IAMesempi utilizzando AWS CLI

Per aggiungere un ID client (audience) a un provider Open-ID Connect (OIDC)

Il add-client-id-to-open-id-connect-provider comando seguente aggiunge l'ID client my-application-ID al OIDC provider denominatoserver.example.com.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Questo comando non produce alcun output.

Per creare un OIDC provider, utilizzare il create-open-id-connect-provider comando.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'AWS IAMutente.

Per aggiungere un ruolo a un profilo di istanza

Il add-role-to-instance-profile comando seguente aggiunge il ruolo denominato S3Access al profilo di istanza denominatoWebserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Questo comando non produce alcun output.

Per creare un profilo di istanza, utilizzate il create-instance-profile comando.

Per ulteriori informazioni, consulta Usare un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella Guida per l'AWS IAMutente.

Per aggiungere un utente a un IAM gruppo

Il add-user-to-group comando seguente aggiunge un IAM utente denominato Bob al IAM gruppo denominatoAdmins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Aggiungere e rimuovere utenti in un gruppo di IAM utenti nella Guida per l'AWS IAMutente.

Per allegare una politica gestita a un IAM gruppo

Il attach-group-policy comando seguente collega la politica AWS gestita denominata ReadOnlyAccess al IAM gruppo denominatoFinance.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Politiche gestite e politiche in linea nella Guida per l'AWS IAMutente.

Per allegare una politica gestita a un IAM ruolo

Il attach-role-policy comando seguente collega la politica AWS gestita denominata ReadOnlyAccess al IAM ruolo denominatoReadOnlyRole.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Politiche gestite e politiche in linea nella Guida per l'AWS IAMutente.

Per allegare una politica gestita a un IAM utente

Il attach-user-policy comando seguente collega la politica AWS gestita denominata AdministratorAccess all'IAMutente denominatoAlice.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Politiche gestite e politiche in linea nella Guida per l'AWS IAMutente.

Per modificare la password IAM dell'utente

Per modificare la password IAM dell'utente, si consiglia di utilizzare il --cli-input-json parametro per passare un JSON file contenente la vecchia e la nuova password. Utilizzando questo metodo, è possibile utilizzare password complesse con caratteri non alfanumerici. Può essere difficile utilizzare password con caratteri non alfanumerici quando le si passano come parametri della riga di comando. Per utilizzare il --cli-input-json parametro, iniziate a utilizzare il change-password comando con il --generate-cli-skeleton parametro, come nell'esempio seguente.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

Il comando precedente crea un JSON file chiamato change-password.json che potete utilizzare per inserire la vecchia e la nuova password. Ad esempio, il file potrebbe avere il seguente aspetto.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Quindi, per modificare la password, usa nuovamente il change-password comando, questa volta passando il --cli-input-json parametro per specificare il JSON file. Il change-password comando seguente utilizza il --cli-input-json parametro con un JSON file chiamato change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Questo comando non produce alcun output.

Questo comando può essere richiamato solo dagli utenti. IAM Se questo comando viene chiamato utilizzando le credenziali AWS dell'account (root), restituisce un InvalidUserType errore.

Per ulteriori informazioni, vedere Come un IAM utente modifica la propria password nella Guida per l'AWS IAMutente.

Per creare una chiave di accesso per un IAM utente

Il create-access-key comando seguente crea una chiave di accesso (ID della chiave di accesso e chiave di accesso segreta) per l'IAMutente denominatoBob.

aws iam create-access-key \
    --user-name Bob

Output:

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Conserva la chiave di accesso segreta in un luogo sicuro. Se viene persa, non può essere recuperata e dovrai creare una nuova chiave di accesso.

Per ulteriori informazioni, vedere Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'AWS IAMutente.

Come Creare l’alias di un account

Il create-account-alias comando seguente crea l'alias examplecorp per il tuo AWS account.

aws iam create-account-alias \
    --account-alias examplecorp

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta l'ID AWS dell'account e il relativo alias nella Guida per l'AWS IAMutente.

Per creare un IAM gruppo

Il create-group comando seguente crea un IAM gruppo denominatoAdmins.

aws iam create-group \
    --group-name Admins

Output:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Per ulteriori informazioni, vedere Creazione di gruppi di IAM utenti nella Guida AWS IAM per l'utente.

Come creare un profilo dell’istanza

Il comando create-instance-profile seguente crea un profilo dell’istanza denominato Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Output:

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Per aggiungere un ruolo a un profilo dell'istanza, usa il comando add-role-to-instance-profile.

Per ulteriori informazioni, consulta Usare un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella Guida per l'AWS IAMutente.

Per creare una password per un IAM utente

Per creare una password per un IAM utente, si consiglia di utilizzare il --cli-input-json parametro per passare un JSON file contenente la password. Utilizzando questo metodo, è possibile creare una password sicura con caratteri non alfanumerici. Può essere difficile creare una password con caratteri non alfanumerici quando la si passa come parametro della riga di comando.

Per utilizzare il --cli-input-json parametro, iniziate a utilizzare il create-login-profile comando con il --generate-cli-skeleton parametro, come nell'esempio seguente.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

Il comando precedente crea un JSON file chiamato create-login-profile .json che potete utilizzare per inserire le informazioni per un comando successivocreate-login-profile. Per esempio:

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Quindi, per creare una password per un IAM utente, utilizzate nuovamente il create-login-profile comando, questa volta passando il --cli-input-json parametro per specificare il JSON file. Il create-login-profile comando seguente utilizza il --cli-input-json parametro con un JSON file chiamato create-login-profile .json.

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Output:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Se la nuova password viola la politica relativa alle password dell'account, il comando restituisce un errore. PasswordPolicyViolation

Per modificare la password di un utente che ne ha già una, usaupdate-login-profile. Per impostare una politica di password per l'account, usa il update-account-password-policy comando.

Se la politica sulla password dell'account lo consente, IAM gli utenti possono modificare le proprie password utilizzando il change-password comando.

Per ulteriori informazioni, vedere Gestione delle password per IAM gli utenti nella Guida per l'AWS IAMutente.

Per creare un provider OpenID Connect () OIDC

Per creare un provider OpenID Connect (OIDC), consigliamo di utilizzare il --cli-input-json parametro per passare un JSON file che contenga i parametri richiesti. Quando crei un OIDC provider, devi passarne il nome e URL devi iniziare conhttps://. URL Può essere difficile passarlo URL come parametro della riga di comando, perché i caratteri due punti (:) e barra (/) hanno un significato speciale in alcuni ambienti della riga di comando. L'utilizzo del --cli-input-json parametro consente di aggirare questa limitazione.

Per utilizzare il --cli-input-json parametro, iniziate a utilizzare il create-open-id-connect-provider comando con il --generate-cli-skeleton parametro, come nell'esempio seguente.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

Il comando precedente crea un JSON file chiamato create-open-id-connect -provider.json che potete utilizzare per inserire le informazioni per un comando successivo. create-open-id-connect-provider Per esempio:

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Quindi, per creare il provider OpenID Connect (OIDC), utilizzate nuovamente il create-open-id-connect-provider comando, questa volta passando il --cli-input-json parametro per specificare il JSON file. Il create-open-id-connect-provider comando seguente utilizza il --cli-input-json parametro con un JSON file chiamato create-open-id-connect -provider.json.

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Output:

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Per ulteriori informazioni sui OIDC provider, vedete Creating OpenID Connect (OIDC) identity provider nella Guida per l'AWS IAMutente.

Per ulteriori informazioni su come ottenere impronte digitali per un OIDC provider, vedere Ottenere l'impronta personale per un provider di identità OpenID Connect nella Guida per l'utente.AWS IAM

Per creare una nuova versione di una policy gestita

Questo esempio crea una nuova v2 versione della IAM policy che ARN è arn:aws:iam::123456789012:policy/MyPolicy e la rende la versione predefinita.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Output:

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Per ulteriori informazioni, vedere IAMCriteri di controllo delle versioni nella Guida per l'AWS IAMutente.

