Esempi IAM che utilizzano AWS CLI

Per aggiungere un ID client (pubblico) a un provider Open-ID Connect (OIDC)

Il comando add-client-id-to-open-id-connect-provider seguente aggiunge l'ID client my-application-ID al provider OIDC denominato server.example.com.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Questo comando non produce alcun output.

Per creare un provider OIDC, utilizzare il comando create-open-id-connect-provider.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per aggiungere un ruolo a un profilo dell'istanza

Il comando add-role-to-instance-profile seguente aggiunge il ruolo denominato S3Access al profilo dell'istanza denominato Webserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Questo comando non produce alcun output.

Per creare un profilo dell'istanza, utilizza il comando create-instance-profile.

Per ulteriori informazioni, consulta Usare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella AWS IAM User Guide.

Come aggiungere un utente a un gruppo IAM

Il comando add-user-to-group seguente aggiunte l'utente IAM denominato Bob al gruppo IAM denominato Admins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Aggiunta e rimozione di utenti in un gruppo di utenti IAM nella Guida per l'utente IAM AWS .

Per collegare una policy gestita a un gruppo IAM

Il attach-group-policy comando seguente collega la policy AWS gestita denominata ReadOnlyAccess al gruppo IAM denominatoFinance.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy gestite e policy inline nella Guida per l'utente IAM AWS .

Come collegare una policy gestita a un ruolo IAM

Il attach-role-policy comando seguente collega la policy AWS gestita denominata ReadOnlyAccess al ruolo IAM denominatoReadOnlyRole.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy gestite e policy inline nella Guida per l'utente IAM AWS .

Come collegare una policy gestita a un utente IAM

Il attach-user-policy comando seguente collega la policy AWS gestita denominata AdministratorAccess all'utente IAM denominatoAlice.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy gestite e policy inline nella Guida per l'utente IAM AWS .

Per modificare la password per l'utente IAM

Per modificare la password per il tuo utente IAM, ti consigliamo di utilizzare il parametro --cli-input-json per passare un file JSON che contenga la vecchia e la nuova password. Con questo metodo, potrai utilizzare password complesse con caratteri non alfanumerici. Quando le password vengono passate come parametri della riga di comando può essere difficile utilizzare password con caratteri non alfanumerici. Per utilizzare il parametro --cli-input-json, inizia a utilizzare il comando change-password con il parametro --generate-cli-skeleton, come nell'esempio seguente.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

Il comando precedente crea un file JSON chiamato change-password.json che può essere utilizzato per inserire la vecchia e la nuova password. Ad esempio, il file potrebbe avere il seguente aspetto.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Quindi, per modificare la password, usa nuovamente il comando change-password, questa volta passando il parametro per specificare il file JSON --cli-input-json. Il comando change-password seguente utilizza il parametro --cli-input-json con un file JSON chiamato change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Questo comando non produce alcun output.

Questo comando può essere chiamato solo dagli utenti IAM. Se questo comando viene chiamato utilizzando le credenziali AWS dell'account (root), restituisce un InvalidUserType errore.

Per ulteriori informazioni, consulta Come permettere a un utente IAM di cambiare la propria password nella Guida per l'utente di AWS IAM.

Come creare una chiave di accesso per un utente IAM

Il comando create-access-key seguente crea una chiave di accesso (ID chiave di accesso e chiave di accesso segreta) per l'utente IAM denominato Bob.

aws iam create-access-key \
    --user-name Bob

Output:

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Conserva la chiave di accesso segreta in un luogo sicuro. Se viene persa, non può essere recuperata e dovrai creare una nuova chiave di accesso.

Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM AWS .

Come Creare l'alias di un account

Il create-account-alias comando seguente crea l'alias examplecorp per il tuo AWS account.

aws iam create-account-alias \
    --account-alias examplecorp

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Your AWS account ID and its alias nella AWS IAM User Guide.

Come creare un gruppo IAM

Il comando create-group seguente crea un gruppo IAM denominato Admins.

aws iam create-group \
    --group-name Admins

Output:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Per ulteriori informazioni, consulta Creazione di gruppi di utenti IAM nella Guida per l'utente IAM AWS .

Come creare un profilo dell'istanza

Il comando create-instance-profile seguente crea un profilo dell'istanza denominato Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Output:

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Per aggiungere un ruolo a un profilo dell'istanza, usa il comando add-role-to-instance-profile.

