IAMesempi di utilizzo di Tools for PowerShell

Esempio 1: questo comando aggiunge l'ID client (o il pubblico) my-application-ID al OIDC provider esistente denominatoserver.example.com.

Add-IAMClientIDToOpenIDConnectProvider -ClientID "my-application-ID" -OpenIDConnectProviderARN "arn:aws:iam::123456789012:oidc-provider/server.example.com"

Esempio 1: questo esempio aggiunge un tag a Role in Identity Management Service

Add-IAMRoleTag -RoleName AdminRoleacess -Tag @{ Key = 'abac'; Value = 'testing'}

Esempio 1: Questo comando aggiunge il ruolo denominato S3Access a un profilo di istanza esistente denominatowebserver. Per creare il profilo dell'istanza, utilizzate il New-IAMInstanceProfile comando. Dopo aver creato il profilo di istanza e averlo associato a un ruolo utilizzando questo comando, potete collegarlo a un'EC2istanza. A tale scopo, utilizzate il New-EC2Instance cmdlet con il parametro InstanceProfile_Arn o con il InstanceProfile-Name parametro per avviare la nuova istanza.

Add-IAMRoleToInstanceProfile -RoleName "S3Access" -InstanceProfileName "webserver"

Esempio 1: questo esempio aggiunge un tag a User in Identity Management Service

Add-IAMUserTag -UserName joe -Tag @{ Key = 'abac'; Value = 'testing'}

Esempio 1: Questo comando aggiunge l'utente denominato Bob al gruppo denominatoAdmins.

Add-IAMUserToGroup -UserName "Bob" -GroupName "Admins"

Esempio 1: questo comando disabilita il MFA dispositivo hardware associato all'utente con Bob il numero di 123456789012 serie.

Disable-IAMMFADevice -UserName "Bob" -SerialNumber "123456789012"

Esempio 2: questo comando disabilita il MFA dispositivo virtuale associato all'utente David che dispone di. ARN arn:aws:iam::210987654321:mfa/David Tieni presente che MFA il dispositivo virtuale non viene eliminato dall'account. Il dispositivo virtuale è ancora presente e appare nell'output del Get-IAMVirtualMFADevice comando. Prima di poter creare un nuovo MFA dispositivo virtuale per lo stesso utente, è necessario eliminare quello precedente utilizzando il Remove-IAMVirtualMFADevice comando.

Disable-IAMMFADevice -UserName "David" -SerialNumber "arn:aws:iam::210987654321:mfa/David"

Esempio 1: Questo comando modifica la password dell'utente che esegue il comando. Questo comando può essere richiamato solo dagli IAM utenti. Se questo comando viene chiamato quando si accede con le credenziali AWS dell'account (root), restituisce un errore. InvalidUserType

Edit-IAMPassword -OldPassword "MyOldP@ssw0rd" -NewPassword "MyNewP@ssw0rd"

Esempio 1: questo comando abilita il MFA dispositivo hardware con il numero di serie 987654321098 e lo associa all'utenteBob. Include i primi due codici in sequenza provenienti dal dispositivo.

Enable-IAMMFADevice -UserName "Bob" -SerialNumber "987654321098" -AuthenticationCode1 "12345678" -AuthenticationCode2 "87654321"

Esempio 2: Questo esempio crea e attiva un MFA dispositivo virtuale. Il primo comando crea il dispositivo virtuale e restituisce la rappresentazione dell'oggetto del dispositivo nella variabile$MFADevice. È possibile utilizzare le QRCodePng proprietà .Base32StringSeed o per configurare l'applicazione software dell'utente. Il comando finale assegna il dispositivo all'utenteDavid, identificandolo tramite il numero di serie. Il comando sincronizza inoltre il dispositivo con il dispositivo virtuale AWS MFA includendo i primi due codici in sequenza.

$MFADevice = New-IAMVirtualMFADevice -VirtualMFADeviceName "MyMFADevice"
# see example for New-IAMVirtualMFADevice to see how to configure the software program with PNG or base32 seed code
Enable-IAMMFADevice -UserName "David" -SerialNumber -SerialNumber $MFADevice.SerialNumber -AuthenticationCode1 "24681357" -AuthenticationCode2 "13572468"

Esempio 1: Questo comando elenca le chiavi di accesso per l'IAMutente denominatoBob. Tieni presente che non puoi elencare le chiavi di accesso segrete per IAM gli utenti. Se le chiavi di accesso segrete vengono perse, è necessario creare nuove chiavi di accesso con il New-IAMAccessKey cmdlet.

Get-IAMAccessKey -UserName "Bob"

Output:

AccessKeyId                CreateDate                   Status              UserName
-----------                ----------                   ------              --------
AKIAIOSFODNN7EXAMPLE       12/3/2014 10:53:41 AM        Active              Bob
AKIAI44QH8DHBEXAMPLE       6/6/2013 8:42:26 PM          Inactive            Bob

Esempio 1: restituisce il nome utente proprietario e le informazioni sull'ultimo utilizzo della chiave di accesso fornita.

Get-IAMAccessKeyLastUsed -AccessKeyId ABCDEXAMPLE

Esempio 1: questo comando restituisce l'alias dell'account per. Account AWS

Get-IAMAccountAlias

Output:

ExampleCo

Esempio 1: Questo esempio ottiene i dettagli di autorizzazione sulle identità nell' AWS account e visualizza l'elenco degli elementi dell'oggetto restituito, inclusi utenti, gruppi e ruoli. Ad esempio, la UserDetailList proprietà visualizza i dettagli sugli utenti. Informazioni simili sono disponibili nelle GroupDetailList proprietà RoleDetailList e.

$Details=Get-IAMAccountAuthorizationDetail
$Details

Output:

GroupDetailList : {Administrators, Developers, Testers, Backup}
IsTruncated     : False
Marker          : 
RoleDetailList  : {TestRole1, AdminRole, TesterRole, clirole...}
UserDetailList  : {Administrator, Bob, BackupToS3, }

$Details.UserDetailList

Output:

Arn            : arn:aws:iam::123456789012:user/Administrator
CreateDate     : 10/16/2014 9:03:09 AM
GroupList      : {Administrators}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE1
UserName       : Administrator
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/Bob
CreateDate     : 4/6/2015 12:54:42 PM
GroupList      : {Developers}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE2
UserName       : bab
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/BackupToS3
CreateDate     : 1/27/2015 10:15:08 AM
GroupList      : {Backup}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE3
UserName       : BackupToS3
UserPolicyList : {BackupServicePermissionsToS3Buckets}

Esempio 1: questo esempio restituisce dettagli sulla politica delle password per l'account corrente. Se non è definita alcuna politica in materia di password per l'account, il comando restituisce un NoSuchEntity errore.