Esempio 1: Come creare una policy gestita dal cliente

Il comando seguente crea una policy gestita dal cliente denominata my-policy.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy

Il file policy è un JSON documento nella cartella corrente che consente l'accesso in sola lettura alla shared cartella in un bucket Amazon S3 denominato. my-bucket

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/shared/*"
            ]
        }
    ]
}

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Per ulteriori informazioni sull'utilizzo dei file come input per i parametri delle stringhe, consulta Specificare i valori dei parametri per la AWS CLI nella Guida per l'utente.AWS CLI

Esempio 2: Come creare una policy gestita dal cliente con una descrizione

Il comando seguente crea una policy gestita dal cliente denominata my-policy con una descrizione non modificabile.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for my-bucket"

Il file policy.json è un JSON documento nella cartella corrente che consente l'accesso a tutte le azioni Put, List e Get per un bucket Amazon S3 denominato. my-bucket

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "s3:ListBucket*",
                 "s3:PutBucket*",
                 "s3:GetBucket*"
             ],
             "Resource": [
                 "arn:aws:s3:::my-bucket"
             ]
         }
     ]
 }

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Per ulteriori informazioni sulle politiche basate sull'identità, consulta Politiche basate sull'identità e politiche basate sulle risorse nella Guida per l'utente.AWS IAM

Esempio 3: Come creare una policy gestita dal cliente con tag

Il comando seguente crea una policy gestita dal cliente denominata my-policy con tag. Questo esempio utilizza il parametro flag con i seguenti tag in formato:. --tags JSON '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' In alternativa, il flag --tags può essere utilizzato con tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Il file policy.json è un JSON documento nella cartella corrente che consente l'accesso a tutte le azioni Put, List e Get per un bucket Amazon S3 denominato. my-bucket

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "s3:ListBucket*",
                 "s3:PutBucket*",
                 "s3:GetBucket*"
             ],
             "Resource": [
                 "arn:aws:s3:::my-bucket"
             ]
         }
     ]
 }

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {

        ]
    }
}

Per ulteriori informazioni sulle politiche di tagging, consulta Tagging customer managed policy nella Guida per l'utente.AWS IAM

Esempio 1: creare un IAM ruolo

Il comando create-role seguente crea un ruolo denominato Test-Role e collega una policy di attendibilità a tale ruolo.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Output:

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La politica di fiducia è definita come JSON documento nel file Test-Role-trust-policy.json. (Il nome e l'estensione del file non hanno importanza.) La policy di attendibilità deve specificare un principale.

Per collegare una policy di autorizzazioni a un ruolo, usa il comando put-role-policy.

Per ulteriori informazioni, consulta Creazione di ruoli nella Guida per l'utente. IAM AWS IAM

Esempio 2: creare un IAM ruolo con una durata massima della sessione specificata

Il comando create-role seguente crea un ruolo denominato Test-Role e imposta una durata massima della sessione di 7200 secondi (2 ore).

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Output:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Per ulteriori informazioni, vedere Modifica della durata massima della sessione di un ruolo (AWS API) nella Guida per l'AWS IAMutente.

Esempio 3: creare un IAM ruolo con tag

Il comando seguente crea un IAM ruolo Test-Role con tag. Questo esempio utilizza il --tags parametro flag con i seguenti tag JSON in formato:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' In alternativa, il flag --tags può essere utilizzato con tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Output:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Per ulteriori informazioni, vedere Tagging IAM roles nella User Guide.AWS IAM

Per creare un SAML provider

Questo esempio crea un nuovo SAML provider in IAM namedMySAMLProvider. È descritto dal documento di SAML metadati che si trova nel fileSAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Output:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Per ulteriori informazioni, consulta Creazione di provider di IAM SAML identità nella Guida per l'AWS IAMutente.

Come creare un ruolo collegato a un servizio

L'create-service-linked-roleesempio seguente crea un ruolo collegato al servizio per il AWS servizio specificato e allega la descrizione specificata.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Output:

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Per ulteriori informazioni, vedere Utilizzo dei ruoli collegati ai servizi nella Guida per l'utente.AWS IAM

Crea un set di credenziali specifiche del servizio per un utente

L'create-service-specific-credentialesempio seguente crea un nome utente e una password che possono essere utilizzati per accedere solo al servizio configurato.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Per ulteriori informazioni, consulta Create Git credenziali per HTTPS le connessioni CodeCommit nella Guida per l'AWS CodeCommit utente.

Esempio 1: creare un IAM utente

Il create-user comando seguente crea un IAM utente denominato Bob nell'account corrente.

aws iam create-user \
    --user-name Bob

Output:

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Per ulteriori informazioni, consulta Creazione di un IAM utente nel tuo AWS account nella Guida AWS IAM per l'utente.

Esempio 2: creare un IAM utente in un percorso specificato

Il create-user comando seguente crea un IAM utente denominato Bob nel percorso specificato.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Output:

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Per ulteriori informazioni, consultate IAMgli identificatori nella Guida per l'AWS IAMutente.

Esempio 3: creare un IAM utente con tag

Il create-user comando seguente crea un IAM utente denominato Bob con tag. Questo esempio utilizza il --tags parametro flag con i seguenti tag JSON in formato:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' In alternativa, il flag --tags può essere utilizzato con tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Output:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Per ulteriori informazioni, consulta Taggare IAM gli utenti nella Guida per l'AWS IAMutente.

Esempio 3: creare un IAM utente con un limite di autorizzazioni impostato

Il create-user comando seguente crea un IAM utente denominato Bob con il limite di autorizzazioni di AmazonS3. FullAccess

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Output:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità nella Guida per l'IAMutente.AWS IAM

Per creare un MFA dispositivo virtuale

Questo esempio crea un nuovo MFA dispositivo virtuale chiamatoBobsMFADevice. Crea un file che contiene le informazioni di bootstrap richiamate QRCode.png e le inserisce nella C:/ directory. Il metodo bootstrap utilizzato in questo esempio è. QRCodePNG

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Output:

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Per ulteriori informazioni, vedete Using Multi-Factor Authentication (MFA) AWS nella Guida per l'AWS IAMutente.

Per disattivare un dispositivo MFA

Questo comando disattiva il MFA dispositivo virtuale associato ARN arn:aws:iam::210987654321:mfa/BobsMFADevice all'utente. Bob

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Using Multi-Factor Authentication (MFA) AWS nella Guida per l'AWS IAMutente.

Per decodificare un messaggio di errore di autorizzazione

L'decode-authorization-messageesempio seguente decodifica il messaggio restituito dalla EC2 console quando si tenta di avviare un'istanza senza le autorizzazioni richieste.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

L'output è formattato come una stringa di testo a riga singola che può essere analizzata con qualsiasi elaboratore di JSON testo. JSON

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Per ulteriori informazioni, vedi Come posso decodificare un messaggio di errore di autorizzazione dopo aver ricevuto un errore "UnauthorizedOperation" durante l'avvio di un'istanza? EC2 in AWS Re:post.

Per eliminare una chiave di accesso per un IAM utente

Il delete-access-key comando seguente elimina la chiave di accesso specificata (ID della chiave di accesso e chiave di accesso segreta) per l'IAMutente denominatoBob.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Questo comando non produce alcun output.

Per elencare le chiavi di accesso definite per un IAM utente, utilizzare il list-access-keys comando.

Per ulteriori informazioni, vedere Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'AWS IAMutente.

Come eliminare l’alias di un account

Il comando delete-account-alias seguente rimuove l’alias mycompany per l’account corrente.

aws iam delete-account-alias \
    --account-alias mycompany

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta l'ID AWS dell'account e il relativo alias nella Guida per l'AWS IAMutente.

Per eliminare la politica corrente in materia di password dell'account

Il delete-account-password-policy comando seguente rimuove la politica relativa alle password per l'account corrente.

aws iam delete-account-password-policy

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'AWS IAMutente.

Per eliminare una politica da un IAM gruppo

Il comando delete-group-policy seguente elimina la policy denominata ExamplePolicy dal gruppo denominato Admins.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per visualizzare le policy collegate a un gruppo, usa il comando list-group-policies.

Per ulteriori informazioni, vedere Gestione delle IAM politiche nella Guida AWS IAM per l'utente.

Per eliminare un IAM gruppo

Il delete-group comando seguente elimina un IAM gruppo denominatoMyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Eliminazione di un gruppo di IAM utenti nella Guida per l'AWS IAMutente.