Per ulteriori informazioni, consulta Usare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella AWS IAM User Guide.

Per creare una password per un utente IAM

Per creare una password per un utente IAM, ti consigliamo di utilizzare il parametro --cli-input-json per passare un file JSON che contenga la password. Con questo metodo, potrai creare una password complessa con caratteri non alfanumerici. Quando le password vengono passate come parametri della riga di comando può essere difficile utilizzare password con caratteri non alfanumerici.

Per utilizzare il parametro --cli-input-json, inizia a utilizzare il comando create-login-profile con il parametro --generate-cli-skeleton, come nell'esempio seguente.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

Il comando precedente crea un file JSON chiamato create-login-profile .json che è possibile utilizzare per inserire le informazioni per un comando successivo. create-login-profile Per esempio:

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Quindi, per modificare la password per un utente IAM, usa nuovamente il comando create-login-profile, questa volta passando il parametro --cli-input-json per specificare il file JSON. Il create-login-profile comando seguente utilizza il --cli-input-json parametro con un file JSON chiamato .json. create-login-profile

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Output:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Se la nuova password viola la policy delle password dell'account, il comando restituisce un errore PasswordPolicyViolation.

Per modificare la password di un utente che ne ha già una, usa update-login-profile. Per impostare una policy delle password per l'account, usa il comando update-account-password-policy.

Se la policy delle password dell'account lo consente, gli utenti IAM possono modificare le proprie password utilizzando il comando change-password.

Per ulteriori informazioni, consulta Gestione delle password per gli utenti IAM nella Guida per l'utente di AWS .

Per creare un provider IAM OpenID Connect (OIDC)

Per creare un provider OpenID Connect (OIDC), consigliamo di utilizzare il parametro --cli-input-json per passare un file JSON che contenga i parametri richiesti. Quando si crea un provider OIDC, è necessario passare l'URL del provider e l'URL deve iniziare con https://. Può essere difficile passare l'URL come parametro della riga di comando, perché i caratteri due punti (:) e barra (/) hanno un significato speciale in alcuni ambienti della riga di comando. L'utilizzo del parametro --cli-input-json consente di aggirare questa limitazione.

Per utilizzare il parametro --cli-input-json, inizia a utilizzare il comando create-open-id-connect-provider con il parametro --generate-cli-skeleton, come nell'esempio seguente.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

Il comando precedente crea un file JSON chiamato create-open-id-connect -provider.json che è possibile utilizzare per inserire le informazioni per un comando successivo. create-open-id-connect-provider Per esempio:

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Successivamente, per creare il provider OpenID Connect (OIDC), utilizza nuovamente il comando create-open-id-connect-provider, questa volta passando il parametro --cli-input-json per specificare il file JSON. Il create-open-id-connect-provider comando seguente utilizza il --cli-input-json parametro con un file JSON chiamato -provider.json. create-open-id-connect

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Output:

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Per ulteriori informazioni sui provider OIDC, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per ulteriori informazioni su come ottenere impronte digitali per un provider OIDC, consulta Ottenere l'impronta personale per un provider di identità OpenID Connect nella Guida per l'utente di AWS IAM.

Per creare una nuova versione di una policy gestita

Questo esempio crea una nuova versione v2 della policy IAM il cui ARN è arn:aws:iam::123456789012:policy/MyPolicy e la rende la versione predefinita.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Output:

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Per ulteriori informazioni, consulta Controllo delle versioni delle policy IAM nella Guida per l'utente IAM AWS .

Esempio 1: Come creare una policy gestita dal cliente

Il comando seguente crea una policy gestita dal cliente denominata my-policy. Il file policy.json è un documento JSON nella cartella corrente che consente l'accesso in sola lettura alla cartella shared in un bucket Amazon S3 denominato amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json

Contenuto di policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/shared/*"
            ]
        }
    ]
}

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Per ulteriori informazioni sull'utilizzo dei file come input per i parametri di stringa, consultate Specificare i valori dei parametri per la AWS CLI nella Guida per l'utente della AWS CLI.

Esempio 2: Come creare una policy gestita dal cliente con una descrizione

Il comando seguente crea una policy gestita dal cliente denominata my-policy con una descrizione non modificabile.