Get-IAMAccountPasswordPolicy

Output:

AllowUsersToChangePassword : True
ExpirePasswords            : True
HardExpiry                 : False
MaxPasswordAge             : 90
MinimumPasswordLength      : 8
PasswordReusePrevention    : 20
RequireLowercaseCharacters : True
RequireNumbers             : True
RequireSymbols             : False
RequireUppercaseCharacters : True

Esempio 1: Questo esempio restituisce informazioni sull'utilizzo corrente IAM dell'entità e sulle quote correnti dell'IAM Account AWS entità in.

Get-IAMAccountSummary

Output:

Key                                        Value
Users                                      7
GroupPolicySizeQuota                       5120
PolicyVersionsInUseQuota                   10000
ServerCertificatesQuota                    20
AccountSigningCertificatesPresent          0
AccountAccessKeysPresent                   0
Groups                                     3
UsersQuota                                 5000
RolePolicySizeQuota                        10240
UserPolicySizeQuota                        2048
GroupsPerUserQuota                         10
AssumeRolePolicySizeQuota                  2048
AttachedPoliciesPerGroupQuota              2
Roles                                      9
VersionsPerPolicyQuota                     5
GroupsQuota                                100
PolicySizeQuota                            5120
Policies                                   5
RolesQuota                                 250
ServerCertificates                         0
AttachedPoliciesPerRoleQuota               2
MFADevicesInUse                            2
PoliciesQuota                              1000
AccountMFAEnabled                          1
Providers                                  2
InstanceProfilesQuota                      100
MFADevices                                 4
AccessKeysPerUserQuota                     2
AttachedPoliciesPerUserQuota               2
SigningCertificatesPerUserQuota            2
PolicyVersionsInUse                        4
InstanceProfiles                           1
...

Esempio 1: Questo comando restituisce i nomi e ARNs le politiche gestite allegate al IAM gruppo denominato Admins nell' AWS account. Per visualizzare l'elenco delle politiche in linea incorporate nel gruppo, usa il Get-IAMGroupPolicyList comando.

Get-IAMAttachedGroupPolicyList -GroupName "Admins"

Output:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit
arn:aws:iam::aws:policy/AdministratorAccess               AdministratorAccess

Esempio 1: Questo comando restituisce i nomi e ARNs le politiche gestite allegate al IAM ruolo denominato SecurityAuditRole nell' AWS account. Per visualizzare l'elenco delle politiche in linea incorporate nel ruolo, usa il Get-IAMRolePolicyList comando.

Get-IAMAttachedRolePolicyList -RoleName "SecurityAuditRole"

Output:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit

Esempio 1: Questo comando restituisce i nomi e ARNs le politiche gestite per l'IAMutente indicato Bob nell' AWS account. Per visualizzare l'elenco delle politiche in linea incorporate nell'IAMutente, usa il Get-IAMUserPolicyList comando.

Get-IAMAttachedUserPolicyList -UserName "Bob"

Output:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/TesterPolicy                      TesterPolicy

Esempio 1: Questo esempio recupera tutte le chiavi di contesto presenti nella policy JSON fornita. Per fornire più politiche è possibile fornire un elenco di valori separati da virgole.

$policy1 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForCustomPolicy -PolicyInputList $policy1,$policy2

Esempio 1: Questo esempio recupera tutte le chiavi di contesto presenti nella policy json fornita e le politiche allegate all'IAMentità (user/role ecc.). Per: PolicyInputList puoi fornire più elenchi di valori come valori separati da virgole.

$policy1 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForPrincipalPolicy -PolicyInputList $policy1,$policy2 -PolicySourceArn arn:aws:iam::852640994763:user/TestUser

Esempio 1: Questo esempio apre il report restituito e lo invia alla pipeline come matrice di righe di testo. La prima riga è l'intestazione con i nomi delle colonne separati da virgole. Ogni riga successiva è la riga di dettaglio per un utente, con ogni campo separato da virgole. Prima di poter visualizzare il report, è necessario generarlo con il Request-IAMCredentialReport cmdlet. Per recuperare il report come singola stringa, utilizzare -Raw invece di. -AsTextArray L'alias -SplitLines è accettato anche per lo -AsTextArray switch. Per l'elenco completo delle colonne dell'output, consulta il API riferimento del servizio. Si noti che se non si utilizza -AsTextArray o-SplitLines, è necessario estrarre il testo dalla .Content proprietà utilizzando il. NETStreamReaderclasse.

Request-IAMCredentialReport

Output:

Description                                                         State
-----------                                                         -----
No report exists. Starting a new report generation task             STARTED

Get-IAMCredentialReport -AsTextArray

Output:

      user,arn,user_creation_time,password_enabled,password_last_used,password_last_changed,password_next_rotation,mfa_active,access_key_1_active,access_key_1_last_rotated,access_key_2_active,access_key_2_last_rotated,cert_1_active,cert_1_last_rotated,cert_2_active,cert_2_last_rotated root_account,arn:aws:iam::123456789012:root,2014-10-15T16:31:25+00:00,not_supported,2015-04-20T17:41:10+00:00,not_supported,not_supported,true,false,N/A,false,N/A,false,N/A,false,N/A
Administrator,arn:aws:iam::123456789012:user/Administrator,2014-10-16T16:03:09+00:00,true,2015-04-20T15:18:32+00:00,2014-10-16T16:06:00+00:00,N/A,false,true,2014-12-03T18:53:41+00:00,true,2015-03-25T20:38:14+00:00,false,N/A,false,N/A
Bill,arn:aws:iam::123456789012:user/Bill,2015-04-15T18:27:44+00:00,false,N/A,N/A,N/A,false,false,N/A,false,N/A,false,2015-04-20T20:00:12+00:00,false,N/A

Esempio 1: questo esempio restituisce un elenco di IAM gruppi, ruoli e utenti a cui è arn:aws:iam::123456789012:policy/TestPolicy associata la politica.

Get-IAMEntitiesForPolicy -PolicyArn "arn:aws:iam::123456789012:policy/TestPolicy"

Output:

IsTruncated  : False
Marker       : 
PolicyGroups : {}
PolicyRoles  : {testRole}
PolicyUsers  : {Bob, Theresa}

Esempio 1: Questo esempio restituisce dettagli sul IAM gruppoTesters, inclusa una raccolta di tutti gli IAM utenti che appartengono al gruppo.