Come eliminare un profilo dell'istanza

Il comando delete-instance-profile seguente elimina un profilo dell’istanza denominato ExampleInstanceProfile.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Using instance profiles (Utilizzo dei profili di istanza) nella Guida per AWS IAM l'utente.

Per eliminare una password per un IAM utente

Il delete-login-profile comando seguente elimina la password per l'IAMutente denominatoBob.

aws iam delete-login-profile \
    --user-name Bob

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Gestione delle password per IAM gli utenti nella Guida per l'AWS IAMutente.

Per eliminare un provider di IAM identità OpenID Connect

Questo esempio elimina il IAM OIDC provider che si connette al provider. example.oidcprovider.com

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'AWS IAMutente.

Per eliminare una versione di una politica gestita

Questo esempio elimina la versione identificata come v2 dalla policy cui ARN èarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per eliminare una IAM politica

Questo esempio elimina la policy cui ARN èarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per eliminare un limite di autorizzazioni da un ruolo IAM

L'delete-role-permissions-boundaryesempio seguente elimina il limite delle autorizzazioni per il ruolo specificato. IAM Per applicare un limite di autorizzazioni a un ruolo, utilizzate il comando. put-role-permissions-boundary

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per rimuovere una politica da un IAM ruolo

Il comando delete-role-policy seguente rimuove la policy denominata ExamplePolicy dal ruolo denominato Test-Role.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modificare un ruolo nella Guida per l'AWS IAMutente.

Per eliminare un IAM ruolo

Il comando delete-role seguente rimuove il ruolo denominato Test-Role.

aws iam delete-role \
    --role-name Test-Role

Questo comando non produce alcun output.

Per poter eliminare un ruolo, devi prima rimuovere il ruolo da qualunque profilo dell’istanza (remove-role-from-instance-profile), scollegare eventuali policy gestite (detach-role-policy) ed eliminare tutte le policy inline collegate al ruolo (delete-role-policy).

Per ulteriori informazioni, consulta Creazione di IAM ruoli e Utilizzo dei profili di istanza nella Guida AWS IAM per l'utente.

Per eliminare un SAML provider

Questo esempio elimina il provider IAM SAML 2.0 il cui ARN èarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Creazione di provider di IAM SAML identità nella Guida per l'AWS IAMutente.

Per eliminare un certificato del server dal tuo AWS account

Il delete-server-certificate comando seguente rimuove il certificato del server specificato dal tuo AWS account.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Questo comando non produce alcun output.

Per elencare i certificati server disponibili nel tuo AWS account, usa il list-server-certificates comando.

Per ulteriori informazioni, consulta la sezione Gestione dei certificati del server IAM nella Guida AWS IAM per l'utente.

Come eliminare un ruolo collegato a un servizio

L’esempio delete-service-linked-role seguente elimina il ruolo collegato al servizio specificato che non è più necessario. L'eliminazione avviene in modo asincrono. Puoi anche controllare lo stato dell'eliminazione e confermare quando è stata completata utilizzando il comando get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Output:

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Per ulteriori informazioni, vedere Utilizzo dei ruoli collegati ai servizi nella Guida per l'AWS IAMutente.

Esempio 1: eliminare una credenziale specifica del servizio per l'utente richiedente

L'delete-service-specific-credentialesempio seguente elimina la credenziale specifica del servizio specificata per l'utente che effettua la richiesta. service-specific-credential-idViene fornita al momento della creazione della credenziale ed è possibile recuperarla utilizzando il comando. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Questo comando non produce alcun output.

Esempio 2: Eliminare una credenziale specifica del servizio per un utente specificato

L'delete-service-specific-credentialesempio seguente elimina la credenziale specifica del servizio specificata per l'utente specificato. service-specific-credential-idViene fornita al momento della creazione della credenziale ed è possibile recuperarla utilizzando il comando. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Create Git credenziali per HTTPS le connessioni CodeCommit nella Guida per l'AWS CodeCommit utente.

Per eliminare un certificato di firma per un IAM utente

Il delete-signing-certificate comando seguente elimina il certificato di firma specificato per l'IAMutente denominatoBob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Questo comando non produce alcun output.

Per ottenere l'ID per un certificato di firma, usa il list-signing-certificates comando.

Per ulteriori informazioni, consulta Gestire i certificati di firma nella Amazon EC2 User Guide.

Per eliminare una chiave SSH pubblica allegata a un IAM utente

Il delete-ssh-public-key comando seguente elimina la chiave SSH pubblica specificata allegata all'IAMutentesofia.

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Use SSH keys and SSH with CodeCommit nella Guida per l'AWS IAMutente.

Per eliminare un limite di autorizzazioni da un utente IAM

L'delete-user-permissions-boundaryesempio seguente elimina il limite delle autorizzazioni associato all'utente denominato. IAM intern Per applicare un limite di autorizzazioni a un utente, utilizzate il comando. put-user-permissions-boundary

aws iam delete-user-permissions-boundary \
    --user-name intern

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per rimuovere una politica da un IAM utente

Il delete-user-policy comando seguente rimuove la politica specificata dal nome IAM utenteBob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per ottenere un elenco di politiche per un IAM utente, utilizzare il list-user-policies comando.

Per ulteriori informazioni, consulta Creazione di un IAM utente nel tuo AWS account nella Guida AWS IAM per l'utente.

Per eliminare un IAM utente

Il delete-user comando seguente rimuove l'IAMutente denominato Bob dall'account corrente.

aws iam delete-user \
    --user-name Bob

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Eliminazione di un IAM utente nella Guida per l'AWS IAMutente.

Per rimuovere un MFA dispositivo virtuale

Il delete-virtual-mfa-device comando seguente rimuove il MFA dispositivo specificato dall'account corrente.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere MFADisattivazione dei dispositivi nella Guida per l'AWS IAMutente.

Per scollegare una politica da un gruppo

Questo esempio rimuove la politica gestita con il ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy dal gruppo chiamatoTesters.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Gestione dei gruppi di IAM utenti nella Guida AWS IAM per l'utente.

Come scollegare una policy da un ruolo

Questo esempio rimuove la politica gestita con il ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy dal ruolo chiamatoFedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Modifica di un ruolo nella Guida per l'AWS IAMutente.

Come scollegare una policy da un utente

Questo esempio rimuove la policy gestita con l'ARNarn:aws:iam::123456789012:policy/TesterPolicyutenteBob.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Modifica delle autorizzazioni per un IAM utente nella Guida per l'AWS IAMutente.

Per abilitare un MFA dispositivo

Dopo aver utilizzato il create-virtual-mfa-device comando per creare un nuovo MFA dispositivo virtuale, è possibile assegnare il MFA dispositivo a un utente. L'enable-mfa-deviceesempio seguente assegna il MFA dispositivo con il numero di serie arn:aws:iam::210987654321:mfa/BobsMFADevice all'utente. Bob Il comando sincronizza inoltre il dispositivo con il dispositivo virtuale AWS MFA includendo i primi due codici in sequenza.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Abilitazione di un dispositivo virtuale di autenticazione a più fattori (MFA) nella Guida per l'AWS IAMutente.

Come generare un report delle credenziali

L'esempio seguente tenta di generare un rapporto sulle credenziali per l' AWS account.

aws iam generate-credential-report

Output:

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Per ulteriori informazioni, consulta Ottenere i report sulle credenziali per il tuo AWS account nella Guida per l'AWS IAMutente.

Esempio 1: generare un rapporto di accesso per una radice in un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per la radice specificata in un'organizzazione. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Output:

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Esempio 2: generare un rapporto di accesso per un account in un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per l'ID dell'account 123456789012 nell'organizzazioneo-4fxmplt198. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Output:

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Esempio 3: generare un rapporto di accesso per un account in un'unità organizzativa di un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per l'ID dell'account 234567890123 ou-c3xb-lmu7j2yg nell'unità organizzativa dell'organizzazioneo-4fxmplt198. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Output:

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Per ottenere dettagli sulle radici e sulle unità organizzative dell'organizzazione, utilizza i organizations list-organizational-units-for-parent comandi organizations list-roots and.