Il file policy.json è un documento JSON nella cartella corrente che consente l'accesso in sola lettura a tutte le operazioni Put, List e Get per un bucket Amazon S3 denominato amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for amzn-s3-demo-bucket"

Contenuto di policy.json:

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Per ulteriori informazioni sulle policy basate sull'identità consulta Policy basate sulle identità e policy basate su risorse nella Guida per l'utente IAM AWS .

Esempio 3: creare una policy gestita dal cliente con i tag

Il comando seguente crea una policy gestita dal cliente denominata my-policy con tag. Questo esempio utilizza il parametro --tags con i seguenti tag in formato JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. In alternativa, il parametro --tags può essere utilizzato con i tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

Il file policy.json è un documento JSON nella cartella corrente che consente l'accesso in sola lettura a tutte le operazioni Put, List e Get per un bucket Amazon S3 denominato amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Contenuto di policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {
        ]
    }
}

Per ulteriori informazioni sulle policy di applicazione di tag, consulta Applicazione di tag a policy gestite dal cliente nella Guida per l'utente IAM AWS .

Esempio 1: Come creare un ruolo IAM

Il comando create-role seguente crea un ruolo denominato Test-Role e collega una policy di attendibilità a tale ruolo.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Output:

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La policy di attendibilità è definita come documento JSON nel file Test-Role-Trust-Policy.json. (Il nome e l'estensione del file non hanno importanza.) La policy di attendibilità deve specificare un principale.

Per collegare una policy di autorizzazioni a un ruolo, usa il comando put-role-policy.

Per ulteriori informazioni, consulta Creazione di ruoli IAM nella Guida per l’utente IAM AWS .

Esempio 2: Come creare un ruolo IAM con una durata massima della sessione specificata

Il comando create-role seguente crea un ruolo denominato Test-Role e imposta una durata massima della sessione di 7200 secondi (2 ore).

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Output:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Per ulteriori informazioni, consulta Modificare la durata massima della sessione (AWS API) di un ruolo nella Guida per l'utente AWS IAM.

Esempio 3: Come creare un ruolo IAM con tag

Il comando seguente crea un ruolo IAM Test-Role con tag. Questo esempio utilizza il flag del parametro --tags con i seguenti tag in formato JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. In alternativa, il flag --tags può essere utilizzato con tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Output:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Per ulteriori informazioni, consulta Applicazione di tag a ruoli IAM nella Guida per l'utente di IAM AWS .

Come creare un provider SAML

Questo esempio crea un nuovo provider SAML in IAM denominato MySAMLProvider. È descritto dal documento di metadati SAML che si trova nel file SAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Output:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM AWS .

Come creare un ruolo collegato a un servizio

L'create-service-linked-roleesempio seguente crea un ruolo collegato al servizio per il AWS servizio specificato e allega la descrizione specificata.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Output:

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Per ulteriori informazioni, consulta Utilizzo di ruoli collegati a servizi nella Guida per l'utente di IAM AWS .

Crea un set di credenziali specifiche del servizio per un utente

L'create-service-specific-credentialesempio seguente crea un nome utente e una password che possono essere utilizzati per accedere solo al servizio configurato.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Per ulteriori informazioni, consulta Creare credenziali Git per le connessioni HTTPS CodeCommit nella Guida per l'AWS CodeCommit utente.

Esempio 1: Come creare un utente IAM

Il comando create-user seguente crea un utente IAM denominato Bob nell'account corrente.

aws iam create-user \
    --user-name Bob

Output:

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Per ulteriori informazioni, consulta Creating an IAM user in your AWS account nella AWS IAM User Guide.

Esempio 2: Come creare un utente IAM in un percorso specificato

Il comando create-user seguente crea un utente IAM denominato Bob nel percorso specificato.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Output:

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Per ulteriori informazioni, consulta Identificatori IAM nella Guida per l'utente di IAM AWS .

Esempio 3: Come creare un utente IAM con tag

Il comando create-user seguente crea un utente IAM denominato Bob con tag. Questo esempio utilizza il flag del parametro --tags con i seguenti tag in formato JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. In alternativa, il flag --tags può essere utilizzato con tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Output:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Per ulteriori informazioni, consulta Applicazione di tag a utenti IAM nella Guida per l'utente di IAM AWS .

Esempio 3: Come creare un utente IAM con un limite delle autorizzazioni impostato

Il create-user comando seguente crea un utente IAM denominato Bob con il limite delle autorizzazioni di AmazonS3. FullAccess

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Output:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l'utente di IAM AWS .