$results = Get-IAMGroup -GroupName "Testers"
$results

Output:

Group                                     IsTruncated           Marker                Users
-----                                     -----------           ------                -----
Amazon.IdentityManagement.Model.Group     False                                       {Theresa, David}

$results.Group

Output:

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : 3RHNZZGQJ7QHMAEXAMPLE1
GroupName  : Testers
Path       : /

$results.Users

Output:

Arn              : arn:aws:iam::123456789012:user/Theresa
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : 4OSVDDJJTF4XEEXAMPLE2
UserName         : Theresa

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE3
UserName         : David

Esempio 1: questo esempio restituisce l'elenco dei IAM gruppi a David cui appartiene l'IAMutente.

Get-IAMGroupForUser -UserName David

Output:

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE2
GroupName  : Testers
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE3
GroupName  : Developers
Path       : /

Esempio 1: Questo esempio restituisce un insieme di tutti i IAM gruppi definiti nella versione corrente Account AWS.

Get-IAMGroupList

Output:

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE2
GroupName  : Developers
Path       : /

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE3
GroupName  : Testers
Path       : /

Esempio 1: Questo esempio restituisce i dettagli sulla politica in linea incorporata denominata PowerUserAccess-Testers per il gruppoTesters. La PolicyDocument proprietà è URL codificata. In questo esempio viene decodificata con. UrlDecode NETmetodo.

$results = Get-IAMGroupPolicy -GroupName Testers -PolicyName PowerUserAccess-Testers
$results

Output:

GroupName     PolicyDocument                                              PolicyName
---------     --------------                                              ----------
Testers       %7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20... PowerUserAccess-Testers

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "NotAction": "iam:*",
      "Resource": "*"
    }
  ]
}

Esempio 1: Questo esempio restituisce un elenco delle politiche in linea incorporate nel gruppoTesters. Per ottenere le politiche gestite allegate al gruppo, utilizzare il comandoGet-IAMAttachedGroupPolicyList.

Get-IAMGroupPolicyList -GroupName Testers

Output:

Deny-Assume-S3-Role-In-Production
PowerUserAccess-Testers

Esempio 1: Questo esempio restituisce i dettagli del profilo ec2instancerole di istanza denominato definito nell' AWS account corrente.

Get-IAMInstanceProfile -InstanceProfileName ec2instancerole

Output:

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

Esempio 1: questo esempio restituisce i dettagli del profilo dell'istanza associato al ruoloec2instancerole.

Get-IAMInstanceProfileForRole -RoleName ec2instancerole

Output:

      Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
      CreateDate          : 2/17/2015 2:49:04 PM
      InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
      InstanceProfileName : ec2instancerole
      Path                : /
      Roles               : {ec2instancerole}

Esempio 1: Questo esempio restituisce una raccolta dei profili di istanza definiti nella versione corrente Account AWS.

Get-IAMInstanceProfileList

Output:

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

Esempio 1: Questo esempio restituisce la data di creazione della password e se è necessaria una reimpostazione della password per l'IAMutenteDavid.

Get-IAMLoginProfile -UserName David

Output:

CreateDate                   PasswordResetRequired                 UserName
----------                   ---------------------                 --------
12/10/2014 3:39:44 PM        False                                 David

Esempio 1: questo esempio restituisce i dettagli sul MFA dispositivo assegnato all'IAMutenteDavid. In questo esempio si può capire che si tratta di un dispositivo virtuale perché SerialNumber è il numero di serie effettivo del dispositivo ARN anziché fisico.

Get-IAMMFADevice -UserName David

Output:

EnableDate                  SerialNumber                           UserName
----------                  ------------                           --------
4/8/2015 9:41:10 AM         arn:aws:iam::123456789012:mfa/David    David

Esempio 1: Questo esempio restituisce i dettagli sul provider OpenID Connect che èARN. arn:aws:iam::123456789012:oidc-provider/accounts.google.com La ClientIDList proprietà è una raccolta che contiene tutti i Client IDs definiti per questo provider.

Get-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/oidc.example.com

Output:

ClientIDList         CreateDate                ThumbprintList                               Url
------------         ----------                --------------                               ---
{MyOIDCApp}          2/3/2015 3:00:30 PM       {12345abcdefghijk67890lmnopqrst98765uvwxy}   oidc.example.com

Esempio 1: Questo esempio restituisce un elenco ARNS di tutti i provider OpenID Connect definiti nella versione corrente. Account AWS

Get-IAMOpenIDConnectProviderList

Output:

Arn
---
arn:aws:iam::123456789012:oidc-provider/server.example.com
arn:aws:iam::123456789012:oidc-provider/another.provider.com

Esempio 1: questo esempio restituisce i dettagli sulla politica gestita di cui ARN èarn:aws:iam::123456789012:policy/MySamplePolicy.

Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

Output:

Arn              : arn:aws:iam::aws:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 2/6/2015 10:40:08 AM

Esempio 1: Questo esempio restituisce una raccolta delle prime tre politiche gestite disponibili nell' AWS account corrente. Poiché non -scope è specificato, per all impostazione predefinita include sia le politiche AWS gestite che quelle gestite dai clienti.

Get-IAMPolicyList -MaxItem 3

Output:

Arn              : arn:aws:iam::aws:policy/AWSDirectConnectReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : AWSDirectConnectReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:08 AM
      
Arn              : arn:aws:iam::aws:policy/AmazonGlacierReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:27 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : NJKMU274MET4EEXAMPLE2
PolicyName       : AmazonGlacierReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:27 AM
      
Arn              : arn:aws:iam::aws:policy/AWSMarketplaceFullAccess
AttachmentCount  : 0
CreateDate       : 2/11/2015 9:21:45 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : 5ULJSO2FYVPYGEXAMPLE3
PolicyName       : AWSMarketplaceFullAccess
UpdateDate       : 2/11/2015 9:21:45 AM

Esempio 2: Questo esempio restituisce una raccolta delle prime due politiche gestite dai clienti disponibili nell'account corrente AWS . Viene utilizzato -Scope local per limitare l'output alle sole politiche gestite dal cliente.

