IAMexemples utilisant AWS CLI

Pour ajouter un identifiant client (audience) à un fournisseur Open-ID Connect (OIDC)

La add-client-id-to-open-id-connect-provider commande suivante ajoute l'ID client my-application-ID au OIDC fournisseur nomméserver.example.com.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Cette commande ne produit aucun résultat.

Pour créer un OIDC fournisseur, utilisez la create-open-id-connect-provider commande.

Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.

Pour ajouter un rôle à un profil d'instance

La add-role-to-instance-profile commande suivante ajoute le rôle nommé S3Access au profil d'instance nomméWebserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Cette commande ne produit aucun résultat.

Pour créer un profil d'instance, utilisez la create-instance-profile commande.

Pour plus d'informations, consultez la section Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de AWS IAM l'utilisateur.

Pour ajouter un utilisateur à un IAM groupe

La add-user-to-group commande suivante ajoute un nom IAM d'utilisateur Bob au IAM groupe nomméAdmins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Ajout et suppression d'utilisateurs dans un groupe IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour associer une politique gérée à un IAM groupe

La attach-group-policy commande suivante associe la politique AWS gérée nommée ReadOnlyAccess au IAM groupe nomméFinance.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez les sections Politiques gérées et politiques intégrées dans le Guide de l'AWS IAMutilisateur.

Pour associer une politique gérée à un IAM rôle

La attach-role-policy commande suivante associe la politique AWS gérée nommée ReadOnlyAccess au IAM rôle nomméReadOnlyRole.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez les sections Politiques gérées et politiques intégrées dans le Guide de l'AWS IAMutilisateur.

Pour associer une politique gérée à un IAM utilisateur

La attach-user-policy commande suivante associe la politique AWS gérée nommée AdministratorAccess à l'IAMutilisateur nomméAlice.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez les sections Politiques gérées et politiques intégrées dans le Guide de l'AWS IAMutilisateur.

Pour modifier le mot de passe de votre IAM utilisateur

Pour modifier le mot de passe de votre IAM utilisateur, nous vous recommandons d'utiliser le --cli-input-json paramètre pour transmettre un JSON fichier contenant vos anciens et nouveaux mots de passe. Grâce à cette méthode, vous pouvez utiliser des mots de passe forts contenant des caractères non alphanumériques. Il peut être difficile d'utiliser des mots de passe contenant des caractères non alphanumériques lorsque vous les transmettez en tant que paramètres de ligne de commande. Pour utiliser le --cli-input-json paramètre, commencez par utiliser la change-password commande avec le --generate-cli-skeleton paramètre, comme dans l'exemple suivant.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

La commande précédente crée un JSON fichier appelé change-password.json que vous pouvez utiliser pour renseigner vos anciens et nouveaux mots de passe. Par exemple, le fichier peut ressembler à ce qui suit.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Ensuite, pour modifier votre mot de passe, réutilisez la change-password commande, en passant cette fois le --cli-input-json paramètre pour spécifier votre JSON fichier. La change-password commande suivante utilise le --cli-input-json paramètre avec un JSON fichier appelé change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Cette commande ne produit aucun résultat.

Cette commande ne peut être appelée que par IAM les utilisateurs. Si cette commande est appelée à l'aide des informations d'identification du AWS compte (root), elle renvoie une InvalidUserType erreur.

Pour plus d'informations, consultez la section Comment un IAM utilisateur modifie son propre mot de passe dans le Guide de AWS IAM l'utilisateur.

Pour créer une clé d'accès pour un IAM utilisateur

La create-access-key commande suivante crée une clé d'accès (ID de clé d'accès et clé d'accès secrète) pour l'IAMutilisateur nomméBob.

aws iam create-access-key \
    --user-name Bob

Sortie :

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Conservez votre clé d’accès secrète dans un emplacement sécurisé. Si elle est perdue, elle ne peut pas être récupérée et vous devez créer une nouvelle clé.

Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour créer un alias de compte

La create-account-alias commande suivante crée l'alias examplecorp de votre AWS compte.

aws iam create-account-alias \
    --account-alias examplecorp

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez l'ID de votre AWS compte et son alias dans le guide de AWS IAM l'utilisateur.

Pour créer un IAM groupe

La create-group commande suivante crée un IAM groupe nomméAdmins.

aws iam create-group \
    --group-name Admins

Sortie :

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Pour plus d'informations, consultez la section Création de groupes IAM d'utilisateurs dans le guide de AWS IAM l'utilisateur.

Pour créer un profil d’instance

La commande create-instance-profile suivante crée un profil d’instance nommé Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Sortie :

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Pour ajouter un rôle à un profil d’instance, utilisez la commande add-role-to-instance-profile.

Pour plus d'informations, consultez la section Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de AWS IAM l'utilisateur.

Pour créer un mot de passe pour un IAM utilisateur

Pour créer un mot de passe pour un IAM utilisateur, nous vous recommandons d'utiliser le --cli-input-json paramètre pour transmettre un JSON fichier contenant le mot de passe. Cette méthode vous permet de créer un mot de passe fort avec des caractères non alphanumériques. Il peut être difficile de créer un mot de passe contenant des caractères non alphanumériques lorsque vous le transmettez en tant que paramètre de ligne de commande.

Pour utiliser le --cli-input-json paramètre, commencez par utiliser la create-login-profile commande avec le --generate-cli-skeleton paramètre, comme dans l'exemple suivant.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

La commande précédente crée un JSON fichier appelé create-login-profile .json que vous pouvez utiliser pour renseigner les informations d'une create-login-profile commande suivante. Par exemple :

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Ensuite, pour créer un mot de passe pour un IAM utilisateur, réutilisez la create-login-profile commande, en passant cette fois le --cli-input-json paramètre pour spécifier votre JSON fichier. La create-login-profile commande suivante utilise le --cli-input-json paramètre avec un JSON fichier appelé create-login-profile .json.

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Sortie :

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Si le nouveau mot de passe enfreint la politique de mot de passe du compte, la commande renvoie une PasswordPolicyViolation erreur.

Pour modifier le mot de passe d'un utilisateur qui en possède déjà un, utilisezupdate-login-profile. Pour définir une politique de mot de passe pour le compte, utilisez la update-account-password-policy commande.

Si la politique de mot de passe du compte le permet, les IAM utilisateurs peuvent modifier leur propre mot de passe à l'aide de la change-password commande.

Pour plus d'informations, consultez la section Gestion des mots de passe IAM des utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour créer un fournisseur OpenID Connect () OIDC

Pour créer un fournisseur OpenID Connect (OIDC), nous vous recommandons d'utiliser le --cli-input-json paramètre pour transmettre un JSON fichier contenant les paramètres requis. Lorsque vous créez un OIDC fournisseur, vous devez transmettre le URL nom du fournisseur, et le URL doit commencer parhttps://. Il peut être difficile de transmettre le paramètre URL en tant que paramètre de ligne de commande, car les deux points (:) et les barres obliques (/) ont une signification particulière dans certains environnements de ligne de commande. L'utilisation du --cli-input-json paramètre permet de contourner cette limitation.

Pour utiliser le --cli-input-json paramètre, commencez par utiliser la create-open-id-connect-provider commande avec le --generate-cli-skeleton paramètre, comme dans l'exemple suivant.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

La commande précédente crée un JSON fichier appelé create-open-id-connect -provider.json que vous pouvez utiliser pour renseigner les informations d'une commande suivante. create-open-id-connect-provider Par exemple :

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Ensuite, pour créer le fournisseur OpenID Connect (OIDC), réutilisez la create-open-id-connect-provider commande, en passant cette fois le --cli-input-json paramètre pour spécifier votre JSON fichier. La create-open-id-connect-provider commande suivante utilise le --cli-input-json paramètre avec un JSON fichier appelé create-open-id-connect -provider.json.

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Sortie :

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Pour plus d'informations sur OIDC les fournisseurs, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.