Per creare un dispositivo MFA virtuale

Questo esempio crea un nuovo dispositivo MFA virtuale chiamato BobsMFADevice. Crea un file che contiene le informazioni di bootstrap chiamate QRCode.png e le inserisce nella directory C:/. Il metodo bootstrap utilizzato in questo esempio è QRCodePNG.

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Output:

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella AWS Guida per l'utente IAM.

Per disattivare un dispositivo MFA

Questo comando disattiva il dispositivo MFA virtuale con l'ARN arn:aws:iam::210987654321:mfa/BobsMFADevice associato all'utente Bob.

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella AWS Guida per l'utente IAM.

Per decodificare un messaggio di errore di autorizzazione

L'decode-authorization-messageesempio seguente decodifica il messaggio restituito dalla EC2 console quando si tenta di avviare un'istanza senza le autorizzazioni richieste.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

L'output è formattato come una stringa di testo JSON a riga singola che può essere analizzata con qualsiasi elaboratore di testo JSON.

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Per ulteriori informazioni, vedi Come posso decodificare un messaggio di errore di autorizzazione dopo aver ricevuto un errore "UnauthorizedOperation" durante l'avvio di un'istanza? EC2 in AWS Re:post.

Come eliminare una chiave di accesso per un utente IAM

Il comando delete-access-key seguente elimina la chiave di accesso specificata (ID chiave di accesso e chiave di accesso segreta) per l'utente IAM denominato Bob.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Questo comando non produce alcun output.

Per elencare le chiavi di accesso definite per un utente IAM, usa il comando list-access-keys.

Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM AWS .

Come eliminare l'alias di un account

Il comando delete-account-alias seguente rimuove l'alias mycompany per l'account corrente.

aws iam delete-account-alias \
    --account-alias mycompany

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Your AWS account ID and its alias nella AWS IAM User Guide.

Per eliminare la policy delle password dell'account corrente

Il comando delete-account-password-policy seguente rimuove la policy delle password per l'account corrente.

aws iam delete-account-password-policy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Impostazione di una policy delle password dell'account per utenti IAM nella Guida per l'utente di IAM AWS .

Come eliminare una policy da un gruppo IAM

Il comando delete-group-policy seguente elimina la policy denominata ExamplePolicy dal gruppo denominato Admins.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per visualizzare le policy collegate a un gruppo, usa il comando list-group-policies.

Per ulteriori informazioni, consulta Gestione delle policy IAM nella Guida per l’utente IAM AWS .

Come eliminare un gruppo IAM

Il comando delete-group seguente elimina un gruppo IAM denominato MyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Eliminazione di un gruppo di utenti IAM nella Guida per l'utente di IAM AWS .

Come eliminare un profilo dell'istanza

Il comando delete-instance-profile seguente elimina un profilo dell'istanza denominato ExampleInstanceProfile.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Utilizzo dei profili dell'istanza nella Guida per l'utente di IAM AWS .

Per eliminare una password per un utente IAM

Il comando delete-login-profile seguente elimina la password per l'utente IAM denominato Bob.

aws iam delete-login-profile \
    --user-name Bob

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestione delle password per gli utenti IAM nella Guida per l'utente di AWS .

Per eliminare un provider di identità OpenID Connect IAM

Questo esempio elimina il provider OIDC IAM che si connette al provider example.oidcprovider.com.

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per eliminare una versione di una policy gestita

Questo esempio elimina la versione identificata come v2 dalla policy il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come eliminare una policy IAM

Questo esempio elimina la policyu il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Per eliminare un limite delle autorizzazioni da un ruolo IAM

L'esempio delete-role-permissions-boundary seguente elimina il limite delle autorizzazioni per il ruolo IAM specificato. Per applicare un limite delle autorizzazioni a un ruolo, usa il comando put-role-permissions-boundary.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come rimuovere una policy da un ruolo IAM

Il comando delete-role-policy seguente rimuove la policy denominata ExamplePolicy dal ruolo denominato Test-Role.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modifica di un ruolo nella Guida per l'utente di IAM AWS .

Come eliminare un ruolo IAM

Il comando delete-role seguente rimuove il ruolo denominato Test-Role.

aws iam delete-role \
    --role-name Test-Role

Questo comando non produce alcun output.