Get-IAMPolicyList -Scope local -MaxItem 2

Output:

Arn              : arn:aws:iam::123456789012:policy/MyLocalPolicy
AttachmentCount  : 0
CreateDate       : 2/12/2015 9:39:09 AM
DefaultVersionId : v2
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : SQVCBLC4VAOUCEXAMPLE4
PolicyName       : MyLocalPolicy
UpdateDate       : 2/12/2015 9:39:53 AM

Arn              : arn:aws:iam::123456789012:policy/policyforec2instancerole
AttachmentCount  : 1
CreateDate       : 2/17/2015 2:51:38 PM
DefaultVersionId : v11
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : X5JPBLJH2Z2SOEXAMPLE5
PolicyName       : policyforec2instancerole
UpdateDate       : 2/18/2015 8:52:31 AM

Esempio 1: Questo esempio restituisce il documento relativo alla politica per la v2 versione della politica la cui versione ARN èarn:aws:iam::123456789012:policy/MyManagedPolicy. Il documento di policy contenuto nella Document proprietà è URL codificato e decodificato in questo esempio con. UrlDecode NETmetodo.

$results = Get-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy -VersionId v2
$results

Output:

CreateDate             Document                                        IsDefaultVersion     VersionId
----------             --------                                        ----------------     ---------
2/12/2015 9:39:53 AM   %7B%0A%20%20%22Version%22%3A%20%222012-10...    True                 v2

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
$policy = [System.Web.HttpUtility]::UrlDecode($results.Document)
$policy
{
  "Version": "2012-10-17",
  "Statement": 
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
}

Esempio 1: Questo esempio restituisce l'elenco delle versioni disponibili della politica la cui ARN èarn:aws:iam::123456789012:policy/MyManagedPolicy. Per ottenere il documento relativo alla policy per una versione specifica, utilizzate il Get-IAMPolicyVersion VersionId comando e specificate quella desiderata.

Get-IAMPolicyVersionList -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy

Output:

CreateDate                   Document                 IsDefaultVersion                  VersionId
----------                   --------                 ----------------                  ---------
2/12/2015 9:39:53 AM                                  True                              v2
2/12/2015 9:39:09 AM                                  False                             v1

Esempio 1: Questo esempio restituisce i dettagli dilamda_exec_role. Include il documento sulla politica di fiducia che specifica chi può assumere questo ruolo. Il documento di policy è URL codificato e può essere decodificato utilizzando il. NETUrlDecodemetodo. In questo esempio, la policy originale aveva rimosso tutti gli spazi bianchi prima di essere caricata nella policy. Per visualizzare i documenti relativi alle politiche in materia di autorizzazioni che determinano cosa può fare qualcuno che assume il ruolo, utilizza i documenti per le politiche in linea e Get-IAMRolePolicy Get-IAMPolicyVersion per le politiche gestite allegate.

$results = Get-IamRole -RoleName lambda_exec_role
$results | Format-List

Output:

Arn                      : arn:aws:iam::123456789012:role/lambda_exec_role
AssumeRolePolicyDocument : %7B%22Version%22%3A%222012-10-17%22%2C%22Statement%22%3A%5B%7B%22Sid%22
                           %3A%22%22%2C%22Effect%22%3A%22Allow%22%2C%22Principal%22%3A%7B%22Service
                           %22%3A%22lambda.amazonaws.com%22%7D%2C%22Action%22%3A%22sts%3AAssumeRole
                           %22%7D%5D%7D
CreateDate               : 4/2/2015 9:16:11 AM
Path                     : /
RoleId                   : 2YBIKAIBHNKB4EXAMPLE1
RoleName                 : lambda_exec_role

$policy = [System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
$policy

Output:

{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"Service":"lambda.amazonaws.com"},"Action":"sts:AssumeRole"}]}

Esempio 1: Questo esempio recupera un elenco di tutti i IAM ruoli in. Account AWS

Get-IAMRoleList

Esempio 1: questo esempio restituisce il documento relativo alla politica in materia di autorizzazioni per la politica oneClick_lambda_exec_role_policy denominata incorporata nel IAM ruololamda_exec_role. Il documento di policy risultante è URL codificato. In questo esempio viene decodificato con. UrlDecode NETmetodo.

$results = Get-IAMRolePolicy -RoleName lambda_exec_role -PolicyName oneClick_lambda_exec_role_policy
$results

Output:

PolicyDocument                                            PolicyName                           UserName
--------------                                            ----------                           --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    oneClick_lambda_exec_role_policy     lambda_exec_role

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)

Output:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:*"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    }
  ]
}

Esempio 1: Questo esempio restituisce l'elenco dei nomi delle politiche in linea incorporate nel IAM ruololamda_exec_role. Per visualizzare i dettagli di una politica in linea, usa il comando. Get-IAMRolePolicy

Get-IAMRolePolicyList -RoleName lambda_exec_role

Output:

oneClick_lambda_exec_role_policy

Esempio 1: questo esempio recupera il tag associato al ruolo.

Get-IAMRoleTagList -RoleName MyRoleName

Esempio 1: questo esempio recupera i dettagli sul provider SAML 2.0 che ARM è arn:aws:iam: :123456789012:saml-provider/. SAMLADFS La risposta include il documento di metadati che hai ricevuto dal provider di identità per creare l'entità provider, nonché le date di creazione e scadenza. AWS SAML

Get-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Output:

CreateDate                 SAMLMetadataDocument                                          ValidUntil
----------                 --------------------                                          ----------
12/23/2014 12:16:55 PM    <EntityDescriptor ID="_12345678-1234-5678-9012-example1...    12/23/2114 12:16:54 PM

Esempio 1: Questo esempio recupera l'elenco dei provider SAML 2.0 creati nella versione corrente Account AWS. Restituisce ARN la data di creazione e la data di scadenza per ogni SAML provider.

Get-IAMSAMLProviderList

Output:

Arn                                                 CreateDate                      ValidUntil
---                                                 ----------                      ----------
arn:aws:iam::123456789012:saml-provider/SAMLADFS    12/23/2014 12:16:55 PM          12/23/2114 12:16:54 PM

Esempio 1: Questo esempio recupera i dettagli sul certificato del server denominatoMyServerCertificate. È possibile trovare i dettagli del certificato nelle ServerCertificateMetadata proprietà CertificateBody e.

$result = Get-IAMServerCertificate -ServerCertificateName MyServerCertificate
$result | format-list

Output:

CertificateBody           : -----BEGIN CERTIFICATE-----
                            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                            NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                            -----END CERTIFICATE-----
CertificateChain          : 
ServerCertificateMetadata : Amazon.IdentityManagement.Model.ServerCertificateMetadata

$result.ServerCertificateMetadata

Output:

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

Esempio 1: Questo esempio recupera l'elenco dei certificati server che sono stati caricati nella versione corrente Account AWS.