Pour plus d'informations sur l'obtention des empreintes digitales d'un OIDC fournisseur, consultez la section Obtention de l'empreinte numérique d'un fournisseur d'identité OpenID Connect dans le guide de l'utilisateur.AWS IAM

Pour créer une nouvelle version de la politique gérée

Cet exemple crée une nouvelle v2 version de la IAM politique dont elle ARN est la version par défaut arn:aws:iam::123456789012:policy/MyPolicy et en fait la version par défaut.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Sortie :

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Pour plus d'informations, consultez la section IAMPolitiques de gestion des versions dans le guide de AWS IAM l'utilisateur.

Exemple 1 : Pour créer une politique gérée par le client

La commande suivante crée une politique gérée par le client nommée my-policy.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy

Le fichier policy est un JSON document du dossier actuel qui accorde un accès en lecture seule au shared dossier dans un compartiment Amazon S3 nommémy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/shared/*"
            ]
        }
    ]
}

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Pour plus d'informations sur l'utilisation de fichiers comme entrée pour les paramètres de chaîne, voir Spécifier les valeurs des paramètres pour le AWS CLI dans le guide de AWS CLI l'utilisateur.

Exemple 2 : Pour créer une politique gérée par le client avec une description

La commande suivante crée une politique gérée par le client nommée my-policy avec une description immuable :

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for my-bucket"

Le fichier policy.json est un JSON document du dossier actuel qui donne accès à toutes les actions Put, List et Get pour un compartiment Amazon S3 nommémy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "s3:ListBucket*",
                 "s3:PutBucket*",
                 "s3:GetBucket*"
             ],
             "Resource": [
                 "arn:aws:s3:::my-bucket"
             ]
         }
     ]
 }

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Pour plus d'informations sur les politiques basées sur l'identité, voir Politiques basées sur l'identité et politiques basées sur les ressources dans le Guide de l'utilisateur.AWS IAM

Exemple 3 : Pour créer une politique gérée par le client avec des balises

La commande suivante crée une politique gérée par le client nommée my-policy avec des balises. Cet exemple utilise l'indicateur de --tags paramètre avec les balises au JSON format suivantes :. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' L’indicateur --tags peut également être utilisé avec des balises au format raccourci : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Le fichier policy.json est un JSON document du dossier actuel qui donne accès à toutes les actions Put, List et Get pour un compartiment Amazon S3 nommémy-bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "s3:ListBucket*",
                 "s3:PutBucket*",
                 "s3:GetBucket*"
             ],
             "Resource": [
                 "arn:aws:s3:::my-bucket"
             ]
         }
     ]
 }

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {

        ]
    }
}

Pour plus d'informations sur les politiques de balisage, consultez la section Marquage des politiques gérées par le client dans le Guide de l'AWS IAMutilisateur.

Exemple 1 : pour créer un IAM rôle

La commande create-role suivante crée un rôle nommé Test-Role et lui attache une politique d’approbation.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Sortie :

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La politique de confiance est définie sous forme de JSON document dans le fichier test-role-trust-policy.json. (Le nom et l’extension du fichier n’ont aucune importance.) La politique d’approbation doit spécifier un principal.

Pour attacher une politique des autorisations à un rôle, utilisez la commande put-role-policy.

Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.

Exemple 2 : pour créer un IAM rôle avec une durée de session maximale spécifiée

La commande create-role suivante crée un rôle nommé Test-Role et définit une durée de session maximale de 7 200 secondes (2 heures).

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Pour plus d'informations, consultez la section Modification de la durée maximale de session d'un rôle (AWS API) dans le guide de AWS IAM l'utilisateur.

Exemple 3 : pour créer un IAM rôle avec des balises

La commande suivante crée un IAM rôle Test-Role avec des balises. Cet exemple utilise l'indicateur de --tags paramètre avec les balises au JSON format suivantes :. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' L’indicateur --tags peut également être utilisé avec des balises au format raccourci : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Pour plus d'informations, consultez la section Marquage IAM des rôles dans le guide de l'AWS IAMutilisateur.

Pour créer un SAML fournisseur

Cet exemple crée un nouveau SAML fournisseur dans IAM namedMySAMLProvider. Elle est décrite par le document de SAML métadonnées présent dans le fichierSAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Sortie :

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.

Pour créer un rôle lié à un service

L'create-service-linked-roleexemple suivant crée un rôle lié à un service pour le AWS service spécifié et y joint la description spécifiée.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Sortie :

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS IAMutilisateur.

Création d'un ensemble d'informations d'identification spécifiques au service pour un utilisateur

L'create-service-specific-credentialexemple suivant crée un nom d'utilisateur et un mot de passe qui ne peuvent être utilisés que pour accéder au service configuré.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Exemple 1 : pour créer un IAM utilisateur

La create-user commande suivante crée un IAM utilisateur nommé Bob dans le compte courant.

aws iam create-user \
    --user-name Bob

Sortie :

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Pour plus d'informations, consultez la section Création IAM d'un utilisateur dans votre AWS compte dans le guide de AWS IAM l'utilisateur.

Exemple 2 : pour créer un IAM utilisateur sur un chemin spécifié

La create-user commande suivante crée un IAM utilisateur nommé Bob selon le chemin spécifié.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Sortie :

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Pour plus d'informations, consultez la section IAMIdentifiants dans le guide de l'AWS IAMutilisateur.

Exemple 3 : pour créer un IAM utilisateur avec des balises

La create-user commande suivante crée un IAM utilisateur nommé Bob avec des balises. Cet exemple utilise l'indicateur de --tags paramètre avec les balises au JSON format suivantes :. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' L’indicateur --tags peut également être utilisé avec des balises au format raccourci : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Sortie :

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Pour plus d'informations, consultez la section Marquage des IAM utilisateurs dans le guide de l'AWS IAMutilisateur.

Exemple 3 : pour créer un IAM utilisateur avec une limite d'autorisations définie

La create-user commande suivante crée un IAM utilisateur dont le nom correspond Bob à la limite d'autorisations d'AmazonS3FullAccess.

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Sortie :

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Pour plus d'informations, consultez la section Limites des autorisations pour IAM les entités dans le Guide de AWS IAM l'utilisateur.

Pour créer un MFA appareil virtuel

Cet exemple crée un nouveau MFA périphérique virtuel appeléBobsMFADevice. Il crée un fichier qui contient les informations de bootstrap appelées QRCode.png et le place dans le C:/ répertoire. La méthode bootstrap utilisée dans cet exemple estQRCodePNG.

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Sortie :

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.

Pour désactiver un appareil MFA

Cette commande désactive le MFA périphérique virtuel associé à l'utilisateurBob. ARN arn:aws:iam::210987654321:mfa/BobsMFADevice

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.

Pour décoder un message d'échec d'autorisation

L'decode-authorization-messageexemple suivant décode le message renvoyé par la EC2 console lors de la tentative de lancement d'une instance sans les autorisations requises.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

La sortie est formatée sous la forme d'une chaîne de JSON texte d'une seule ligne que vous pouvez analyser avec n'importe quel JSON logiciel de traitement de texte.

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Pour plus d'informations, consultez Comment décoder un message d'échec d'autorisation après avoir reçu une erreur « UnauthorizedOperation » lors du lancement d'une EC2 instance ? dans AWS Re:post.

Pour supprimer une clé d'accès pour un IAM utilisateur

La delete-access-key commande suivante supprime la clé d'accès spécifiée (ID de clé d'accès et clé d'accès secrète) pour l'IAMutilisateur nomméBob.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Cette commande ne produit aucun résultat.

Pour répertorier les clés d'accès définies pour un IAM utilisateur, utilisez la list-access-keys commande.

Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un alias de compte

La commande delete-account-alias suivante supprime les alias mycompany du compte actuel.

aws iam delete-account-alias \
    --account-alias mycompany

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez l'ID de votre AWS compte et son alias dans le guide de AWS IAM l'utilisateur.

