Cette documentation concerne AWS CLI uniquement la version 1. Pour la documentation relative à la version 2 du AWS CLI, consultez le guide de l'utilisateur de la version 2.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
En utilisant IAM dans le AWS CLI
Une introduction à AWS Identity and Access Management |
---|
|
Vous pouvez accéder aux fonctionnalités de AWS Identity and Access Management (IAM) à l'aide du AWS Command Line Interface (AWS CLI). Pour répertorier les AWS CLI commandes pourIAM, utilisez la commande suivante.
aws iam help
Cette rubrique présente des exemples de AWS CLI commandes qui exécutent des tâches courantes pourIAM.
Avant d'exécuter des commandes, définissez vos informations d'identification par défaut. Pour de plus amples informations, veuillez consulter Configuration des paramètres pour le AWS CLI.
Pour plus d'informations sur le IAM service, consultez le guide de AWS Identity and Access Management l'utilisateur.
Rubriques
Création d'utilisateurs et de groupes IAM
Pour créer un groupe et y ajouter un nouvel utilisateur
-
Utilisez la commande
create-group
pour créer le groupe.$
aws iam create-group --group-name
MyIamGroup
{ "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52.834Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/
MyIamGroup
", "Path": "/" } } -
Utilisez la commande
create-user
pour créer l'utilisateur.$
aws iam create-user --user-name
MyUser
{ "User": { "UserName": "
MyUser
", "Path": "/", "CreateDate": "2018-12-14T03:13:02.581Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser
" } } -
Utilisez la commande
add-user-to-group
pour ajouter l'utilisateur au groupe.$
aws iam add-user-to-group --user-name
MyUser
--group-nameMyIamGroup
-
Pour vérifier que le groupe
MyIamGroup
contient le codeMyUser
, utilisez la commandeget-group
.$
aws iam get-group --group-name
MyIamGroup
{ "Group": { "GroupName": "
MyIamGroup
", "CreateDate": "2018-12-14T03:03:52Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup
", "Path": "/" }, "Users": [ { "UserName": "MyUser
", "Path": "/", "CreateDate": "2018-12-14T03:13:02Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser
" } ], "IsTruncated": "false" }
Associer une politique IAM gérée à un utilisateur
La stratégie dans cet exemple fournit à l'utilisateur un « accès utilisateur avancé ».
Pour associer une politique IAM gérée à un utilisateur
-
Déterminez le nom de ressource Amazon (ARN) de la politique à joindre. La commande suivante
list-policies
permet de rechercher ARN la politique portant le nomPowerUserAccess
. Il les stocke ensuite ARN dans une variable d'environnement.$
export
POLICYARN
=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text) ~$
echo $
POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess
-
Pour attacher la politique, utilisez la
attach-user-policy
attach-user-policy
commande et référencez la variable d'environnement qui contient la politiqueARN. $
aws iam attach-user-policy --user-name
MyUser
--policy-arn $POLICYARN
-
Vérifiez que la stratégie est bien attachée à l'utilisateur en exécutant la commande
list-attached-user-policies
.$
aws iam list-attached-user-policies --user-name
MyUser
{ "AttachedPolicies": [ { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" } ] }
Pour plus d'informations, consultez Ressources de gestion des accès. Cette rubrique fournit des liens vers un aperçu des autorisations et des politiques, ainsi que des liens vers des exemples de politiques d'accès à Amazon S3EC2, Amazon et à d'autres services.
Définition d'un mot de passe initial pour un IAM utilisateur
La commande suivante permet create-login-profile
de définir un mot de passe initial pour l'utilisateur spécifié. Lorsque l'utilisateur se connecte pour la première fois, il doit modifier le mot de passe afin que seul lui le connaisse.
$
aws iam create-login-profile --user-name
MyUser
--passwordMy!User1Login8P@ssword
--password-reset-required{ "LoginProfile": { "UserName": "
MyUser
", "CreateDate": "2018-12-14T17:27:18Z", "PasswordResetRequired": true } }
Vous pouvez utiliser la update-login-profile
commande pour modifier le mot de passe d'un utilisateur.
$
aws iam update-login-profile --user-name
MyUser
--passwordMy!User1ADifferentP@ssword
Création d'une clé d'accès pour un IAM utilisateur
Vous pouvez utiliser la create-access-key
commande pour créer une clé d'accès pour un utilisateur. Une clé d'accès est un ensemble d'informations d'identification de sécurité qui comprend un ID de clé d'accès et une clé secrète.
Un utilisateur ne peut créer que deux clés d'accès à la fois. Si vous essayez de créer un troisième ensemble, la commande renvoie une erreur LimitExceeded
.
$
aws iam create-access-key --user-name
MyUser
{ "AccessKey": { "UserName": "
MyUser
", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE", "Status": "Active", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "CreateDate": "2018-12-14T17:34:16Z" } }
Utilisez la delete-access-key
commande pour supprimer une clé d'accès pour un utilisateur. Spécifiez quelle clé d'accès supprimer à l'aide de l'ID de clé d'accès.
$
aws iam delete-access-key --user-name
MyUser
--access-key-id AKIAIOSFODNN7EXAMPLE