Per ulteriori informazioni, vedere Perfezionamento delle autorizzazioni nell' AWS uso delle informazioni dell'ultimo accesso nella Guida per l'AWS IAMutente.

Esempio 1: generare un rapporto di accesso al servizio per una politica personalizzata

L'generate-service-last-accessed-detailsesempio seguente avvia un processo in background per generare un report che elenca i servizi a cui accedono IAM gli utenti e altre entità con una politica personalizzata denominataintern-boundary. È possibile visualizzare il report dopo averlo creato eseguendo il get-service-last-accessed-details comando.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Output:

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Esempio 2: generare un rapporto di accesso al servizio per la AdministratorAccess politica AWS gestita

L'generate-service-last-accessed-detailsesempio seguente avvia un processo in background per generare un report che elenca i servizi a cui accedono IAM gli utenti e altre entità con la AdministratorAccess politica AWS gestita. È possibile visualizzare il report dopo averlo creato eseguendo il get-service-last-accessed-details comando.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Output:

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Per ulteriori informazioni, vedere Perfezionamento delle autorizzazioni nell' AWS utilizzo delle informazioni dell'ultimo accesso nella Guida per l'AWS IAMutente.

Come recuperare informazioni sull’ultimo utilizzo della chiave di accesso specificata

L'esempio seguente recupera informazioni sull’ultimo utilizzo della chiave di accesso ABCDEXAMPLE.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Output:

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Per ulteriori informazioni, vedere Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'AWS IAMutente.

Per elencare un AWS account IAM utenti, gruppi, ruoli e politiche

Il get-account-authorization-details comando seguente restituisce informazioni su tutti IAM gli utenti, i gruppi, i ruoli e le politiche dell' AWS account.

aws iam get-account-authorization-details

Output:

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::example-bucket",
                                    "arn:aws:s3:::example-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Per ulteriori informazioni, consulta le linee guida per il controllo di AWS sicurezza nella Guida AWS IAM per l'utente.

Come visualizzare la policy delle password dell'account corrente

Il comando get-account-password-policy seguente visualizza dettagli sulla policy delle password per l'account corrente.

aws iam get-account-password-policy

Output:

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Se non è definita alcuna policy delle password per l'account, il comando restituisce un errore NoSuchEntity.

Per ulteriori informazioni, vedere Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'AWS IAMutente.

Per ottenere informazioni sull'utilizzo delle IAM entità e sulle IAM quote nell'account corrente

Il get-account-summary comando seguente restituisce informazioni sull'utilizzo corrente dell'IAMentità e sulle quote correnti delle IAM entità nell'account.

aws iam get-account-summary

Output:

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Per ulteriori informazioni sulle limitazioni delle entità, consulta IAMe sulle AWS STS quote nella Guida per l'AWS IAMutente.

Esempio 1: per elencare le chiavi di contesto a cui fanno riferimento una o più JSON politiche personalizzate fornite come parametro nella riga di comando

Il get-context-keys-for-custom-policy comando seguente analizza ogni politica fornita ed elenca le chiavi di contesto utilizzate da tali politiche. Utilizzate questo comando per identificare quali valori chiave di contesto è necessario fornire per utilizzare correttamente i comandi simulate-custom-policy del simulatore di politiche e. simulate-custom-policy È inoltre possibile recuperare l'elenco delle chiavi di contesto utilizzate da tutte le politiche associate da un IAM utente o da un ruolo utilizzando il get-context-keys-for-custom-policy comando. I valori dei parametri che iniziano con file:// indicano al comando di leggere il file e di utilizzare il contenuto come valore per il parametro anziché il nome del file stesso.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Esempio 2: elencare le chiavi di contesto a cui fanno riferimento una o più JSON politiche personalizzate fornite come input del file

Il get-context-keys-for-custom-policy comando seguente è lo stesso dell'esempio precedente, tranne per il fatto che le politiche vengono fornite in un file anziché come parametro. Poiché il comando prevede un JSON elenco di stringhe e non un elenco di JSON strutture, il file deve essere strutturato come segue, sebbene sia possibile comprimerlo in un unico file.

[
    "Policy1",
    "Policy2"
]

Ad esempio, un file che contiene la politica dell'esempio precedente deve avere l'aspetto seguente. È necessario evitare ogni virgoletta doppia incorporata nella stringa di policy facendola precedere da una barra rovesciata».

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Questo file può quindi essere inviato al seguente comando.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Per ulteriori informazioni, vedere Using the IAM Policy Simulator (AWS CLIand AWS API) nella Guida per l'AWS IAMutente.

Per elencare le chiavi di contesto a cui fanno riferimento tutte le politiche associate a un principale IAM

Il get-context-keys-for-principal-policy comando seguente recupera tutte le politiche allegate all'utente saanvi e ai gruppi di cui è membro. Quindi analizza ciascuna di esse ed elenca le chiavi di contesto utilizzate da tali politiche. Utilizzate questo comando per identificare i valori delle chiavi di contesto che dovete fornire per utilizzare correttamente simulate-principal-policy i comandi simulate-custom-policy and. È inoltre possibile recuperare l'elenco delle chiavi di contesto utilizzate da una JSON politica arbitraria utilizzando il get-context-keys-for-custom-policy comando.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Per ulteriori informazioni, vedere Using the IAM Policy Simulator (AWS CLIand AWS API) nella Guida per l'AWS IAMutente.

Come ottenere un report delle credenziali

Questo esempio apre il report restituito e lo invia alla pipeline come array di righe di testo.

aws iam get-credential-report

Output:

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Per ulteriori informazioni, consulta Ottenere i report sulle credenziali per il tuo AWS account nella Guida per l'AWS IAMutente.

Per ottenere informazioni su una politica associata a un IAM gruppo

Il get-group-policy comando seguente ottiene informazioni sulla politica specificata allegata al gruppo denominatoTest-Group.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Output:

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Per ulteriori informazioni, vedere Gestione delle IAM politiche nella Guida AWS IAM per l'utente.

Per creare un IAM gruppo

Questo esempio restituisce dettagli sul IAM gruppoAdmins.

aws iam get-group \
    --group-name Admins

Output:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Per ulteriori informazioni, vedere IAMIdentità (utenti, gruppi di utenti e ruoli) nella Guida per l'AWS IAMutente.

Per ottenere informazioni sul profilo di un'istanza

Il get-instance-profile comando seguente ottiene informazioni sul profilo di istanza denominatoExampleInstanceProfile.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Output:

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Per ulteriori informazioni, vedere Utilizzo dei profili di istanza nella Guida AWS IAM per l'utente.

Per ottenere informazioni sulla password di un IAM utente

Il get-login-profile comando seguente consente di ottenere informazioni sulla password per l'IAMutente denominatoBob.

aws iam get-login-profile \
    --user-name Bob

Output:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

Il get-login-profile comando può essere utilizzato per verificare che un IAM utente disponga di una password. Il comando restituisce un NoSuchEntity errore se non è definita alcuna password per l'utente.

Non è possibile visualizzare una password utilizzando questo comando. Se la password viene persa, è possibile reimpostare la password (update-login-profile) per l'utente. In alternativa, è possibile eliminare il profilo di accesso (delete-login-profile) per l'utente e quindi crearne uno nuovo (create-login-profile).

Per ulteriori informazioni, consulta Gestione delle password per IAM gli utenti nella Guida per l'AWS IAMutente.

Per recuperare informazioni su una chiave di FIDO sicurezza

Il seguente esempio di get-mfa-device comando recupera informazioni sulla chiave di FIDO sicurezza specificata.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Output:

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Per ulteriori informazioni, vedete Using Multi-Factor Authentication (MFA) AWS nella Guida per l'AWS IAMutente.

Per restituire informazioni sul provider OpenID Connect specificato

Questo esempio restituisce dettagli sul provider OpenID Connect il cui ARN nome è. arn:aws:iam::123456789012:oidc-provider/server.example.com

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Output:

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'AWS IAMutente.

Per recuperare un rapporto di accesso

L'get-organizations-access-reportesempio seguente visualizza un rapporto di accesso generato in precedenza per un'entità AWS Organizations. Per generare un report, utilizzare il generate-organizations-access-report comando.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Output:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Per ulteriori informazioni, vedere Perfezionamento delle autorizzazioni nell' AWS uso delle informazioni dell'ultimo accesso nella Guida per l'AWS IAMutente.