Pour supprimer la politique de mot de passe du compte actuel

La delete-account-password-policy commande suivante supprime la politique de mot de passe du compte actuel.

aws iam delete-account-password-policy

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour supprimer une politique d'un IAM groupe

La commande delete-group-policy suivante supprime la politique nommée ExamplePolicy du groupe nommé Admins.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Cette commande ne produit aucun résultat.

Pour voir les politiques attachées à un groupe, utilisez la commande list-group-policies.

Pour plus d'informations, consultez la section Gestion des IAM politiques dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un IAM groupe

La delete-group commande suivante supprime un IAM groupe nomméMyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Suppression d'un groupe IAM d'utilisateurs dans le guide de AWS IAM l'utilisateur.

Pour supprimer un profil d’instance

La commande delete-instance-profile suivante supprime un profil d’instance nommé ExampleInstanceProfile.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.

Pour supprimer le mot de passe d'un IAM utilisateur

La delete-login-profile commande suivante supprime le mot de passe de l'IAMutilisateur nomméBob.

aws iam delete-login-profile \
    --user-name Bob

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des mots de passe IAM des utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un fournisseur d'IAMidentité OpenID Connect

Cet exemple supprime le IAM OIDC fournisseur qui se connecte au fournisseurexample.oidcprovider.com.

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.

Pour supprimer une version d'une politique gérée

Cet exemple supprime la version identifiée comme étant dans v2 la politique dont ARN c'est arn:aws:iam::123456789012:policy/MySamplePolicy le cas.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour supprimer une IAM politique

Cet exemple supprime la politique dont le nom ARN estarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour supprimer une limite d'autorisation d'un IAM rôle

L'delete-role-permissions-boundaryexemple suivant supprime la limite des autorisations pour le IAM rôle spécifié. Pour appliquer une limite d'autorisations à un rôle, utilisez la put-role-permissions-boundary commande.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour supprimer une politique d'un IAM rôle

La commande delete-role-policy suivante supprime la politique nommée ExamplePolicy du rôle nommé Test-Role.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.

Pour supprimer un IAM rôle

La commande delete-role suivante supprime le rôle nommé Test-Role.

aws iam delete-role \
    --role-name Test-Role

Cette commande ne produit aucun résultat.

Pour pouvoir supprimer un rôle, vous devez le supprimer de tout profil d’instance (remove-role-from-instance-profile), détacher toutes les politiques gérées (detach-role-policy) et supprimer toutes les politiques intégrées attachées au rôle (delete-role-policy).

Pour plus d'informations, consultez les sections Création de IAM rôles et Utilisation de profils d'instance dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un SAML fournisseur

Cet exemple supprime le fournisseur IAM SAML 2.0 dont le nom ARN estarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.

Pour supprimer un certificat de serveur de votre AWS compte

La delete-server-certificate commande suivante supprime le certificat de serveur spécifié de votre AWS compte.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Cette commande ne produit aucun résultat.

Pour répertorier les certificats de serveur disponibles dans votre AWS compte, utilisez la list-server-certificates commande.

Pour plus d'informations, consultez la section Gestion des certificats de serveur IAM dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un rôle lié à un service

L’exemple delete-service-linked-role suivant supprime le rôle lié à un service spécifié dont vous n’avez plus besoin. La suppression s’effectue de manière asynchrone. Vous pouvez vérifier le statut de la suppression et si elle est terminée à l’aide de la commande get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Sortie :

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS IAMutilisateur.

Exemple 1 : Supprimer un identifiant spécifique au service pour l'utilisateur demandeur

L'delete-service-specific-credentialexemple suivant supprime les informations d'identification spécifiques au service spécifiées pour l'utilisateur qui fait la demande. Le service-specific-credential-id est fourni lorsque vous créez l'identifiant et vous pouvez le récupérer à l'aide de la list-service-specific-credentials commande.

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Cette commande ne produit aucun résultat.

Exemple 2 : Supprimer les informations d'identification spécifiques à un service pour un utilisateur spécifié

L'delete-service-specific-credentialexemple suivant supprime les informations d'identification spécifiques au service spécifiées pour l'utilisateur spécifié. Le service-specific-credential-id est fourni lorsque vous créez l'identifiant et vous pouvez le récupérer à l'aide de la list-service-specific-credentials commande.

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Pour supprimer un certificat de signature pour un IAM utilisateur

La delete-signing-certificate commande suivante supprime le certificat de signature spécifié pour l'IAMutilisateur nomméBob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Cette commande ne produit aucun résultat.

Pour obtenir l'ID d'un certificat de signature, utilisez la list-signing-certificates commande.

Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.

Pour supprimer une clé SSH publique attachée à un IAM utilisateur

La delete-ssh-public-key commande suivante supprime la clé SSH publique spécifiée attachée à l'IAMutilisateursofia.

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Cette commande ne produit aucun résultat.

Pour plus d'informations, reportez-vous à la section Utiliser SSH les touches et SSH avec CodeCommit dans le Guide de AWS IAM l'utilisateur.

Pour supprimer une limite d'autorisation pour un IAM utilisateur

L'delete-user-permissions-boundaryexemple suivant supprime la limite d'autorisations attachée à l'IAMutilisateur nomméintern. Pour appliquer une limite d'autorisation à un utilisateur, utilisez la put-user-permissions-boundary commande.

aws iam delete-user-permissions-boundary \
    --user-name intern

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour supprimer une politique d'un IAM utilisateur

La delete-user-policy commande suivante supprime la politique spécifiée pour l'IAMutilisateur nomméBob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Cette commande ne produit aucun résultat.

Pour obtenir la liste des politiques d'un IAM utilisateur, utilisez la list-user-policies commande.

Pour plus d'informations, consultez la section Création IAM d'un utilisateur dans votre AWS compte dans le guide de AWS IAM l'utilisateur.

Pour supprimer un IAM utilisateur

La delete-user commande suivante supprime l'IAMutilisateur nommé Bob du compte actuel.

aws iam delete-user \
    --user-name Bob

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Suppression d'un IAM utilisateur dans le guide de AWS IAM l'utilisateur.

Pour supprimer un MFA périphérique virtuel

La delete-virtual-mfa-device commande suivante supprime le MFA périphérique spécifié du compte actuel.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Désactivation MFA des appareils dans le guide de l'AWS IAMutilisateur.

Pour détacher une politique d'un groupe

Cet exemple supprime la politique gérée à l'aide ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy du groupe appeléTesters.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des groupes IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour détacher une politique d’un rôle

Cet exemple supprime la politique gérée avec le rôle « ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy from » appeléFedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.

Pour détacher une politique d’un utilisateur

Cet exemple supprime la politique gérée avec le « ARN arn:aws:iam::123456789012:policy/TesterPolicy from the user Bob ».

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Modification des autorisations d'un IAM utilisateur dans le Guide de AWS IAM l'utilisateur.

Pour activer un MFA appareil

Après avoir utilisé la create-virtual-mfa-device commande pour créer un nouveau MFA périphérique virtuel, vous pouvez l'MFAattribuer à un utilisateur. L'enable-mfa-deviceexemple suivant attribue le MFA périphérique avec le numéro de série arn:aws:iam::210987654321:mfa/BobsMFADevice à l'utilisateurBob. La commande synchronise également le dispositif AWS en incluant les deux premiers codes en séquence à partir du MFA dispositif virtuel.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Activation d'un dispositif d'authentification multifactorielle virtuelle (MFA) dans le guide de AWS IAM l'utilisateur.

Pour générer un rapport sur les informations d’identification

L'exemple suivant tente de générer un rapport d'identification pour le AWS compte.

aws iam generate-credential-report

Sortie :

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Pour plus d'informations, consultez la section Obtenir des rapports d'identification pour votre AWS compte dans le Guide de l'AWS IAMutilisateur.