Get-IAMServerCertificateList

Output:

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

Esempio 1: Questo esempio fornisce i dettagli dell'ultimo accesso al servizio da parte dell'IAMentità (utente, gruppo, ruolo o policy) associata alla chiamata Request.

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

Output:

f0b7a819-eab0-929b-dc26-ca598911cb9f

Get-IAMServiceLastAccessedDetail -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f

Esempio 1: Questo esempio fornisce il timestamp dell'ultimo accesso per il servizio contenuto nella richiesta della IAM rispettiva entità.

$results = Get-IAMServiceLastAccessedDetailWithEntity -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f -ServiceNamespace ec2
$results

Output:

EntityDetailsList : {Amazon.IdentityManagement.Model.EntityDetails}
Error             : 
IsTruncated       : False
JobCompletionDate : 12/29/19 11:19:31 AM
JobCreationDate   : 12/29/19 11:19:31 AM
JobStatus         : COMPLETED
Marker            : 

$results.EntityDetailsList

Output:

EntityInfo                                 LastAuthenticated
----------                                 -----------------
Amazon.IdentityManagement.Model.EntityInfo 11/16/19 3:47:00 PM

$results.EntityInfo

Output:

Arn  : arn:aws:iam::123456789012:user/TestUser
Id   : AIDA4NBK5CXF5TZHU1234
Name : TestUser
Path : /
Type : USER

Esempio 1: Questo esempio recupera i dettagli sul certificato di firma associato all'utente denominatoBob.

Get-IAMSigningCertificate -UserName Bob

Output:

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

Esempio 1: Questo esempio recupera i dettagli sull'utente denominatoDavid.

Get-IAMUser -UserName David

Output:

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE1
UserName         : David

Esempio 2: Questo esempio recupera i dettagli sull'utente attualmente connesso. IAM

Get-IAMUser

Output:

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 10/16/2014 9:03:09 AM
PasswordLastUsed : 3/4/2015 12:12:33 PM
Path             : /
UserId           : 7K3GJEANSKZF2EXAMPLE2
UserName         : Bob

Esempio 1: Questo esempio recupera una raccolta di utenti nella cartella corrente Account AWS.

Get-IAMUserList

Output:

      Arn              : arn:aws:iam::123456789012:user/Administrator
      CreateDate       : 10/16/2014 9:03:09 AM
      PasswordLastUsed : 3/4/2015 12:12:33 PM
      Path             : /
      UserId           : 7K3GJEANSKZF2EXAMPLE1
      UserName         : Administrator
      
      Arn              : arn:aws:iam::123456789012:user/Bob
      CreateDate       : 4/6/2015 12:54:42 PM
      PasswordLastUsed : 1/1/0001 12:00:00 AM
      Path             : /
      UserId           : L3EWNONDOM3YUEXAMPLE2
      UserName         : bab
      
      Arn              : arn:aws:iam::123456789012:user/David
      CreateDate       : 12/10/2014 3:39:27 PM
      PasswordLastUsed : 3/19/2015 8:44:04 AM
      Path             : /
      UserId           : Y4FKWQCXTA52QEXAMPLE3
      UserName         : David

Esempio 1: Questo esempio recupera i dettagli della policy in linea Davids_IAM_Admin_Policy denominata incorporata nell'IAMutente denominato. David Il documento di policy è codificatoURL.

$results = Get-IAMUserPolicy -PolicyName Davids_IAM_Admin_Policy -UserName David
$results

Output:

PolicyDocument                                            PolicyName                    UserName
--------------                                            ----------                    --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    Davids_IAM_Admin_Policy       David

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Esempio 1: Questo esempio recupera l'elenco dei nomi delle politiche in linea incorporate nell'IAMutente denominato. David

Get-IAMUserPolicyList -UserName David

Output:

Davids_IAM_Admin_Policy

Esempio 1: questo esempio recupera il tag associato all'utente.

Get-IAMUserTagList -UserName joe

Esempio 1: questo esempio recupera una raccolta di MFA dispositivi virtuali assegnati agli utenti nell' AWS account. La User proprietà di ognuno è un oggetto con i dettagli dell'IAMutente a cui è assegnato il dispositivo.

Get-IAMVirtualMFADevice -AssignmentStatus Assigned

Output:

Base32StringSeed : 
EnableDate       : 4/13/2015 12:03:42 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/David
User             : Amazon.IdentityManagement.Model.User

Base32StringSeed : 
EnableDate       : 4/13/2015 12:06:41 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/root-account-mfa-device
User             : Amazon.IdentityManagement.Model.User

Esempio 1: Questo esempio crea una nuova chiave di accesso e una coppia di chiavi di accesso segrete e le assegna all'utenteDavid. Assicurati di salvare i SecretAccessKey valori AccessKeyId and in un file perché è l'unica volta che puoi ottenere ilSecretAccessKey. Non puoi recuperarla in un secondo momento. Se si perde la chiave segreta, è necessario creare una nuova coppia di chiavi di accesso.

New-IAMAccessKey -UserName David

Output:

AccessKeyId     : AKIAIOSFODNN7EXAMPLE
CreateDate      : 4/13/2015 1:00:42 PM
SecretAccessKey : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Status          : Active
UserName        : David

Esempio 1: questo esempio modifica l'alias AWS dell'account inmycompanyaws. L'indirizzo della pagina di accesso dell'utente cambia in panyaws.signin.aws.amazon.com/console. https://mycom <accountidnumber>L'originale che URL utilizza il numero ID dell'account anziché l'alias (https://.signin.aws.amazon.com/console) continua a funzionare. Tuttavia, URLs qualsiasi alias precedentemente definito smette di funzionare.

New-IAMAccountAlias -AccountAlias mycompanyaws

Esempio 1: Questo esempio crea un nuovo IAM gruppo denominatoDevelopers.

New-IAMGroup -GroupName Developers

Output:

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 4/14/2015 11:21:31 AM
GroupId    : QNEJ5PM4NFSQCEXAMPLE1
GroupName  : Developers
Path       : /

Esempio 1: Questo esempio crea un nuovo profilo di IAM istanza denominatoProfileForDevEC2Instance. È necessario eseguire il Add-IAMRoleToInstanceProfile comando separatamente per associare il profilo dell'istanza a un IAM ruolo esistente che fornisce le autorizzazioni all'istanza. Infine, collega il profilo dell'istanza a un'EC2istanza quando la avvii. A tale scopo, utilizzare il New-EC2Instance cmdlet con il parametro InstanceProfile_Arn orInstanceProfile_Name.