Come recuperare informazioni sulla versione specificata della policy gestita specificata

Questo esempio restituisce il documento di policy per la versione v2 della policy il cui ARN èarn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Output:

{
    "PolicyVersion": {
        "Document": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Come recuperare informazioni sulla policy gestita specificata

Questo esempio restituisce dettagli sulla politica gestita di cui ARN èarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Output:

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per ottenere informazioni su una politica associata a un IAM ruolo

Il get-role-policy comando seguente ottiene informazioni sulla politica specificata allegata al ruolo denominatoTest-Role.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Output:

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Per ulteriori informazioni, vedere Creazione di IAM ruoli nella Guida AWS IAM per l'utente.

Per ottenere informazioni su un IAM ruolo

Il comando get-role seguente ottiene informazioni sul ruolo denominato Test-Role.

aws iam get-role \
    --role-name Test-Role

Output:

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

Il comando visualizza la policy di attendibilità associata al ruolo. Per elencare le policy di autorizzazioni collegate a un ruolo, usa il comando list-role-policies.

Per ulteriori informazioni, consulta Creazione di IAM ruoli nella Guida AWS IAM per l'utente.

Per recuperare il metadocumento del SAML provider

Questo esempio recupera i dettagli sul provider 2.0 il cui nome èSAML. ARM arn:aws:iam::123456789012:saml-provider/SAMLADFS La risposta include il documento di metadati ricevuto dal provider di identità per creare l'entità AWS SAML provider, nonché le date di creazione e scadenza.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Output:

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Creazione di provider di IAM SAML identità nella Guida per l'AWS IAMutente.

Per ottenere dettagli su un certificato server nel tuo AWS account

Il get-server-certificate comando seguente recupera tutti i dettagli sul certificato server specificato nel tuo AWS account.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Output:

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Per elencare i certificati server disponibili nel tuo AWS account, usa il list-server-certificates comando.

Per ulteriori informazioni, consulta la sezione Gestione dei certificati del server IAM nella Guida AWS IAM per l'utente.

Per recuperare un rapporto di accesso al servizio con i dettagli relativi a un servizio

L'get-service-last-accessed-details-with-entitiesesempio seguente recupera un report che contiene dettagli sugli IAM utenti e altre entità che hanno avuto accesso al servizio specificato. Per generare un report, utilizzare il generate-service-last-accessed-details comando. Per ottenere un elenco di servizi a cui si accede con i namespace, usa. get-service-last-accessed-details

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Output:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Per ulteriori informazioni, consulta Ridefinizione delle autorizzazioni nell' AWS uso delle informazioni dell'ultimo accesso nella Guida per l'utente.AWS IAM

Per recuperare un rapporto di accesso al servizio

L'get-service-last-accessed-detailsesempio seguente recupera un report generato in precedenza che elenca i servizi a cui accedono le entità. IAM Per generare un report, utilizzare il generate-service-last-accessed-details comando.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Output:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Per ulteriori informazioni, vedere Perfezionamento delle autorizzazioni nell' AWS uso delle informazioni dell'ultimo accesso nella Guida per l'AWS IAMutente.

Come verificare lo stato di una richiesta di eliminazione di un ruolo collegato a un servizio

L’esempio get-service-linked-role-deletion-status seguente visualizza lo stato di una precedente richiesta di eliminazione di un ruolo collegato a un servizio. L'operazione di eliminazione avviene in modo asincrono. Quando effettui la richiesta, ottieni un valore DeletionTaskId che hai fornito come parametro per questo comando.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Output:

{
"Status": "SUCCEEDED"
}

Per ulteriori informazioni, vedere Utilizzo dei ruoli collegati ai servizi nella Guida per l'AWS IAMutente.

Esempio 1: recuperare una chiave SSH pubblica allegata a un IAM utente in forma SSH codificata

Il get-ssh-public-key comando seguente recupera la chiave SSH pubblica specificata dall'utente. IAM sofia L'output è in SSH codifica.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Output:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Esempio 2: recuperare una chiave SSH pubblica allegata a un IAM utente in PEM forma codificata

Il get-ssh-public-key comando seguente recupera la chiave SSH pubblica specificata dall'utente. IAM sofia L'output è in PEM codifica.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Output:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Per ulteriori informazioni, consulta Use SSH keys and SSH with CodeCommit nella Guida per l'AWS IAMutente.

Per elencare i dettagli delle politiche per un IAM utente

Il get-user-policy comando seguente elenca i dettagli della politica specificata allegata all'IAMutente denominatoBob.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Output:

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Per ottenere un elenco di politiche per un IAM utente, utilizzare il list-user-policies comando.

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per ottenere informazioni su un IAM utente

Il get-user comando seguente consente di ottenere informazioni sull'IAMutente denominatoPaulo.

aws iam get-user \
    --user-name Paulo

Output:

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Per ulteriori informazioni, vedere Gestione IAM degli utenti nella Guida AWS IAM per l'utente.

Per elencare la chiave di accesso IDs di un IAM utente

Il list-access-keys comando seguente elenca le chiavi di accesso IDs per l'IAMutente denominatoBob.

aws iam list-access-keys \
    --user-name Bob

Output:

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

Non è possibile elencare le chiavi di accesso segrete per IAM gli utenti. Se le chiavi di accesso segrete vengono perse, devi creare nuove chiavi di accesso utilizzando il comando create-access-keys.

Per ulteriori informazioni, vedere Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'AWS IAMutente.

Elencare gli alias di un account

Il comando list-account-aliases seguente elenca gli alias per l'account corrente.

aws iam list-account-aliases

Output:

{
    "AccountAliases": [
    "mycompany"
    ]
}

Per ulteriori informazioni, consulta l'ID AWS dell'account e il relativo alias nella Guida per l'AWS IAMutente.

Per elencare tutte le politiche gestite allegate al gruppo specificato

Questo esempio restituisce i nomi e ARNs le politiche gestite allegate al IAM gruppo denominato Admins nell' AWS account.

aws iam list-attached-group-policies \
    --group-name Admins

Output:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Come elencare tutte le policy gestite collegate al ruolo specificato

Questo comando restituisce i nomi e ARNs le politiche gestite allegate al IAM ruolo denominato SecurityAuditRole nell' AWS account.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Output:

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per elencare tutte le politiche gestite allegate all'utente specificato

Questo comando restituisce i nomi e ARNs le politiche gestite per l'IAMutente denominato Bob nell' AWS account.

aws iam list-attached-user-policies \
    --user-name Bob

Output:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per elencare tutti gli utenti, i gruppi e i ruoli a cui è associata la politica gestita specificata

Questo esempio restituisce un elenco di IAM gruppi, ruoli e utenti a cui è arn:aws:iam::123456789012:policy/TestPolicy associata la politica.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Output:

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per elencare tutte le politiche in linea allegate al gruppo specificato

Il list-group-policies comando seguente elenca i nomi delle politiche in linea allegate al IAM gruppo denominato Admins nell'account corrente.

aws iam list-group-policies \
    --group-name Admins

Output:

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Per ulteriori informazioni, vedere Gestione delle IAM politiche nella Guida per l'AWS IAMutente.

Per elencare i gruppi a cui appartiene un IAM utente

Il list-groups-for-user comando seguente visualizza i gruppi a cui Bob appartiene l'IAMutente denominato.

aws iam list-groups-for-user \
    --user-name Bob

Output:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Per ulteriori informazioni, vedere Gestione dei gruppi di IAM utenti nella Guida AWS IAM per l'utente.

Per elencare i IAM gruppi per l'account corrente

Il list-groups comando seguente elenca i IAM gruppi presenti nell'account corrente.

aws iam list-groups

Output:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Per ulteriori informazioni, vedere Gestione dei gruppi di IAM utenti nella Guida AWS IAM per l'utente.

Per elencare i tag associati a un profilo di istanza

Il list-instance-profile-tags comando seguente recupera l'elenco dei tag associati al profilo di istanza specificato.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, vedete Tagging IAM resources nella AWS IAMUser Guide.