Exemple 1 : pour générer un rapport d'accès pour un root dans une organisation

L'generate-organizations-access-reportexemple suivant lance une tâche en arrière-plan afin de créer un rapport d'accès pour la racine spécifiée dans une organisation. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant la get-organizations-access-report commande.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Sortie :

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Exemple 2 : pour générer un rapport d'accès pour un compte dans une organisation

L'generate-organizations-access-reportexemple suivant lance une tâche en arrière-plan pour créer un rapport d'accès pour l'ID de compte 123456789012 dans l'organisationo-4fxmplt198. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant la get-organizations-access-report commande.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Sortie :

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Exemple 3 : Pour générer un rapport d'accès pour un compte dans une unité organisationnelle d'une organisation

L'generate-organizations-access-reportexemple suivant lance une tâche en arrière-plan pour créer un rapport d'accès pour l'ID de compte 234567890123 dans une unité ou-c3xb-lmu7j2yg organisationnelle de l'organisationo-4fxmplt198. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant la get-organizations-access-report commande.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Sortie :

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Pour obtenir des informations sur les racines et les unités organisationnelles de votre organisation, utilisez les organizations list-organizational-units-for-parent commandes organizations list-roots et.

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.

Exemple 1 : pour générer un rapport d'accès aux services pour une politique personnalisée

L'generate-service-last-accessed-detailsexemple suivant lance une tâche en arrière-plan pour générer un rapport répertoriant les services auxquels accèdent IAM les utilisateurs et les autres entités avec une politique personnalisée nomméeintern-boundary. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant la get-service-last-accessed-details commande.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Sortie :

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Exemple 2 : pour générer un rapport d'accès aux services pour la AdministratorAccess politique AWS gérée

L'generate-service-last-accessed-detailsexemple suivant lance une tâche en arrière-plan pour générer un rapport répertoriant les services auxquels ont accédé IAM les utilisateurs et les autres entités avec la AdministratorAccess politique AWS gérée. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant la get-service-last-accessed-details commande.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Sortie :

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.

Pour récupérer des informations relatives au moment où la clé d’accès spécifiée a été utilisée pour la dernière fois

L’exemple suivant récupère des informations relatives au moment où la clé d’accès ABCDEXAMPLE a été utilisée pour la dernière fois.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Sortie :

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour répertorier IAM les utilisateurs, les groupes, les rôles et les politiques d'un AWS compte

La get-account-authorization-details commande suivante renvoie des informations sur tous les IAM utilisateurs, groupes, rôles et politiques du AWS compte.

aws iam get-account-authorization-details

Sortie :

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::example-bucket",
                                    "arn:aws:s3:::example-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Pour plus d'informations, consultez les directives relatives aux audits de AWS sécurité dans le guide de AWS IAM l'utilisateur.

Pour afficher la politique de mot de passe du compte actuel

La commande get-account-password-policy suivante affiche les détails de la politique de mot de passe du compte actuel.

aws iam get-account-password-policy

Sortie :

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Si aucune politique de mot de passe n’est définie pour le compte, la commande renvoie une erreur NoSuchEntity.

Pour plus d'informations, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour obtenir des informations sur IAM l'utilisation des entités et les IAM quotas du compte courant

La get-account-summary commande suivante renvoie des informations sur l'utilisation actuelle des IAM entités et les quotas d'IAMentités actuels du compte.

aws iam get-account-summary

Sortie :

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Pour plus d'informations sur les limitations relatives aux entités, reportez-vous à la section IAMet AWS STS aux quotas dans le Guide de AWS IAM l'utilisateur.

Exemple 1 : pour répertorier les clés de contexte référencées par une ou plusieurs JSON politiques personnalisées fournies en paramètre sur la ligne de commande

La get-context-keys-for-custom-policy commande suivante analyse chaque politique fournie et répertorie les clés de contexte utilisées par ces politiques. Utilisez cette commande pour identifier les valeurs de clé de contexte que vous devez fournir pour utiliser correctement les commandes du simulateur de politiques simulate-custom-policy etsimulate-custom-policy. Vous pouvez également récupérer la liste des clés de contexte utilisées par toutes les politiques associées à un IAM utilisateur ou à un rôle à l'aide de la get-context-keys-for-custom-policy commande. Les valeurs de paramètres commençant file:// par indiquent à la commande de lire le fichier et d'utiliser le contenu comme valeur du paramètre au lieu du nom du fichier lui-même.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Exemple 2 : pour répertorier les clés de contexte référencées par une ou plusieurs JSON politiques personnalisées fournies en entrée de fichier

La get-context-keys-for-custom-policy commande suivante est identique à l'exemple précédent, sauf que les politiques sont fournies dans un fichier plutôt que sous forme de paramètre. Comme la commande attend une JSON liste de chaînes et non une liste de JSON structures, le fichier doit être structuré comme suit, bien que vous puissiez le réduire en une seule.

[
    "Policy1",
    "Policy2"
]

Ainsi, par exemple, un fichier contenant la politique de l'exemple précédent doit ressembler à ce qui suit. Vous devez éviter chaque guillemet intégré dans la chaîne de politique en le faisant précéder d'une « barre oblique inverse ».

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Ce fichier peut ensuite être soumis à la commande suivante.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Pour plus d'informations, consultez la section Utilisation du simulateur de IAM politiques (AWS CLIet AWS API) dans le guide de AWS IAM l'utilisateur.

Pour répertorier les clés de contexte référencées par toutes les politiques associées à un IAM principal

La get-context-keys-for-principal-policy commande suivante permet de récupérer toutes les politiques associées à l'utilisateur saanvi et aux groupes dont elle est membre. Il analyse ensuite chacune d'elles et répertorie les clés de contexte utilisées par ces politiques. Utilisez cette commande pour identifier les valeurs de clé de contexte que vous devez fournir pour utiliser correctement simulate-principal-policy les commandes simulate-custom-policy et. Vous pouvez également récupérer la liste des clés de contexte utilisées par une JSON politique arbitraire à l'aide de la get-context-keys-for-custom-policy commande.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Pour plus d'informations, consultez la section Utilisation du simulateur de IAM politiques (AWS CLIet AWS API) dans le guide de AWS IAM l'utilisateur.

Pour obtenir un rapport sur les informations d’identification

Cet exemple ouvre le rapport renvoyé et le transmet au pipeline sous la forme d’un tableau de lignes de texte.

aws iam get-credential-report

Sortie :

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Pour plus d'informations, consultez la section Obtenir des rapports d'identification pour votre AWS compte dans le Guide de l'AWS IAMutilisateur.

Pour obtenir des informations sur une politique attachée à un IAM groupe

La get-group-policy commande suivante permet d'obtenir des informations sur la politique spécifiée attachée au groupe nomméTest-Group.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Sortie :

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Pour plus d'informations, consultez la section Gestion des IAM politiques dans le Guide de AWS IAM l'utilisateur.

Pour créer un IAM groupe

Cet exemple renvoie des informations sur le IAM groupeAdmins.

aws iam get-group \
    --group-name Admins

Sortie :

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Pour plus d'informations, consultez la section IAMIdentités (utilisateurs, groupes d'utilisateurs et rôles) dans le guide de AWS IAM l'utilisateur.

Pour obtenir des informations sur le profil d'une instance

La get-instance-profile commande suivante permet d'obtenir des informations sur le profil d'instance nomméExampleInstanceProfile.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Sortie :

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.

Pour obtenir des informations sur le mot de passe d'un IAM utilisateur

La get-login-profile commande suivante permet d'obtenir des informations sur le mot de passe de l'IAMutilisateur nomméBob.

aws iam get-login-profile \
    --user-name Bob

Sortie :

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

La get-login-profile commande peut être utilisée pour vérifier qu'un IAM utilisateur possède un mot de passe. La commande renvoie une NoSuchEntity erreur si aucun mot de passe n'est défini pour l'utilisateur.

Vous ne pouvez pas afficher un mot de passe à l'aide de cette commande. Si le mot de passe est perdu, vous pouvez le réinitialiser (update-login-profile) pour l'utilisateur. Vous pouvez également supprimer le profil de connexion (delete-login-profile) de l'utilisateur, puis en créer un nouveau (create-login-profile).