New-IAMInstanceProfile -InstanceProfileName ProfileForDevEC2Instance

Output:

Arn                 : arn:aws:iam::123456789012:instance-profile/ProfileForDevEC2Instance
CreateDate          : 4/14/2015 11:31:39 AM
InstanceProfileId   : DYMFXL556EY46EXAMPLE1
InstanceProfileName : ProfileForDevEC2Instance
Path                : /
Roles               : {}

Esempio 1: Questo esempio crea una password (temporanea) per l'IAMutente di nome Bob e imposta il flag che richiede all'utente di modificare la password al Bob successivo accesso.

New-IAMLoginProfile -UserName Bob -Password P@ssw0rd -PasswordResetRequired $true

Output:

CreateDate                    PasswordResetRequired                UserName
----------                    ---------------------                --------
4/14/2015 12:26:30 PM         True                                 Bob

Esempio 1: Questo esempio crea un IAM OIDC provider associato al servizio provider OIDC compatibile che si trova in URL https://example.oidcprovider.com and the client IDmy-testapp-1. Il OIDC provider fornisce l'impronta digitale. Per autenticare l'impronta digitale, segui la procedura all'indirizzo http://docs.aws.amazon. com/IAM/latest/UserGuide/identity- .html. providers-oidc-obtain-thumbprint

New-IAMOpenIDConnectProvider -Url https://example.oidcprovider.com -ClientIDList my-testapp-1 -ThumbprintList 990F419EXAMPLEECF12DDEDA5EXAMPLE52F20D9E

Output:

arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Esempio 1: Questo esempio crea una nuova IAM politica nell' AWS account corrente denominato MySamplePolicy Il file MySamplePolicy.json fornisce il contenuto della politica. Si noti che è necessario utilizzare il parametro -Raw switch per elaborare correttamente il file di JSON policy.

New-IAMPolicy -PolicyName MySamplePolicy -PolicyDocument (Get-Content -Raw MySamplePolicy.json)

Output:

Arn              : arn:aws:iam::123456789012:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 4/14/2015 2:45:59 PM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : LD4KP6HVFE7WGEXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 4/14/2015 2:45:59 PM

Esempio 1: Questo esempio crea una nuova versione «v2" della IAM politica, la cui versione ARN è arn:aws:iam::123456789012:policy/MyPolicy e la rende la versione predefinita. Il NewPolicyVersion.json file fornisce il contenuto della policy. Si noti che è necessario utilizzare il parametro -Raw switch per elaborare correttamente il file di JSON policy.

New-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -PolicyDocument (Get-content -Raw NewPolicyVersion.json) -SetAsDefault $true

Output:

CreateDate                           Document                  IsDefaultVersion             VersionId
----------                           --------                  ----------------             ---------
4/15/2015 10:54:54 AM                                          True                         v2

Esempio 1: Questo esempio crea un nuovo ruolo denominato MyNewRole e gli allega la politica trovata nel fileNewRoleTrustPolicy.json. Si noti che è necessario utilizzare il parametro -Raw switch per elaborare correttamente il file di JSON policy. Il documento di policy visualizzato nell'output è URL codificato. In questo esempio viene decodificato con. UrlDecode NETmetodo.

$results = New-IAMRole -AssumeRolePolicyDocument (Get-Content -raw NewRoleTrustPolicy.json) -RoleName MyNewRole
$results

Output:

Arn                      : arn:aws:iam::123456789012:role/MyNewRole
AssumeRolePolicyDocument : %7B%0D%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0D%0A%20%20%22Statement%22
                           %3A%20%5B%0D%0A%20%20%20%20%7B%0D%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C
                           %0D%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0D%0A%20%20%20%20%20%20
                           %22Principal%22%3A%20%7B%0D%0A%20%20%20%20%20%20%20%20%22AWS%22%3A%20%22arn%3Aaws
                           %3Aiam%3A%3A123456789012%3ADavid%22%0D%0A%20%20%20%20%20%20%7D%2C%0D%0A%20%20%20
                           %20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0D%0A%20%20%20%20%7D%0D%0A%20
                           %20%5D%0D%0A%7D
CreateDate               : 4/15/2015 11:04:23 AM
Path                     : /
RoleId                   : V5PAJI2KPN4EAEXAMPLE1
RoleName                 : MyNewRole

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:David"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Esempio 1: Questo esempio crea una nuova entità SAML provider inIAM. Viene denominata MySAMLProvider ed è descritta dal documento di SAML metadati contenuto nel fileSAMLMetaData.xml, che è stato scaricato separatamente dal sito Web del SAML fornitore di servizi.

New-IAMSAMLProvider -Name MySAMLProvider -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

Output:

arn:aws:iam::123456789012:saml-provider/MySAMLProvider

Esempio 1: Questo esempio crea un ruolo collegato ai servizi per il servizio di scalabilità automatica.

New-IAMServiceLinkedRole -AWSServiceName autoscaling.amazonaws.com -CustomSuffix RoleNameEndsWithThis -Description "My service-linked role to support autoscaling"

Esempio 1: Questo esempio crea un IAM utente denominatoBob. Se Bob deve accedere alla AWS console, è necessario eseguire separatamente il comando New-IAMLoginProfile per creare un profilo di accesso con una password. Se Bob deve eseguire AWS PowerShell CLI comandi multipiattaforma o effettuare AWS API chiamate, è necessario eseguire il New-IAMAccessKey comando separatamente per creare le chiavi di accesso.

New-IAMUser -UserName Bob

Output:

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 4/22/2015 12:02:11 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : AIDAJWGEFDMEMEXAMPLE1
UserName         : Bob

Esempio 1: questo esempio crea un nuovo MFA dispositivo virtuale. Le righe 2 e 3 estraggono il Base32StringSeed valore necessario al programma MFA software virtuale per creare un account (in alternativa al codice QR). Dopo aver configurato il programma con il valore, ottieni due codici di autenticazione sequenziali dal programma. Infine, usa l'ultimo comando per collegare il MFA dispositivo virtuale all'IAMutente Bob e sincronizzare l'account con i due codici di autenticazione.