Per elencare i profili di istanza per un IAM ruolo

Il list-instance-profiles-for-role comando seguente elenca i profili di istanza associati al ruoloTest-Role.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Output:

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Per ulteriori informazioni, vedere Utilizzo dei profili di istanza nella Guida AWS IAM per l'utente.

Per elencare i profili di istanza per l'account

Il list-instance-profiles comando seguente elenca i profili di istanza associati all'account corrente.

aws iam list-instance-profiles

Output:

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Per ulteriori informazioni, vedere Utilizzo dei profili di istanza nella Guida AWS IAM per l'utente.

Per elencare i tag allegati a un MFA dispositivo

Il list-mfa-device-tags comando seguente recupera l'elenco dei tag associati al MFA dispositivo specificato.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per elencare tutti MFA i dispositivi per un utente specificato

Questo esempio restituisce dettagli sul MFA dispositivo assegnato all'IAMutenteBob.

aws iam list-mfa-devices \
    --user-name Bob

Output:

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Per ulteriori informazioni, vedete Using Multi-Factor Authentication (MFA) AWS nella Guida per l'AWS IAMutente.

Per elencare i tag allegati a un provider di identità compatibile con OpenID Connect (OIDC)

Il list-open-id-connect-provider-tags comando seguente recupera l'elenco dei tag associati al provider di identità specificatoOIDC.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per elencare informazioni sui provider OpenID Connect presenti nell'account AWS

Questo esempio restituisce un elenco ARNS di tutti i provider OpenID Connect definiti nell'account corrente AWS .

aws iam list-open-id-connect-providers

Output:

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'AWS IAMutente.

Per elencare le politiche che garantiscono l'accesso principale al servizio specificato

L'list-policies-granting-service-accessesempio seguente recupera l'elenco delle politiche che concedono IAM all'utente l'sofiaaccesso al AWS CodeCommit servizio.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Output:

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Utilizzare IAM con CodeCommit: credenziali Git, SSH chiavi e chiavi di AWS accesso nella Guida per l'AWS IAMutente.

Per elencare le politiche gestite disponibili per il tuo AWS account

Questo esempio restituisce una raccolta delle prime due politiche gestite disponibili nell' AWS account corrente.

aws iam list-policies \
    --max-items 3

Output:

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Per ulteriori informazioni, consulta la sezione Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per elencare i tag allegati a una politica gestita

Il list-policy-tags comando seguente recupera l'elenco dei tag associati alla politica gestita specificata.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, vedere Tagging IAM resources nella AWS IAMUser Guide.

Per elencare informazioni sulle versioni della politica gestita specificata

Questo esempio restituisce l'elenco delle versioni disponibili della politica la cui ARN èarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Output:

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per elencare le politiche associate a un IAM ruolo

Il list-role-policies comando seguente elenca i nomi delle politiche di autorizzazione per il IAM ruolo specificato.

aws iam list-role-policies \
    --role-name Test-Role

Output:

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Per consultare la policy di attendibilità collegata a un ruolo, usa il comando get-role. Per visualizzare i dettagli di una policy di autorizzazioni, usa il comando get-role-policy.

Per ulteriori informazioni, vedere Creazione di IAM ruoli nella Guida per l'AWS IAMutente.

Per elencare i tag associati a un ruolo

Il list-role-tags comando seguente recupera l'elenco dei tag associati al ruolo specificato.

aws iam list-role-tags \
    --role-name production-role

Output:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per elencare IAM i ruoli per l'account corrente

Il list-roles comando seguente elenca IAM i ruoli per l'account corrente.

aws iam list-roles

Output:

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Per ulteriori informazioni, vedere Creazione di IAM ruoli nella Guida AWS IAM per l'utente.

Per elencare i tag associati a un SAML provider

Il list-saml-provider-tags comando seguente recupera l'elenco dei tag associati al SAML provider specificato.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per elencare i SAML provider presenti nell' AWS account

Questo esempio recupera l'elenco dei provider SAML 2.0 creati nell' AWS account corrente.

aws iam list-saml-providers

Output:

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Per ulteriori informazioni, vedere Creazione di provider di IAM SAML identità nella Guida per l'AWS IAMutente.

Per elencare i tag allegati a un certificato del server

Il list-server-certificate-tags comando seguente recupera l'elenco dei tag associati al certificato del server specificato.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, vedere Tagging IAM resources nella AWS IAMUser Guide.

Per elencare i certificati del server presenti nel tuo AWS account

Il list-server-certificates comando seguente elenca tutti i certificati server archiviati e disponibili per l'uso nell' AWS account.

aws iam list-server-certificates

Output:

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Per ulteriori informazioni, consulta la sezione Gestione dei certificati del server IAM nella Guida AWS IAM per l'utente.

Esempio 1: Elenca le credenziali specifiche del servizio per un utente

L'list-service-specific-credentialsesempio seguente visualizza tutte le credenziali specifiche del servizio assegnate all'utente specificato. Le password non sono incluse nella risposta.

aws iam list-service-specific-credentials \
    --user-name sofia

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Esempio 2: Elenca le credenziali specifiche del servizio per un utente filtrato in base a un servizio specifico

L'list-service-specific-credentialsesempio seguente visualizza le credenziali specifiche del servizio assegnate all'utente che effettua la richiesta. L'elenco viene filtrato per includere solo le credenziali per il servizio specificato. Le password non sono incluse nella risposta.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Per ulteriori informazioni, consulta Create Git credenziali per HTTPS le connessioni CodeCommit nella Guida per l'AWS CodeCommit utente.

Per recuperare un elenco di credenziali

L'list-service-specific-credentialsesempio seguente elenca le credenziali generate per HTTPS l'accesso ai AWS CodeCommit repository per un utente denominato. developer

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Output:

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Per ulteriori informazioni, consulta Create Git credenziali per HTTPS le connessioni CodeCommit nella Guida per l'AWS CodeCommit utente.

Per elencare i certificati di firma per un IAM utente

Il list-signing-certificates comando seguente elenca i certificati di firma per l'IAMutente denominatoBob.

aws iam list-signing-certificates \
    --user-name Bob

Output:

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Per ulteriori informazioni, consulta Gestire i certificati di firma nella Amazon EC2 User Guide.

Per elencare le chiavi SSH pubbliche allegate a un IAM utente

L'list-ssh-public-keysesempio seguente elenca le chiavi SSH pubbliche allegate all'IAMutentesofia.

aws iam list-ssh-public-keys \
    --user-name sofia

Output:

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Per ulteriori informazioni, consulta Use SSH keys and SSH with CodeCommit nella Guida AWS IAM per l'utente

Per elencare le politiche per un IAM utente

Il list-user-policies comando seguente elenca le politiche allegate all'IAMutente denominatoBob.

aws iam list-user-policies \
    --user-name Bob

Output:

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Per ulteriori informazioni, consulta Creazione di un IAM utente nel tuo AWS account nella Guida AWS IAM per l'utente.

Per elencare i tag associati a un utente

Il list-user-tags comando seguente recupera l'elenco dei tag associati all'IAMutente specificato.

aws iam list-user-tags \
    --user-name alice

Output:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per elencare IAM gli utenti

Il list-users comando seguente elenca gli IAM utenti dell'account corrente.

aws iam list-users

Output:

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Per ulteriori informazioni, consulta Elencare IAM gli utenti nella Guida AWS IAM per l'utente.

Per elencare MFA i dispositivi virtuali

Il list-virtual-mfa-devices comando seguente elenca i MFA dispositivi virtuali che sono stati configurati per l'account corrente.

aws iam list-virtual-mfa-devices

Output:

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Per ulteriori informazioni, vedere Abilitazione di un dispositivo virtuale di autenticazione a più fattori (MFA) nella Guida per l'AWS IAMutente.

Come aggiungere una policy a un gruppo

Il put-group-policy comando seguente aggiunge una politica al IAM gruppo denominatoAdmins.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Questo comando non produce alcun output.

La policy è definita come JSON documento nel AdminPolicyfile.json. (Il nome e l'estensione del file non hanno importanza.)

Per ulteriori informazioni, vedere Gestione delle IAM politiche nella Guida per l'AWS IAMutente.

