de paramètre au lieu du nom du fichier lui-même.aws iam upload-server-certificate \ --server-certificate-name
myServerCertificate
\ --certificate-bodyfile://public_key_cert_file.pem
\ --private-keyfile://my_private_key.pem
\ --certificate-chainfile://my_certificate_chain_file.pem
Sortie :
{ "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" } }
Pour plus d'informations, consultez la section Création, téléchargement et suppression de certificats de serveur dans le IAM guide d'utilisation.
-
Pour API plus de détails, voir UploadServerCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupload-signing-certificate
.
- AWS CLI
-
Pour télécharger un certificat de signature pour un IAM utilisateur
La
upload-signing-certificate
commande suivante télécharge un certificat de signature pour l'IAMutilisateur nomméBob
.aws iam upload-signing-certificate \ --user-name
Bob
\ --certificate-bodyfile://certificate.pem
Sortie :
{ "Certificate": { "UserName": "Bob", "Status": "Active", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08.121Z" } }
Le certificat se trouve dans un fichier nommé certificate.pem au format. PEM
Pour plus d'informations, consultez la section Création et téléchargement d'un certificat de signature utilisateur dans le IAM guide d'utilisation.
-
Pour API plus de détails, voir UploadSigningCertificate
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupload-ssh-public-key
.
- AWS CLI
-
Pour télécharger une clé SSH publique et l'associer à un utilisateur
La
upload-ssh-public-key
commande suivante télécharge la clé publique trouvée dans le fichiersshkey.pub
et l'attache à l'utilisateursofia
.aws iam upload-ssh-public-key \ --user-name
sofia
\ --ssh-public-key-bodyfile://sshkey.pub
Sortie :
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>", "Status": "Active", "UploadDate": "2019-04-18T17:04:49+00:00" } }
Pour plus d'informations sur la façon de générer des clés dans un format adapté à cette commande, consultez SSHLinux, macOS ou Unix : Configuration des clés publiques et privées pour Git et/ou Windows : Configuration des clés publiques et privées pour Git et CodeCommit dans le Guide de l'AWS CodeCommit utilisateur. CodeCommit SSH
-
Pour API plus de détails, voir UploadSshPublicKey
la section Référence des AWS CLI commandes.
-