Per poter eliminare un ruolo, devi prima rimuovere il ruolo da qualunque profilo dell'istanza (remove-role-from-instance-profile), scollegare eventuali policy gestite (detach-role-policy) ed eliminare tutte le policy inline collegate al ruolo (delete-role-policy).

Per ulteriori informazioni, consulta Ruoli IAM e Utilizzo dei profili dell'istanza nella AWS Guida per l'utente di IAM.

Come eliminare un provider SAML

Questo esempio elimina il provider SAML 2.0 IAM il cui ARN è arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM AWS .

Per eliminare un certificato server dal tuo AWS account

Il delete-server-certificate comando seguente rimuove il certificato del server specificato dal tuo AWS account.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Questo comando non produce alcun output.

Per elencare i certificati server disponibili nel tuo AWS account, usa il list-server-certificates comando.

Per ulteriori informazioni, consulta Gestione dei certificati server in IAM nella Guida per l'utente IAM AWS .

Come eliminare un ruolo collegato a un servizio

L'esempio delete-service-linked-role seguente elimina il ruolo collegato al servizio specificato che non è più necessario. L'eliminazione avviene in modo asincrono. Puoi anche controllare lo stato dell'eliminazione e confermare quando è stata completata utilizzando il comando get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Output:

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Per ulteriori informazioni, consulta Utilizzo di ruoli collegati a servizi nella Guida per l'utente di IAM AWS .

Esempio 1: eliminare una credenziale specifica del servizio per l'utente richiedente

L'delete-service-specific-credentialesempio seguente elimina la credenziale specifica del servizio specificata per l'utente che effettua la richiesta. service-specific-credential-idViene fornita al momento della creazione della credenziale ed è possibile recuperarla utilizzando il comando. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Questo comando non produce alcun output.

Esempio 2: Eliminare una credenziale specifica del servizio per un utente specificato

L'delete-service-specific-credentialesempio seguente elimina la credenziale specifica del servizio specificata per l'utente specificato. service-specific-credential-idViene fornita al momento della creazione della credenziale ed è possibile recuperarla utilizzando il comando. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creare credenziali Git per le connessioni HTTPS CodeCommit nella Guida per l'AWS CodeCommit utente.

Per eliminare un certificato di firma per un utente IAM

Il comando delete-signing-certificate seguente elimina il certificato di firma specificato per l'utente IAM denominato Bob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Questo comando non produce alcun output.

Per ottenere l'ID per un certificato di firma, utilizza il comando list-signing-certificates.

Per ulteriori informazioni, consulta Gestire i certificati di firma nella Amazon EC2 User Guide.

Per eliminare una chiave pubblica SSH collegata a un utente IAM

Il delete-ssh-public-key comando seguente elimina la chiave pubblica SSH specificata allegata all'utente IAM. sofia

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Use SSH keys e SSH with CodeCommit nella IAM User Guide.AWS

Per eliminare un limite delle autorizzazioni da un utente IAM

L'esempio delete-user-permissions-boundary seguente elimina il limite delle autorizzazioni collegato all'utente IAM denominato intern. Per applicare un limite delle autorizzazioni a un utente, usa il comando put-user-permissions-boundary.

aws iam delete-user-permissions-boundary \
    --user-name intern

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come rimuovere una policy da un utente IAM

Il comando delete-user-policy seguente rimuove la policy specificata dall'utente IAM denominato Bob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per ottenere un elenco di policy per un utente IAM, usa il comando list-user-policies.

Per ulteriori informazioni, consulta Creating an IAM user in your AWS account nella AWS IAM User Guide.

Come eliminare un utente IAM

Il comando delete-user seguente rimuove l'utente IAM denominato Bob dall'account corrente.

aws iam delete-user \
    --user-name Bob

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Eliminazione di un utente IAM nella Guida per l'utente di IAM AWS .

Per rimuovere un dispositivo MFA virtuale

Il comando delete-virtual-mfa-device seguente rimuove il dispositivo MFA specificato dall'account corrente.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Disattivazione dei dispositivi MFA nella Guida per l'utente di AWS IAM.

Per scollegare una policy da un gruppo

Questo esempio rimuove la policy gestita con l'ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy dal gruppo denominato Testers.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestione di gruppi di utenti IAM nella Guida per l'utente IAM AWS .