Pour plus d'informations, consultez la section Gestion des mots de passe IAM des utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour récupérer des informations sur une clé FIDO de sécurité

L'exemple de get-mfa-device commande suivant permet de récupérer des informations sur la clé FIDO de sécurité spécifiée.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Sortie :

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.

Pour renvoyer des informations sur le fournisseur OpenID Connect spécifié

Cet exemple renvoie des informations sur le fournisseur OpenID Connect dont ARN le nom est. arn:aws:iam::123456789012:oidc-provider/server.example.com

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Sortie :

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.

Pour récupérer un rapport d'accès

L'get-organizations-access-reportexemple suivant affiche un rapport d'accès généré précédemment pour une entité AWS Organizations. Pour générer un rapport, utilisez la generate-organizations-access-report commande.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.

Pour récupérer des informations sur la version spécifiée de la politique gérée spécifiée

Cet exemple renvoie le document de politique pour la version v2 de la politique dont le nom ARN estarn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Sortie :

{
    "PolicyVersion": {
        "Document": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour récupérer des informations sur la politique gérée spécifiée

Cet exemple renvoie des informations sur la politique gérée dont ARN c'est le casarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Sortie :

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour obtenir des informations sur une politique associée à un IAM rôle

La get-role-policy commande suivante permet d'obtenir des informations sur la politique spécifiée attachée au rôle nomméTest-Role.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Sortie :

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.

Pour obtenir des informations sur un IAM rôle

La commande get-role suivante permet d’obtenir des informations sur le rôle nommé Test-Role.

aws iam get-role \
    --role-name Test-Role

Sortie :

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La commande affiche la politique d’approbation attachée au rôle. Pour répertorier les politiques des autorisations attachées à un rôle, utilisez la commande list-role-policies.

Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.

Pour récupérer le SAML méta-document du fournisseur

Cet exemple permet de récupérer les informations relatives au fournisseur SAML 2.0 dont le nom ARM estarn:aws:iam::123456789012:saml-provider/SAMLADFS. La réponse inclut le document de métadonnées que vous avez obtenu du fournisseur d'identité pour créer l'entité AWS SAML fournisseur ainsi que les dates de création et d'expiration.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Sortie :

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.

Pour obtenir des informations sur un certificat de serveur associé à votre AWS compte

La get-server-certificate commande suivante permet de récupérer tous les détails relatifs au certificat de serveur spécifié dans votre AWS compte.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Sortie :

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Pour répertorier les certificats de serveur disponibles dans votre AWS compte, utilisez la list-server-certificates commande.

Pour plus d'informations, consultez la section Gestion des certificats de serveur IAM dans le Guide de AWS IAM l'utilisateur.

Pour récupérer un rapport d'accès aux services contenant les détails d'un service

L'get-service-last-accessed-details-with-entitiesexemple suivant extrait un rapport contenant des informations détaillées sur IAM les utilisateurs et les autres entités ayant accédé au service spécifié. Pour générer un rapport, utilisez la generate-service-last-accessed-details commande. Pour obtenir la liste des services accessibles avec des espaces de noms, utilisezget-service-last-accessed-details.

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.

Pour récupérer un rapport d'accès aux services

L'get-service-last-accessed-detailsexemple suivant extrait un rapport généré précédemment qui répertorie les services auxquels les IAM entités ont accès. Pour générer un rapport, utilisez la generate-service-last-accessed-details commande.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de AWS IAM l'utilisateur.

Pour vérifier le statut d’une requête de suppression d’un rôle lié à un service

L’exemple get-service-linked-role-deletion-status suivant affiche le statut d’une requête précédente de suppression d’un rôle lié à un service. L’opération de suppression s’effectue de manière asynchrone. Lorsque vous effectuez la requête, vous obtenez une valeur DeletionTaskId que vous fournissez en tant que paramètre de cette commande.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Sortie :

{
"Status": "SUCCEEDED"
}

Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'AWS IAMutilisateur.

Exemple 1 : Pour récupérer une clé SSH publique attachée à un IAM utilisateur sous forme SSH codée

La get-ssh-public-key commande suivante permet de récupérer la clé SSH publique spécifiée auprès de l'IAMutilisateursofia. La sortie est en cours d'SSHencodage.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Exemple 2 : Pour récupérer une clé SSH publique attachée à un IAM utilisateur sous forme PEM codée

La get-ssh-public-key commande suivante permet de récupérer la clé SSH publique spécifiée auprès de l'IAMutilisateursofia. La sortie est en cours d'PEMencodage.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Pour plus d'informations, reportez-vous à la section Utiliser SSH les touches et SSH avec CodeCommit dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les détails de la politique d'un IAM utilisateur

La get-user-policy commande suivante répertorie les détails de la politique spécifiée attachée à l'IAMutilisateur nomméBob.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Sortie :

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Pour obtenir la liste des politiques d'un IAM utilisateur, utilisez la list-user-policies commande.

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour obtenir des informations sur un IAM utilisateur

La get-user commande suivante permet d'obtenir des informations sur l'IAMutilisateur nomméPaulo.

aws iam get-user \
    --user-name Paulo

Sortie :

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Pour plus d'informations, consultez la section Gestion des IAM utilisateurs dans le guide de AWS IAM l'utilisateur.

Pour répertorier la clé d'accès IDs d'un IAM utilisateur

La list-access-keys commande suivante répertorie les clés d'accès IDs de l'IAMutilisateur nomméBob.

aws iam list-access-keys \
    --user-name Bob

Sortie :

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

Vous ne pouvez pas répertorier les clés d'accès secrètes des IAM utilisateurs. Si les clés d’accès secrètes sont perdues, vous devez créer de nouvelles clés d’accès à l’aide de la commande create-access-keys.

Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour répertorier des alias de compte

La commande list-account-aliases suivante répertorie les alias du compte actuel.

aws iam list-account-aliases

Sortie :

{
    "AccountAliases": [
    "mycompany"
    ]
}

Pour plus d'informations, consultez l'ID de votre AWS compte et son alias dans le guide de AWS IAM l'utilisateur.

Pour répertorier toutes les politiques gérées associées au groupe spécifié

Cet exemple renvoie les noms et ARNs les politiques gérées attachés au IAM groupe nommé Admins dans le AWS compte.

aws iam list-attached-group-policies \
    --group-name Admins

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour répertorier toutes les politiques gérées qui sont attachées au rôle spécifié

Cette commande renvoie les noms et ARNs les politiques gérées associées au IAM rôle nommé SecurityAuditRole dans le AWS compte.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour répertorier toutes les politiques gérées associées à l'utilisateur spécifié

Cette commande renvoie les noms et ARNs les politiques gérées pour l'IAMutilisateur nommé Bob dans le AWS compte.

aws iam list-attached-user-policies \
    --user-name Bob

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour répertorier tous les utilisateurs, groupes et rôles auxquels la politique gérée spécifiée est attachée

Cet exemple renvoie une liste des IAM groupes, des rôles et des utilisateurs auxquels la politique arn:aws:iam::123456789012:policy/TestPolicy est attachée.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Sortie :

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour répertorier toutes les politiques intégrées associées au groupe spécifié

La list-group-policies commande suivante répertorie les noms des politiques intégrées associées au IAM groupe nommé Admins dans le compte courant.

aws iam list-group-policies \
    --group-name Admins

Sortie :

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Pour plus d'informations, consultez la section Gestion des IAM politiques dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les groupes auxquels appartient un IAM utilisateur

La list-groups-for-user commande suivante affiche les groupes auxquels Bob appartient l'IAMutilisateur nommé.

aws iam list-groups-for-user \
    --user-name Bob

Sortie :

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Pour plus d'informations, consultez la section Gestion des groupes IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les IAM groupes du compte courant

La list-groups commande suivante répertorie les IAM groupes du compte courant.

aws iam list-groups

Sortie :

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Pour plus d'informations, consultez la section Gestion des groupes IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les balises associées à un profil d'instance

La list-instance-profile-tags commande suivante permet de récupérer la liste des balises associées au profil d'instance spécifié.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les profils d'instance d'un IAM rôle

La list-instance-profiles-for-role commande suivante répertorie les profils d'instance associés au rôleTest-Role.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Sortie :

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.