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$SR = New-Object System.IO.StreamReader($Device.Base32StringSeed)
$base32stringseed = $SR.ReadToEnd()
$base32stringseed   
CZWZMCQNW4DEXAMPLE3VOUGXJFZYSUW7EXAMPLECR4NJFD65GX2SLUDW2EXAMPLE

Output:

-- Pause here to enter base-32 string seed code into virtual MFA program to register account. --

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

Esempio 2: questo esempio crea un nuovo MFA dispositivo virtuale. Le righe 2 e 3 estraggono il QRCodePNG valore e lo scrivono in un file. Questa immagine può essere scansionata dal programma MFA software virtuale per creare un account (in alternativa all'immissione manuale del valore Base32StringSeed ). Dopo aver creato l'account nel tuo MFA programma virtuale, ottieni due codici di autenticazione sequenziali e inseriscili negli ultimi comandi per collegare il MFA dispositivo virtuale all'IAMutente Bob e sincronizzare l'account.

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$BR = New-Object System.IO.BinaryReader($Device.QRCodePNG)
$BR.ReadBytes($BR.BaseStream.Length) | Set-Content -Encoding Byte -Path QRCode.png

Output:

 -- Pause here to scan PNG with virtual MFA program to register account. -- 

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

Esempio 1: questo esempio carica un nuovo certificato del server sull'IAMaccount. I file contenenti il corpo del certificato, la chiave privata e (facoltativamente) la catena di certificati devono essere PEM tutti codificati. Nota che i parametri richiedono il contenuto effettivo dei file anziché i nomi dei file. È necessario utilizzare il parametro -Raw switch per elaborare correttamente il contenuto del file.

Publish-IAMServerCertificate -ServerCertificateName MyTestCert -CertificateBody (Get-Content -Raw server.crt) -PrivateKey (Get-Content -Raw server.key)

Output:

Arn                   : arn:aws:iam::123456789012:server-certificate/MyTestCert
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /
ServerCertificateId   : ASCAJIEXAMPLE7J7HQZYW
ServerCertificateName : MyTestCert
UploadDate            : 4/21/2015 11:14:16 AM

Esempio 1: questo esempio carica un nuovo certificato di firma X.509 e lo associa all'utente denominato. IAM Bob Il file contenente l'ente del certificato è codificato. PEM Il CertificateBody parametro richiede il contenuto effettivo del file di certificato anziché il nome del file. È necessario utilizzare il parametro -Raw switch per elaborare correttamente il file.

Publish-IAMSigningCertificate -UserName Bob -CertificateBody (Get-Content -Raw SampleSigningCert.pem)

Output:

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCEXAMPLEHMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

Esempio 1: questo esempio allega la politica gestita dai clienti denominata TesterPolicy al IAM gruppoTesters. Gli utenti di quel gruppo sono immediatamente interessati dalle autorizzazioni definite nella versione predefinita di tale politica.

Register-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

Esempio 2: questo esempio allega la policy AWS gestita denominata AdministratorAccess al IAM gruppo. Admins Gli utenti di quel gruppo sono immediatamente interessati dalle autorizzazioni definite nell'ultima versione di tale politica.

Register-IAMGroupPolicy -GroupName Admins -PolicyArn arn:aws:iam::aws:policy/AdministratorAccess

Esempio 1: questo esempio AWS allega la policy gestita denominata SecurityAudit al IAM ruoloCoSecurityAuditors. Gli utenti che assumono quel ruolo sono immediatamente interessati dalle autorizzazioni definite nell'ultima versione di tale politica.

Register-IAMRolePolicy -RoleName CoSecurityAuditors -PolicyArn arn:aws:iam::aws:policy/SecurityAudit

Esempio 1: questo esempio AWS allega la policy gestita denominata AmazonCognitoPowerUser all'IAMutenteBob. L'utente è immediatamente interessato dalle autorizzazioni definite nell'ultima versione di tale politica.

Register-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::aws:policy/AmazonCognitoPowerUser

Esempio 1: Questo esempio elimina la coppia di chiavi di AWS accesso con l'ID della chiave AKIAIOSFODNN7EXAMPLE dall'utente denominatoBob.

Remove-IAMAccessKey -AccessKeyId AKIAIOSFODNN7EXAMPLE -UserName Bob -Force

Esempio 1: Questo esempio rimuove l'alias dell'account dal tuo Account AWS. La pagina di accesso utente con l'alias all'indirizzo https://mycom panyaws.signin.aws.amazon.com/console non funziona più. Devi invece utilizzare l'originale con il tuo numero ID su https://.signin.aws.amazon.com/console. URL Account AWS <accountidnumber>

Remove-IAMAccountAlias -AccountAlias mycompanyaws

Esempio 1: Questo esempio elimina la politica relativa alle password per Account AWS e ripristina tutti i valori ai valori predefiniti originali. Se attualmente non esiste una politica in materia di password, viene visualizzato il seguente messaggio di errore: Impossibile trovare la politica dell'account con il nome PasswordPolicy .

Remove-IAMAccountPasswordPolicy

Esempio 1: Questo esempio rimuove l'ID client My-TestApp-3 dall'elenco dei client IDs associati al IAM OIDC provider il cui nome ARN èarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

Remove-IAMClientIDFromOpenIDConnectProvider -ClientID My-TestApp-3 -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Esempio 1: Questo esempio elimina il IAM gruppo denominatoMyTestGroup. Il primo comando rimuove tutti IAM gli utenti che sono membri del gruppo e il secondo comando elimina il IAM gruppo. Entrambi i comandi funzionano senza alcuna richiesta di conferma.

(Get-IAMGroup -GroupName MyTestGroup).Users | Remove-IAMUserFromGroup -GroupName MyTestGroup -Force
Remove-IAMGroup -GroupName MyTestGroup -Force

Esempio 1: Questo esempio rimuove la politica in linea denominata TesterPolicy dal IAM gruppoTesters. Gli utenti di quel gruppo perdono immediatamente le autorizzazioni definite in quella politica.

Remove-IAMGroupPolicy -GroupName Testers -PolicyName TestPolicy

Esempio 1: Questo esempio elimina il profilo di EC2 istanza denominatoMyAppInstanceProfile. Il primo comando rimuove tutti i ruoli dal profilo dell'istanza, quindi il secondo comando elimina il profilo dell'istanza.

(Get-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile).Roles | Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyAppInstanceProfile
Remove-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile

Esempio 1: Questo esempio elimina il profilo di accesso dall'IAMutente denominatoBob. Ciò impedisce all'utente di accedere alla console. AWS Non impedisce all'utente di eseguire API chiamate o utilizzare chiavi di AWS accesso che potrebbero essere ancora collegate all'account utente. AWS CLI PowerShell

Remove-IAMLoginProfile -UserName Bob

Esempio 1: questo esempio elimina il IAM OIDC provider che si connette al providerexample.oidcprovider.com. Assicurati di aggiornare o eliminare tutti i ruoli che fanno riferimento a questo provider nell'Principalelemento della politica di fiducia del ruolo.