Esempio 1: applicare a un ruolo un limite di autorizzazioni basato su una politica personalizzata IAM

L'put-role-permissions-boundaryesempio seguente applica la politica personalizzata intern-boundary denominata limite delle autorizzazioni per il ruolo specificato. IAM

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Questo comando non produce alcun output.

Esempio 2: applicare a un ruolo un limite di autorizzazioni basato su una politica AWS gestita IAM

L'put-role-permissions-boundaryesempio seguente applica la PowerUserAccess politica AWS gestita come limite delle autorizzazioni per il ruolo specificato. IAM

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Modifica di un ruolo nella Guida per l'AWS IAMutente.

Per allegare una politica di autorizzazioni a un ruolo IAM

Il comando put-role-policy seguente aggiunge una policy di autorizzazioni al ruolo denominato Test-Role.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Questo comando non produce alcun output.

La policy è definita come JSON documento nel AdminPolicyfile.json. (Il nome e l'estensione del file non hanno importanza.)

Per collegare una policy di attendibilità a un ruolo, usa il comando update-assume-role-policy.

Per ulteriori informazioni, consulta Modificare un ruolo nella Guida per l'AWS IAMutente.

Esempio 1: applicare a un utente un limite di autorizzazioni basato su una politica personalizzata IAM

L'put-user-permissions-boundaryesempio seguente applica una politica personalizzata intern-boundary denominata limite delle autorizzazioni per l'utente specificato. IAM

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Questo comando non produce alcun output.

Esempio 2: applicare a un utente un limite di autorizzazioni basato su una politica AWS gestita IAM

L'put-user-permissions-boundaryesempio seguente applica la policy AWS gestita PowerUserAccess denominata limite delle autorizzazioni per l'utente specificato. IAM

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'utente.AWS IAM

Per allegare una politica a un IAM utente

Il put-user-policy comando seguente allega una politica all'IAMutente denominatoBob.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Questo comando non produce alcun output.

La policy è definita come JSON documento nel AdminPolicyfile.json. (Il nome e l'estensione del file non hanno importanza.)

Per ulteriori informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'AWS IAMutente.

Per rimuovere l'ID client specificato dall'elenco dei client IDs registrati per il provider IAM OpenID Connect specificato

Questo esempio rimuove l'ID client My-TestApp-3 dall'elenco dei client IDs associati al IAM OIDC provider il cui nome ARN èarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'AWS IAMutente.

Per rimuovere un ruolo da un profilo di istanza

Il remove-role-from-instance-profile comando seguente rimuove il ruolo denominato Test-Role dal profilo di istanza denominatoExampleInstanceProfile.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Per ulteriori informazioni, vedere Utilizzo dei profili di istanza nella Guida AWS IAM per l'utente.

Per rimuovere un utente da un IAM gruppo

Il remove-user-from-group comando seguente rimuove l'utente denominato Bob dal IAM gruppo denominatoAdmins.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Aggiungere e rimuovere utenti in un gruppo di IAM utenti nella Guida per l'AWS IAMutente.

Esempio 1: reimpostazione della password per una credenziale specifica del servizio allegata all'utente che effettua la richiesta

L'reset-service-specific-credentialesempio seguente genera una nuova password crittograficamente sicura per la credenziale specifica del servizio specificata allegata all'utente che effettua la richiesta.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Esempio 2: reimpostazione della password per una credenziale specifica del servizio allegata a un utente specificato

L'reset-service-specific-credentialesempio seguente genera una nuova password crittograficamente sicura per una credenziale specifica del servizio allegata all'utente specificato.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Per ulteriori informazioni, consulta Create Git credenziali per HTTPS le connessioni CodeCommit nella Guida per l'AWS CodeCommit utente.

Per sincronizzare un dispositivo MFA

L'resync-mfa-deviceesempio seguente sincronizza il MFA dispositivo associato all'IAMutente Bob e il cui dispositivo ARN è arn:aws:iam::123456789012:mfa/BobsMFADevice con un programma di autenticazione che ha fornito i due codici di autenticazione.

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Questo comando non produce alcun output.

Per ulteriori informazioni, vedete Using Multi-Factor Authentication (MFA) AWS nella Guida per l'utente.AWS IAM

Per impostare la versione specificata della politica specificata come versione predefinita della politica.

Questo esempio imposta la v2 versione della politica ARN utilizzata arn:aws:iam::123456789012:policy/MyPolicy come versione attiva predefinita.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Per ulteriori informazioni, vedere Politiche e autorizzazioni IAM nella Guida per l'AWS IAMutente.

Per impostare la versione globale del token endpoint

L'set-security-token-service-preferencesesempio seguente configura Amazon STS per utilizzare i token della versione 2 quando esegui l'autenticazione sull'endpoint globale.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Managing AWS STS in an AWS Region nella Guida per l'utente.AWS IAM

Esempio 1: simulare gli effetti di tutte le IAM politiche associate a un IAM utente o a un ruolo

Di seguito simulate-custom-policy viene illustrato come fornire sia la policy che definire i valori delle variabili e simulare una API chiamata per vedere se è consentita o rifiutata. L'esempio seguente mostra una politica che consente l'accesso al database solo dopo una data e un'ora specificate. La simulazione ha esito positivo perché le azioni simulate e la aws:CurrentTime variabile specificata soddisfano tutte i requisiti della policy.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Output:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Esempio 2: simulare un comando proibito dalla policy

L'simulate-custom-policyesempio seguente mostra i risultati della simulazione di un comando proibito dalla policy. In questo esempio, la data fornita è precedente a quella richiesta dalla condizione della politica.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Output:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Per ulteriori informazioni, consulta Testare IAM le politiche con il simulatore di IAM policy nella Guida per l'AWS IAMutente.

Esempio 1: simulare gli effetti di una politica arbitraria IAM

Di seguito simulate-principal-policy viene illustrato come simulare un utente che richiama un'APIazione e determina se le politiche associate a tale utente consentono o negano l'azione. Nell'esempio seguente, l'utente dispone di una politica che consente solo l'azionecodecommit:ListRepositories.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Output:

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Esempio 2: simulare gli effetti di un comando proibito

L'simulate-custom-policyesempio seguente mostra i risultati della simulazione di un comando proibito da una delle politiche dell'utente. Nell'esempio seguente, l'utente dispone di una policy che consente l'accesso a un database DynamoDB solo dopo una certa data e ora. La simulazione prevede che l'utente tenti di accedere al database con un aws:CurrentTime valore precedente a quello consentito dalle condizioni della policy.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Output:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Per ulteriori informazioni, consulta Testing IAM policies with the IAM policy simulator nella Guida per l'utente.AWS IAM

Per aggiungere un tag a un profilo di istanza

Il tag-instance-profile comando seguente aggiunge un tag con un nome di reparto al profilo di istanza specificato.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per aggiungere un tag a un MFA dispositivo

Il tag-mfa-device comando seguente aggiunge un tag con un nome di reparto al MFA dispositivo specificato.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per aggiungere un tag a un provider di identità compatibile con OpenID Connect (OIDC)

Il tag-open-id-connect-provider comando seguente aggiunge un tag con un nome di reparto al provider di OIDC identità specificato.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per aggiungere un tag a una politica gestita dai clienti

Il tag-policy comando seguente aggiunge un tag con un nome di reparto alla politica gestita dai clienti specificata.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per aggiungere un tag a un ruolo

Il tag-role comando seguente aggiunge un tag con un nome di reparto al ruolo specificato.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per aggiungere un tag a un SAML provider

Il tag-saml-provider comando seguente aggiunge un tag con un nome di reparto al SAML provider specificato.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per aggiungere un tag a un certificato del server

Il tag-saml-provider comando seguente aggiunge un tag con un nome di dipartimento al certificato del server specificato.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per aggiungere un tag a un utente

Il tag-user comando seguente aggiunge un tag con il Dipartimento associato all'utente specificato.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per rimuovere un tag dal profilo di un'istanza

Il untag-instance-profile comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal profilo di istanza specificato.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per rimuovere un tag da un MFA dispositivo

Il untag-mfa-device comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal MFA dispositivo specificato.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per rimuovere un tag da un provider di OIDC identità

Il untag-open-id-connect-provider comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal provider di OIDC identità specificato.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per rimuovere un tag da una politica gestita dai clienti

Il untag-policy comando seguente rimuove qualsiasi tag con il nome chiave «Dipartimento» dalla politica gestita dai clienti specificata.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per rimuovere un tag da un ruolo

Il untag-role comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal ruolo specificato.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per rimuovere un tag da un SAML provider

Il untag-saml-provider comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal profilo di istanza specificato.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per rimuovere un tag da un certificato del server

Il untag-server-certificate comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal certificato del server specificato.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per rimuovere un tag da un utente

Il untag-user comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dall'utente specificato.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Taggare IAM le risorse nella Guida per l'AWS IAMutente.