Pour répertorie les profils d'instance pour le compte

La list-instance-profiles commande suivante répertorie les profils d'instance associés au compte actuel.

aws iam list-instance-profiles

Sortie :

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les tags attachés à un MFA appareil

La list-mfa-device-tags commande suivante permet de récupérer la liste des balises associées au MFA périphérique spécifié.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour répertorier tous les MFA appareils d'un utilisateur spécifique

Cet exemple renvoie des informations sur l'MFAappareil attribué à l'IAMutilisateurBob.

aws iam list-mfa-devices \
    --user-name Bob

Sortie :

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.

Pour répertorier les tags attachés à un fournisseur d'identité compatible avec OpenID Connect (OIDC)

La list-open-id-connect-provider-tags commande suivante permet de récupérer la liste des balises associées au fournisseur OIDC d'identité spécifié.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les informations relatives aux fournisseurs OpenID Connect dans le compte AWS

Cet exemple renvoie une liste ARNS de tous les fournisseurs OpenID Connect définis dans le compte courant AWS .

aws iam list-open-id-connect-providers

Sortie :

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.

Pour répertorier les politiques qui accordent un accès principal au service spécifié

L'list-policies-granting-service-accessexemple suivant extrait la liste des politiques qui accordent à l'IAMutilisateur l'sofiaaccès au AWS CodeCommit service.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Sortie :

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Pour plus d'informations, consultez la section Utilisation IAM avec CodeCommit : informations d'identification, SSH clés et clés AWS d'accès Git dans le guide de AWS IAM l'utilisateur.

Pour répertorier les politiques gérées disponibles pour votre AWS compte

Cet exemple renvoie une collection des deux premières politiques gérées disponibles dans le AWS compte courant.

aws iam list-policies \
    --max-items 3

Sortie :

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour répertorier les balises associées à une politique gérée

La list-policy-tags commande suivante permet de récupérer la liste des balises associées à la politique gérée spécifiée.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les informations relatives aux versions de la politique gérée spécifiée

Cet exemple renvoie la liste des versions disponibles de la politique dont ARN c'est le casarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Sortie :

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour répertorier les politiques associées à un IAM rôle

La list-role-policies commande suivante répertorie les noms des politiques d'autorisation pour le IAM rôle spécifié.

aws iam list-role-policies \
    --role-name Test-Role

Sortie :

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Pour voir la politique d’approbation attachée à un rôle, utilisez la commande get-role. Pour voir les détails d’une politique des autorisations, utilisez la commande get-role-policy.

Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.

Pour répertorier les balises associées à un rôle

La list-role-tags commande suivante permet de récupérer la liste des balises associées au rôle spécifié.

aws iam list-role-tags \
    --role-name production-role

Sortie :

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour répertorier IAM les rôles associés au compte courant

La list-roles commande suivante répertorie IAM les rôles du compte courant.

aws iam list-roles

Sortie :

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.

Pour répertorier les balises associées à un SAML fournisseur

La list-saml-provider-tags commande suivante permet de récupérer la liste des balises associées au SAML fournisseur spécifié.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les SAML fournisseurs du AWS compte

Cet exemple permet de récupérer la liste des fournisseurs SAML 2.0 créée dans le AWS compte courant.

aws iam list-saml-providers

Sortie :

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.

Pour répertorier les balises associées à un certificat de serveur

La list-server-certificate-tags commande suivante permet de récupérer la liste des balises associées au certificat de serveur spécifié.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour répertorier les certificats de serveur de votre AWS compte

La list-server-certificates commande suivante répertorie tous les certificats de serveur stockés et disponibles pour utilisation dans votre AWS compte.

aws iam list-server-certificates

Sortie :

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Pour plus d'informations, consultez la section Gestion des certificats de serveur IAM dans le Guide de AWS IAM l'utilisateur.

Exemple 1 : Répertorier les informations d'identification spécifiques au service pour un utilisateur

L'list-service-specific-credentialsexemple suivant affiche toutes les informations d'identification spécifiques au service attribuées à l'utilisateur spécifié. Les mots de passe ne sont pas inclus dans la réponse.

aws iam list-service-specific-credentials \
    --user-name sofia

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Exemple 2 : Répertorier les informations d'identification spécifiques au service pour un utilisateur filtré vers un service spécifique

L'list-service-specific-credentialsexemple suivant affiche les informations d'identification spécifiques au service attribuées à l'utilisateur qui fait la demande. La liste est filtrée pour inclure uniquement les informations d'identification pour le service spécifié. Les mots de passe ne sont pas inclus dans la réponse.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Pour récupérer une liste d'informations d'identification

L'list-service-specific-credentialsexemple suivant répertorie les informations d'identification générées pour HTTPS l'accès aux AWS CodeCommit référentiels pour un utilisateur nommédeveloper.

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Pour répertorier les certificats de signature d'un IAM utilisateur

La list-signing-certificates commande suivante répertorie les certificats de signature de l'IAMutilisateur nomméBob.

aws iam list-signing-certificates \
    --user-name Bob

Sortie :

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.

Pour répertorier les clés SSH publiques associées à un IAM utilisateur

L'list-ssh-public-keysexemple suivant répertorie les clés SSH publiques associées à l'IAMutilisateursofia.

aws iam list-ssh-public-keys \
    --user-name sofia

Sortie :

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Pour plus d'informations, voir Utiliser SSH les touches et SSH avec CodeCommit dans le Guide de AWS IAM l'utilisateur

Pour répertorier les politiques d'un IAM utilisateur

La list-user-policies commande suivante répertorie les politiques associées à l'IAMutilisateur nomméBob.

aws iam list-user-policies \
    --user-name Bob

Sortie :

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Pour plus d'informations, consultez la section Création IAM d'un utilisateur dans votre AWS compte dans le guide de AWS IAM l'utilisateur.

Pour répertorier les tags attachés à un utilisateur

La list-user-tags commande suivante permet de récupérer la liste des balises associées à l'IAMutilisateur spécifié.

aws iam list-user-tags \
    --user-name alice

Sortie :

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour répertorier IAM les utilisateurs

La list-users commande suivante répertorie les IAM utilisateurs du compte courant.

aws iam list-users

Sortie :

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Pour plus d'informations, consultez la section Liste IAM des utilisateurs dans le guide de AWS IAM l'utilisateur.

Pour répertorier les MFA appareils virtuels

La list-virtual-mfa-devices commande suivante répertorie les MFA périphériques virtuels qui ont été configurés pour le compte actuel.

aws iam list-virtual-mfa-devices

Sortie :

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Pour plus d'informations, consultez la section Activation d'un dispositif d'authentification multifactorielle virtuelle (MFA) dans le guide de AWS IAM l'utilisateur.

Pour ajouter une politique à un groupe

La put-group-policy commande suivante ajoute une politique au IAM groupe nomméAdmins.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Cette commande ne produit aucun résultat.

La politique est définie sous forme de JSON document dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour plus d'informations, consultez la section Gestion des IAM politiques dans le Guide de AWS IAM l'utilisateur.

Exemple 1 : appliquer une limite d'autorisation basée sur une politique personnalisée à un IAM rôle

L'put-role-permissions-boundaryexemple suivant applique la politique personnalisée intern-boundary nommée limite d'autorisations pour le IAM rôle spécifié.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Cette commande ne produit aucun résultat.

Exemple 2 : appliquer une limite d'autorisation basée sur une politique AWS gérée à un IAM rôle

L'put-role-permissions-boundaryexemple suivant applique la PowerUserAccess politique AWS gérée comme limite d'autorisations pour le IAM rôle spécifié.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.