Come scollegare una policy da un ruolo

Questo esempio rimuove la policy gestita con l'ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy dal ruolo denominato FedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modifica di un ruolo nella Guida per l'utente di IAM AWS .

Come scollegare una policy da un utente

Questo esempio rimuove la policy gestita con l'ARN arn:aws:iam::123456789012:policy/TesterPolicy dall'utente Bob.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente di IAM AWS .

Per disabilitare la RootCredentialsManagement funzionalità nell'organizzazione

Il disable-organizations-root-credentials-management comando seguente disabilita la gestione delle credenziali degli utenti root con privilegi tra gli account membri dell'organizzazione.

aws iam disable-organizations-root-credentials-management

Output:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Centralizzare l'accesso root per gli account dei membri nella Guida per l'utente IAM, ad es.AWS

Per disabilitare la RootSessions funzionalità nell'organizzazione

Il disable-organizations-root-sessions comando seguente disabilita le sessioni utente root per le attività con privilegi tra gli account dei membri dell'organizzazione.

aws iam disable-organizations-root-sessions

Output:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Centralizzare l'accesso root per gli account dei membri nella Guida per l'utente AWS IAM.

Per abilitare un dispositivo MFA

Dopo aver utilizzato il comando create-virtual-mfa-device per creare un nuovo dispositivo MFA virtuale, è possibile assegnare il dispositivo MFA a un utente. L'esempio enable-mfa-device seguente assegna il dispositivo MFA con il numero di serie arn:aws:iam::210987654321:mfa/BobsMFADevice all'utente Bob. Il comando sincronizza inoltre il dispositivo con AWS l'inclusione dei primi due codici in sequenza dal dispositivo MFA virtuale.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Abilitazione di un dispositivo di autenticazione a più fattori (MFA) virtuale nella Guida per l'utente di AWS IAM.

Per abilitare la RootCredentialsManagement funzionalità nella tua organizzazione

Il enable-organizations-root-credentials-management comando seguente consente la gestione delle credenziali degli utenti root con privilegi tra gli account dei membri dell'organizzazione.

aws iam enable-organizations-root-credentials-management

Output:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Centralizzare l'accesso root per gli account dei membri nella Guida per l'utente AWS IAM.

Per abilitare la RootSessions funzionalità nella tua organizzazione

Il enable-organizations-root-sessions comando seguente consente all'account di gestione o all'amministratore delegato di eseguire attività privilegiate sugli account dei membri dell'organizzazione.

aws iam enable-organizations-root-sessions

Output:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Centralizzare l'accesso root per gli account dei membri nella Guida per l'utente AWS IAM.

Come generare un report delle credenziali

L'esempio seguente tenta di generare un rapporto sulle credenziali per l' AWS account.

aws iam generate-credential-report

Output:

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Per ulteriori informazioni, consulta Ottenere i report sulle credenziali per il tuo AWS account nella AWS IAM User Guide.

Esempio 1: generare un rapporto di accesso per una radice in un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per la radice specificata in un'organizzazione. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Output:

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Esempio 2: generare un rapporto di accesso per un account in un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per l'ID dell'account 123456789012 nell'organizzazioneo-4fxmplt198. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Output:

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Esempio 3: generare un rapporto di accesso per un account in un'unità organizzativa di un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per l'ID dell'account 234567890123 ou-c3xb-lmu7j2yg nell'unità organizzativa dell'organizzazioneo-4fxmplt198. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Output:

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Per ottenere dettagli sulle radici e sulle unità organizzative dell'organizzazione, utilizza i organizations list-organizational-units-for-parent comandi organizations list-roots and.

Per ulteriori informazioni, consulta Raffinamento delle autorizzazioni nell' AWS utilizzo delle ultime informazioni a cui si accede nella AWS IAM User Guide.

Esempio 1: generare un report di accesso al servizio per una policy personalizzata

L'esempio generate-service-last-accessed-details seguente avvia un processo in background per generare un report che elenca i servizi a cui accedono gli utenti IAM e altre entità con una policy personalizzata denominata intern-boundary. È possibile visualizzare il report dopo averlo creato eseguendo il comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Output:

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Esempio 2: generare un rapporto di accesso al servizio per la AdministratorAccess politica AWS gestita

L'generate-service-last-accessed-detailsesempio seguente avvia un processo in background per generare un report che elenca i servizi a cui accedono gli utenti IAM e altre entità con la AdministratorAccess policy AWS gestita. È possibile visualizzare il report dopo averlo creato eseguendo il comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Output:

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Per ulteriori informazioni, consulta Refining permissions in AWS using last access information nella AWS IAM User Guide.