Per attivare o disattivare una chiave di accesso per un IAM utente

Il update-access-key comando seguente disattiva la chiave di accesso specificata (ID della chiave di accesso e chiave di accesso segreta) per l'IAMutente denominato. Bob

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Questo comando non produce alcun output.

La disattivazione della chiave significa che non può essere utilizzata per l'accesso programmatico a. AWS La chiave, tuttavia, rimane disponibile e può essere riattivata.

Per ulteriori informazioni, vedere Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'AWS IAMutente.

Per impostare o modificare la politica corrente in materia di password dell'account

Il update-account-password-policy comando seguente imposta la politica delle password in modo che richieda una lunghezza minima di otto caratteri e richieda uno o più numeri nella password.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Questo comando non produce alcun output.

Le modifiche alla politica in materia di password di un account influiscono su tutte le nuove password create per IAM gli utenti dell'account. Le modifiche alle politiche relative alle password non influiscono sulle password esistenti.

Per ulteriori informazioni, vedere Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'AWS IAMutente.

Per aggiornare la politica di fiducia per un IAM ruolo

Il update-assume-role-policy comando seguente aggiorna la politica di fiducia per il ruolo denominatoTest-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Questo comando non produce alcun output.

La politica di fiducia è definita come JSON documento nel file Test-Role-trust-policy.json. (Il nome e l'estensione del file non hanno importanza.) La policy di attendibilità deve specificare un principale.

Per aggiornare la politica delle autorizzazioni per un ruolo, usa il comando. put-role-policy

Per ulteriori informazioni, vedere Creazione di IAM ruoli nella Guida per l'AWS IAMutente.

Per rinominare un gruppo IAM

Il update-group comando seguente modifica il nome del IAM gruppo Test inTest-1.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Ridenominazione di un gruppo di IAM utenti nella Guida per l'AWS IAMutente.

Per aggiornare la password di un IAM utente

Il update-login-profile comando seguente crea una nuova password per l'IAMutente denominatoBob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Questo comando non produce alcun output.

Per impostare una politica di password per l'account, utilizzare il update-account-password-policy comando. Se la nuova password viola la politica relativa alle password dell'account, il comando restituisce un PasswordPolicyViolation errore.

Se la politica sulla password dell'account lo consente, IAM gli utenti possono modificare le proprie password utilizzando il change-password comando.

Conserva la password in un luogo sicuro. Se la password viene persa, non può essere recuperata ed è necessario crearne una nuova utilizzando il create-login-profile comando.

Per ulteriori informazioni, vedere Gestione delle password per IAM gli utenti nella Guida per l'AWS IAMutente.

Per sostituire l'elenco esistente di impronte digitali dei certificati del server con un nuovo elenco

Questo esempio aggiorna l'elenco delle impronte digitali dei certificati per il OIDC provider che arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com deve utilizzare ARN una nuova impronta personale.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'AWS IAMutente.

Per modificare la descrizione di un IAM ruolo

Il update-role comando seguente modifica la descrizione del IAM ruolo production-role inMain production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Output:

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Per ulteriori informazioni, vedere Modifica di un ruolo nella Guida per l'AWS IAMutente.

Per modificare la descrizione di un IAM ruolo o la durata della sessione

Il update-role comando seguente modifica la descrizione del IAM ruolo production-role in Main production role e imposta la durata massima della sessione su 12 ore.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Modifica di un ruolo nella Guida per l'AWS IAMutente.

Per aggiornare il documento di metadati per un provider esistente SAML

Questo esempio aggiorna il SAML provider in IAM cui ARN si trova arn:aws:iam::123456789012:saml-provider/SAMLADFS con un nuovo documento di SAML metadati tratto dal file. SAMLMetaData.xml

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Output:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Per ulteriori informazioni, vedete Creazione di provider di IAM SAML identità nella Guida per l'AWS IAMutente.

Per modificare il percorso o il nome di un certificato del server nel tuo AWS account

Il comando update-server-certificate seguente modifica il nome del certificato da myServerCertificate a myUpdatedServerCertificate. Cambia anche il percorso in /cloudfront/ modo che sia possibile accedervi dal CloudFront servizio Amazon. Questo comando non produce alcun output. Puoi visualizzare i risultati dell'aggiornamento eseguendo il comando list-server-certificates.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta la sezione Gestione dei certificati del server IAM nella Guida AWS IAM per l'utente.

Esempio 1: per aggiornare lo stato della credenziale specifica del servizio dell'utente richiedente

L'update-service-specific-credentialesempio seguente modifica lo stato della credenziale specificata per l'utente a cui effettua la richiesta. Inactive

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Questo comando non produce alcun output.

Esempio 2: Aggiornare lo stato delle credenziali specifiche del servizio di un utente specificato

L'update-service-specific-credentialesempio seguente modifica lo stato della credenziale dell'utente specificato in Inattivo.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creare credenziali Git per le HTTPS connessioni a CodeCommit nella Guida per l'AWS CodeCommit utente

Per attivare o disattivare un certificato di firma per un utente IAM

Il update-signing-certificate comando seguente disattiva il certificato di firma specificato per l'IAMutente denominato. Bob

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Per ottenere l'ID per un certificato di firma, usa il list-signing-certificates comando.

Per ulteriori informazioni, consulta Gestire i certificati di firma nella Amazon EC2 User Guide.

Per modificare lo stato di una chiave SSH pubblica

Il update-ssh-public-key comando seguente modifica lo stato della chiave pubblica specificata inInactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Use SSH keys and SSH with CodeCommit nella Guida AWS IAM per l'utente.

Per modificare il nome di un IAM utente

Il update-user comando seguente modifica il nome dell'IAMutente Bob inRobert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Questo comando non produce alcun output.

Per ulteriori informazioni, vedere Ridenominazione di un gruppo di IAM utenti nella Guida per l'AWS IAMutente.

Per caricare un certificato del server sul tuo AWS account

Il upload-server-certificatecomando seguente carica un certificato server sul tuo AWS account. In questo esempio, il certificato è nel file public_key_cert_file.pem, la chiave privata associata è nel file my_private_key.pem e la catena di certificati fornita dall'autorità di certificazione (CA) è nel file my_certificate_chain_file.pem. Al termine del caricamento, il file è disponibile sotto il nome. myServerCertificate I parametri che iniziano con file:// indicano al comando di leggere il contenuto del file e di utilizzarlo come valore del parametro in luogo del nome del file.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Output:

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Per ulteriori informazioni, consulta Creazione, caricamento ed eliminazione dei certificati server nella guida all'uso. IAM

Per caricare un certificato di firma per un IAM utente

Il upload-signing-certificate comando seguente carica un certificato di firma per l'IAMutente denominatoBob.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Output:

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

Il certificato si trova in un file denominato certificate.pem in formato. PEM

Per ulteriori informazioni, consulta Creazione e caricamento di un certificato di firma utente nella guida all'uso. IAM

Per caricare una chiave SSH pubblica e associarla a un utente

Il upload-ssh-public-key comando seguente carica la chiave pubblica trovata nel file sshkey.pub e la allega all'utente. sofia

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Output:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Per ulteriori informazioni su come generare chiavi in un formato adatto a questo comando, vedere SSHe Linux, macOS o Unix: Configurare le chiavi pubbliche e private per Git CodeCommit e/o e Windows: configurare le chiavi pubbliche SSH e private per Git e CodeCommit nella Guida per l'AWS CodeCommit utente.