Pour associer une politique d'autorisation à un IAM rôle

La commande put-role-policy suivante ajoute une politique d’autorisation au rôle nommé Test-Role.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Cette commande ne produit aucun résultat.

La politique est définie sous forme de JSON document dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour attacher une politique d’approbation à un rôle, utilisez la commande update-assume-role-policy.

Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.

Exemple 1 : pour appliquer une limite d'autorisation basée sur une politique personnalisée à un IAM utilisateur

L'put-user-permissions-boundaryexemple suivant applique une politique personnalisée intern-boundary nommée limite d'autorisations pour l'IAMutilisateur spécifié.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Cette commande ne produit aucun résultat.

Exemple 2 : pour appliquer une limite d'autorisation basée sur une politique AWS gérée à un IAM utilisateur

L'put-user-permissions-boundaryexemple suivant applique la politique AWS gérée PowerUserAccess nommée limite d'autorisations pour l'utilisateur spécifiéIAM.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le guide de AWS IAM l'utilisateur.

Pour associer une politique à un IAM utilisateur

La put-user-policy commande suivante attache une politique à l'IAMutilisateur nomméBob.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Cette commande ne produit aucun résultat.

La politique est définie sous forme de JSON document dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour plus d'informations, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le guide de AWS IAM l'utilisateur.

Pour supprimer l'ID client spécifié de la liste des clients IDs enregistrés pour le fournisseur IAM OpenID Connect spécifié

Cet exemple supprime l'ID client My-TestApp-3 de la liste des clients IDs associés au IAM OIDC fournisseur dont l'identifiant ARN estarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.

Pour supprimer un rôle d'un profil d'instance

La remove-role-from-instance-profile commande suivante supprime le rôle nommé Test-Role du profil d'instance nomméExampleInstanceProfile.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un utilisateur d'un IAM groupe

La remove-user-from-group commande suivante supprime l'utilisateur nommé Bob du IAM groupe nomméAdmins.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Ajout et suppression d'utilisateurs dans un groupe IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.

Exemple 1 : réinitialisation du mot de passe pour un identifiant spécifique au service attaché à l'utilisateur qui fait la demande

L'reset-service-specific-credentialexemple suivant génère un nouveau mot de passe cryptographiquement fort pour les informations d'identification spécifiques au service spécifiées associées à l'utilisateur qui fait la demande.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Exemple 2 : réinitialiser le mot de passe d'un identifiant spécifique à un service associé à un utilisateur spécifié

L'reset-service-specific-credentialexemple suivant génère un nouveau mot de passe cryptographiquement fort pour un identifiant spécifique au service attaché à l'utilisateur spécifié.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Pour synchroniser un MFA appareil

L'resync-mfa-deviceexemple suivant synchronise le MFA périphérique associé à l'IAMutilisateur arn:aws:iam::123456789012:mfa/BobsMFADevice avec un programme Bob d'authentification qui a fourni les deux codes d'authentification. ARN

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'AWS IAMutilisateur.

Pour définir la version spécifiée de la stratégie spécifiée comme version par défaut de la stratégie.

Cet exemple définit la v2 version de la politique qui ARN est arn:aws:iam::123456789012:policy/MyPolicy la version active par défaut.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Pour plus d'informations, consultez la section Politiques et autorisations IAM dans le guide de AWS IAM l'utilisateur.

Pour définir la version du jeton de point de terminaison global

L'set-security-token-service-preferencesexemple suivant configure Amazon STS pour utiliser les jetons de version 2 lorsque vous vous authentifiez auprès du point de terminaison global.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion AWS STS dans une AWS région dans le Guide de AWS IAM l'utilisateur.

Exemple 1 : pour simuler les effets de toutes les IAM politiques associées à un IAM utilisateur ou à un rôle

Ce qui suit simulate-custom-policy montre comment fournir à la fois la politique, définir les valeurs des variables et simuler un API appel pour voir s'il est autorisé ou refusé. L'exemple suivant montre une politique qui permet l'accès à la base de données uniquement après une date et une heure spécifiées. La simulation réussit car les actions simulées et la aws:CurrentTime variable spécifiée répondent toutes aux exigences de la politique.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Exemple 2 : pour simuler une commande interdite par la politique

L'simulate-custom-policyexemple suivant montre les résultats de la simulation d'une commande interdite par la politique. Dans cet exemple, la date fournie est antérieure à celle requise par la condition de la police.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Pour plus d'informations, consultez la section Tester IAM les politiques avec le simulateur de IAM politiques dans le guide de AWS IAM l'utilisateur.

Exemple 1 : Pour simuler les effets d'une IAM politique arbitraire

Ce qui suit simulate-principal-policy montre comment simuler un utilisateur appelant une API action et déterminer si les politiques associées à cet utilisateur autorisent ou refusent l'action. Dans l'exemple suivant, l'utilisateur dispose d'une politique qui autorise uniquement l'codecommit:ListRepositoriesaction.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Exemple 2 : Pour simuler les effets d'une commande interdite

L'simulate-custom-policyexemple suivant montre les résultats de la simulation d'une commande interdite par l'une des politiques de l'utilisateur. Dans l'exemple suivant, l'utilisateur dispose d'une politique qui autorise l'accès à une base de données DynamoDB uniquement après une certaine date et heure. Dans le cadre de la simulation, l'utilisateur tente d'accéder à la base de données avec une aws:CurrentTime valeur antérieure à celle autorisée par les conditions de la politique.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Pour plus d'informations, consultez la section Tester IAM les politiques avec le simulateur de IAM politiques dans le guide de AWS IAM l'utilisateur.

Pour ajouter une balise à un profil d'instance

La tag-instance-profile commande suivante ajoute une balise avec un nom de département au profil d'instance spécifié.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour ajouter un tag à un MFA appareil

La tag-mfa-device commande suivante ajoute une balise portant le nom du département à l'MFAappareil spécifié.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour ajouter un tag à un fournisseur d'identité compatible avec OpenID Connect (OIDC)

La tag-open-id-connect-provider commande suivante ajoute une balise avec un nom de département au fournisseur OIDC d'identité spécifié.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour ajouter un tag à une politique gérée par le client

La tag-policy commande suivante ajoute une balise avec un nom de département à la politique gérée par le client spécifiée.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour ajouter un tag à un rôle

La tag-role commande suivante ajoute une balise avec un nom de département au rôle spécifié.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour ajouter un tag à un SAML fournisseur

La tag-saml-provider commande suivante ajoute une balise avec un nom de département au SAML fournisseur spécifié.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour ajouter une balise à un certificat de serveur

La tag-saml-provider commande suivante ajoute une balise avec un nom de département au certificat de serveur spécifié.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour ajouter un tag à un utilisateur

La tag-user commande suivante ajoute une balise avec le département associé à l'utilisateur spécifié.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour supprimer une balise d'un profil d'instance

La untag-instance-profile commande suivante supprime toute balise portant le nom de clé « Department » du profil d'instance spécifié.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour supprimer une étiquette d'un MFA appareil

La untag-mfa-device commande suivante supprime toute balise portant le nom de clé « Department » du MFA périphérique spécifié.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un tag d'un fournisseur OIDC d'identité

La untag-open-id-connect-provider commande suivante supprime toute balise portant le nom de clé « Department » du fournisseur OIDC d'identité spécifié.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un tag d'une politique gérée par le client

La untag-policy commande suivante supprime toute balise portant le nom de clé « Department » de la politique gérée par le client spécifiée.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un tag d'un rôle

La untag-role commande suivante supprime toute balise portant le nom de clé « Department » du rôle spécifié.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un tag d'un SAML fournisseur

La untag-saml-provider commande suivante supprime toute balise portant le nom de clé « Department » du profil d'instance spécifié.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour supprimer une étiquette d'un certificat de serveur

La untag-server-certificate commande suivante supprime toute balise portant le nom de clé « Department » du certificat de serveur spécifié.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour supprimer un tag d'un utilisateur

La untag-user commande suivante supprime toute balise portant le nom de clé « Department » de l'utilisateur spécifié.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section IAMRessources relatives au balisage dans le Guide de AWS IAM l'utilisateur.