Come recuperare informazioni sull'ultimo utilizzo della chiave di accesso specificata

L'esempio seguente recupera informazioni sull'ultimo utilizzo della chiave di accesso ABCDEXAMPLE.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Output:

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM AWS .

Per elencare gli utenti, i gruppi, i ruoli e le politiche IAM di un AWS account

Il get-account-authorization-details comando seguente restituisce informazioni su tutti gli utenti, i gruppi, i ruoli e le politiche IAM presenti nell' AWS account.

aws iam get-account-authorization-details

Output:

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::amzn-s3-demo-bucket",
                                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Per ulteriori informazioni, consulta Linee guida sugli audit di sicurezza AWS nella Guida per l'utente di IAM AWS .

Come visualizzare la policy delle password dell'account corrente

Il comando get-account-password-policy seguente visualizza dettagli sulla policy delle password per l'account corrente.

aws iam get-account-password-policy

Output:

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Se non è definita alcuna policy delle password per l'account, il comando restituisce un errore NoSuchEntity.

Per ulteriori informazioni, consulta Impostazione di una policy delle password dell'account per utenti IAM nella Guida per l'utente di IAM AWS .

Come ottenere informazioni sull'utilizzo delle entità IAM e sulle quote IAM nell'account corrente

Il comando get-account-summary seguente restituisce informazioni sull'utilizzo corrente delle entità IAM e sulle quote correnti delle entità IAM nell'account.

aws iam get-account-summary

Output:

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Per ulteriori informazioni sulle limitazioni delle entità, consulta le quote IAM e AWS STS nella AWS IAM User Guide.

Esempio 1: per elencare le chiavi di contesto a cui fanno riferimento una o più policy JSON personalizzate fornite come parametro nella riga di comando

Il comando get-context-keys-for-custom-policy seguente analizza ogni policy fornita ed elenca le chiavi di contesto utilizzate da tali policy. Utilizza questo comando per identificare i valori delle chiavi di contesto che è necessario fornire per utilizzare correttamente i comandi simulate-custom-policy e simulate-custom-policy del simulatore di policy. Puoi anche recuperare l'elenco delle chiavi di contesto utilizzate da tutte le policy associate da un utente o ruolo IAM utilizzando il comando get-context-keys-for-custom-policy. I parametri che iniziano con file:// indicano al comando di leggere il file e di utilizzarne il contenuto come valore del parametro al posto del nome del file.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Esempio 2: per elencare le chiavi di contesto a cui fanno riferimento una o più policy JSON personalizzate fornite come input di file

Il comando get-context-keys-for-custom-policy seguente è uguale all'esempio precedente tranne per il fatto che le policy vengono fornite in un file anziché come parametro. Poiché il comando prevede un elenco di stringhe JSON e non un elenco di strutture JSON, il file deve essere strutturato come segue, sebbene sia possibile comprimerlo in un unico file.

[
    "Policy1",
    "Policy2"
]

Ad esempio, un file che contiene la policy dell'esempio precedente deve avere l'aspetto seguente. È necessario effettuare l'escape di ogni virgoletta doppia incorporata nella stringa della policy facendola precedere da una barra rovesciata ''.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Questo file può quindi essere inviato al seguente comando.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Per ulteriori informazioni, consulta Using the IAM Policy Simulator (AWS CLI AWS e API) nella IAM User AWS Guide.

Per visualizzare le chiavi di contesto a cui fanno riferimento tutte le policy associate a un principale IAM

Il comando get-context-keys-for-principal-policy seguente recupera tutte le policy collegate all'utente saanvi e ai gruppi di cui è membro. Quindi analizza ciascuna di esse ed elenca le chiavi di contesto utilizzate da tali policy. Utilizza questo comando per identificare i valori delle chiavi di contesto che è necessario fornire per utilizzare correttamente i comandi simulate-custom-policy e simulate-principal-policy. È inoltre possibile recuperare l'elenco delle chiavi di contesto utilizzate da una policy JSON arbitraria utilizzando il comando get-context-keys-for-custom-policy.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Per ulteriori informazioni, consulta Using the IAM Policy Simulator (AWS CLI AWS e API) nella IAM User AWS Guide.