Pour activer ou désactiver une clé d'accès pour un utilisateur IAM

La update-access-key commande suivante désactive la clé d'accès spécifiée (ID de clé d'accès et clé d'accès secrète) pour l'IAMutilisateur nomméBob.

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Cette commande ne produit aucun résultat.

La désactivation de la clé signifie qu'elle ne peut pas être utilisée pour un accès programmatique à. AWS Cependant, la clé est toujours disponible et peut être réactivée.

Pour plus d'informations, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour définir ou modifier la politique de mot de passe du compte actuel

La update-account-password-policy commande suivante définit la politique de mot de passe pour exiger une longueur minimale de huit caractères et un ou plusieurs chiffres dans le mot de passe.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Cette commande ne produit aucun résultat.

Les modifications apportées à la politique de mot de passe d'un compte affectent tous les nouveaux mots de passe créés pour IAM les utilisateurs du compte. Les modifications apportées à la politique des mots de passe n'affectent pas les mots de passe existants.

Pour plus d'informations, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour mettre à jour la politique de confiance pour un IAM rôle

La update-assume-role-policy commande suivante met à jour la politique de confiance pour le rôle nomméTest-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Cette commande ne produit aucun résultat.

La politique de confiance est définie sous forme de JSON document dans le fichier test-role-trust-policy.json. (Le nom et l’extension du fichier n’ont aucune importance.) La politique d’approbation doit spécifier un principal.

Pour mettre à jour la politique d'autorisation pour un rôle, utilisez la put-role-policy commande.

Pour plus d'informations, consultez la section Création de IAM rôles dans le guide de AWS IAM l'utilisateur.

Pour renommer un groupe IAM

La update-group commande suivante change le nom du IAM groupe Test enTest-1.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Modification du nom d'un groupe IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour mettre à jour le mot de passe d'un IAM utilisateur

La update-login-profile commande suivante crée un nouveau mot de passe pour l'IAMutilisateur nomméBob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Cette commande ne produit aucun résultat.

Pour définir une politique de mot de passe pour le compte, utilisez la update-account-password-policy commande. Si le nouveau mot de passe enfreint la politique de mot de passe du compte, la commande renvoie une PasswordPolicyViolation erreur.

Si la politique de mot de passe du compte le permet, les IAM utilisateurs peuvent modifier leur propre mot de passe à l'aide de la change-password commande.

Conservez le mot de passe dans un endroit sûr. Si le mot de passe est perdu, il ne peut pas être récupéré et vous devez en créer un nouveau à l'aide de la create-login-profile commande.

Pour plus d'informations, consultez la section Gestion des mots de passe IAM des utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour remplacer la liste existante des empreintes numériques des certificats de serveur par une nouvelle liste

Cet exemple met à jour la liste des empreintes numériques des certificats pour le OIDC fournisseur qui doit arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com utiliser ARN une nouvelle empreinte numérique.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Création de fournisseurs d'identité OpenID Connect (OIDC) dans le guide de l'AWS IAMutilisateur.

Pour modifier la description d'un IAM rôle

La update-role commande suivante remplace la description du IAM rôle production-role parMain production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.

Pour modifier la description d'un IAM rôle ou la durée d'une session

La update-role commande suivante modifie la description du IAM rôle production-role Main production role et définit la durée maximale de session à 12 heures.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de AWS IAM l'utilisateur.

Pour mettre à jour le document de métadonnées d'un SAML fournisseur existant

Cet exemple met à jour le SAML IAM fournisseur ARN concerné arn:aws:iam::123456789012:saml-provider/SAMLADFS avec un nouveau document de SAML métadonnées issu du fichierSAMLMetaData.xml.

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Sortie :

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Pour plus d'informations, consultez la section Création de fournisseurs IAM SAML d'identité dans le guide de AWS IAM l'utilisateur.

Pour modifier le chemin ou le nom d'un certificat de serveur dans votre AWS compte

La commande update-server-certificate suivante fait passer le nom du certificat de myServerCertificate à myUpdatedServerCertificate. Il modifie également le chemin pour /cloudfront/ qu'il soit accessible par le CloudFront service Amazon. Cette commande ne produit aucun résultat. Vous pouvez afficher les résultats de la mise à jour en exécutant la commande list-server-certificates.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des certificats de serveur IAM dans le Guide de AWS IAM l'utilisateur.

Exemple 1 : pour mettre à jour le statut des informations d'identification spécifiques au service de l'utilisateur demandeur

L'update-service-specific-credentialexemple suivant modifie le statut des informations d'identification spécifiées pour l'utilisateur à qui la demande est adresséeInactive.

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Cette commande ne produit aucun résultat.

Exemple 2 : pour mettre à jour le statut des informations d'identification spécifiques au service d'un utilisateur spécifié

L'update-service-specific-credentialexemple suivant fait passer le statut des informations d'identification de l'utilisateur spécifié à Inactif.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour HTTPS les connexions à CodeCommit dans le guide de AWS CodeCommit l'utilisateur

Pour activer ou désactiver un certificat de signature pour un utilisateur IAM

La update-signing-certificate commande suivante désactive le certificat de signature spécifié pour l'IAMutilisateur nomméBob.

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Pour obtenir l'ID d'un certificat de signature, utilisez la list-signing-certificates commande.

Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.

Pour modifier le statut d'une clé SSH publique

La update-ssh-public-key commande suivante change le statut de la clé publique spécifiée enInactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Cette commande ne produit aucun résultat.

Pour plus d'informations, reportez-vous à la section Utiliser SSH les touches et SSH avec CodeCommit dans le Guide de AWS IAM l'utilisateur.

Pour modifier le nom IAM d'un utilisateur

La update-user commande suivante change le nom de l'IAMutilisateur Bob enRobert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Modification du nom d'un groupe IAM d'utilisateurs dans le Guide de AWS IAM l'utilisateur.

Pour télécharger un certificat de serveur sur votre AWS compte

La upload-server-certificatecommande suivante télécharge un certificat de serveur sur votre AWS compte. Dans cet exemple, le certificat se trouve dans le fichier public_key_cert_file.pem, la clé privée associée se trouve dans le fichier my_private_key.pem et la chaîne de certificats fournie par l’autorité de certification (CA) se trouve dans le fichier my_certificate_chain_file.pem. Lorsque le téléchargement du fichier est terminé, il est disponible sous le nom myServerCertificate. Les paramètres commençant par file:// indiquent à la commande de lire le contenu du fichier et de l’utiliser comme valeur de paramètre au lieu du nom du fichier lui-même.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Sortie :

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Pour plus d'informations, consultez la section Création, téléchargement et suppression de certificats de serveur dans le IAM guide d'utilisation.

Pour télécharger un certificat de signature pour un IAM utilisateur

La upload-signing-certificate commande suivante télécharge un certificat de signature pour l'IAMutilisateur nomméBob.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Sortie :

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

Le certificat se trouve dans un fichier nommé certificate.pem au format. PEM

Pour plus d'informations, consultez la section Création et téléchargement d'un certificat de signature utilisateur dans le IAM guide d'utilisation.

Pour télécharger une clé SSH publique et l'associer à un utilisateur

La upload-ssh-public-key commande suivante télécharge la clé publique trouvée dans le fichier sshkey.pub et l'attache à l'utilisateursofia.

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Pour plus d'informations sur la façon de générer des clés dans un format adapté à cette commande, consultez SSHLinux, macOS ou Unix : Configuration des clés publiques et privées pour Git et/ou Windows : Configuration des clés publiques et privées pour Git et CodeCommit dans le Guide de l'AWS CodeCommit utilisateur. CodeCommit SSH