Remove-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Esempio 1: questo esempio elimina la politica cui ARN èarn:aws:iam::123456789012:policy/MySamplePolicy. Prima di poter eliminare la politica, è necessario eliminare tutte le versioni tranne quella predefinita Remove-IAMPolicyVersion eseguendo. È inoltre necessario scollegare la politica da qualsiasi IAM utente, gruppo o ruolo.

Remove-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

Esempio 2: Questo esempio elimina una policy eliminando prima tutte le versioni non predefinite della policy, scollegandola da tutte le IAM entità allegate e infine eliminando la policy stessa. La prima riga recupera l'oggetto della policy. La seconda riga recupera tutte le versioni delle politiche che non sono contrassegnate come versione predefinita in una raccolta, quindi elimina ogni politica nella raccolta. La terza riga recupera tutti gli IAM utenti, i gruppi e i ruoli a cui è associata la policy. Le righe da quattro a sei separano la politica da ciascuna entità allegata. L'ultima riga utilizza questo comando per rimuovere la politica gestita e la versione predefinita rimanente. L'esempio include il parametro -Force switch su qualsiasi riga che lo richieda per sopprimere le richieste di conferma.

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
$attached = Get-IAMEntitiesForPolicy -PolicyArn $pol.Arn
$attached.PolicyGroups | Unregister-IAMGroupPolicy -PolicyArn $pol.arn
$attached.PolicyRoles | Unregister-IAMRolePolicy -PolicyArn $pol.arn
$attached.PolicyUsers | Unregister-IAMUserPolicy -PolicyArn $pol.arn
Remove-IAMPolicy $pol.Arn -Force

Esempio 1: Questo esempio elimina la versione identificata come v2 dalla policy cui ARN èarn:aws:iam::123456789012:policy/MySamplePolicy.

Remove-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy -VersionID v2

Esempio 2: Questo esempio elimina una policy eliminando prima tutte le versioni non predefinite della policy e quindi eliminando la policy stessa. La prima riga recupera l'oggetto della policy. La seconda riga recupera tutte le versioni delle politiche che non sono contrassegnate come predefinite in una raccolta e quindi utilizza questo comando per eliminare ogni politica nella raccolta. L'ultima riga rimuove la policy stessa e la versione predefinita rimanente. Tieni presente che per eliminare correttamente una policy gestita, devi anche scollegare la policy da qualsiasi utente, gruppo o ruolo utilizzando i Unregister-IAMRolePolicy comandi Unregister-IAMUserPolicyUnregister-IAMGroupPolicy, and. Vedere l'esempio per il Remove-IAMPolicy cmdlet.

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
Remove-IAMPolicy -PolicyArn $pol.Arn -force

Esempio 1: Questo esempio elimina il ruolo denominato MyNewRole dall'IAMaccount corrente. Prima di poter eliminare il ruolo, è necessario utilizzare il Unregister-IAMRolePolicy comando per scollegare eventuali policy gestite. Le politiche in linea vengono eliminate con il ruolo.

Remove-IAMRole -RoleName MyNewRole

Esempio 2: questo esempio rimuove tutte le politiche gestite dal ruolo denominato MyNewRole e quindi elimina il ruolo. La prima riga recupera tutte le policy gestite associate al ruolo come raccolta e quindi scollega ogni policy della raccolta dal ruolo. La seconda riga elimina il ruolo stesso. Le politiche in linea vengono eliminate insieme al ruolo.

Get-IAMAttachedRolePolicyList -RoleName MyNewRole | Unregister-IAMRolePolicy -RoleName MyNewRole
Remove-IAMRole -RoleName MyNewRole

Esempio 1: Questo esempio elimina il ruolo denominato MyNewRole dal profilo dell'EC2istanza denominatoMyNewRole. Un profilo di istanza creato nella IAM console ha sempre lo stesso nome del ruolo, come in questo esempio. Se li crei in sala API operatoriaCLI, possono avere nomi diversi.

Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyNewRole -RoleName MyNewRole -Force

Esempio 1: Questo esempio mostra come rimuovere il limite di autorizzazione associato a un IAM ruolo.

Remove-IAMRolePermissionsBoundary -RoleName MyRoleName

Esempio 1: questo esempio elimina la policy in linea S3AccessPolicy incorporata nel IAM ruolo. S3BackupRole

Remove-IAMRolePolicy -PolicyName S3AccessPolicy -RoleName S3BackupRole

Esempio 1: Questo esempio rimuove il tag dal ruolo denominato "MyRoleName" con la chiave del tag «abac». Per rimuovere più tag, fornisci un elenco di chiavi di tag separate da virgole.

Remove-IAMRoleTag -RoleName MyRoleName -TagKey "abac","xyzw"

Esempio 1: questo esempio elimina il provider IAM SAML 2.0 il cui ARN èarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

Remove-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Esempio 1: Questo esempio elimina il certificato del server denominatoMyServerCert.

Remove-IAMServerCertificate -ServerCertificateName MyServerCert

Esempio 1: questo esempio ha eliminato il ruolo collegato al servizio. Tieni presente che se il servizio utilizza ancora questo ruolo, questo comando genererà un errore.

Remove-IAMServiceLinkedRole -RoleName AWSServiceRoleForAutoScaling_RoleNameEndsWithThis

Esempio 1: Questo esempio elimina il certificato di firma con l'ID Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU dell'IAMutente denominatoBob.

Remove-IAMSigningCertificate -UserName Bob -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU

Esempio 1: questo esempio elimina l'IAMutente denominatoBob.

Remove-IAMUser -UserName Bob

Esempio 2: Questo esempio elimina l'IAMutente denominato Theresa insieme a tutti gli elementi che devono essere eliminati per primi.

$name = "Theresa"

# find any groups and remove user from them
$groups = Get-IAMGroupForUser -UserName $name
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName $name -Force }

# find any inline policies and delete them
$inlinepols = Get-IAMUserPolicies -UserName $name
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName $name -Force}

# find any managed polices and detach them
$managedpols = Get-IAMAttachedUserPolicies -UserName $name
foreach ($pol in $managedpols) { Unregister-IAMUserPolicy -PolicyArn $pol.PolicyArn -UserName $name }

# find any signing certificates and delete them
$certs = Get-IAMSigningCertificate -UserName $name
foreach ($cert in $certs) { Remove-IAMSigningCertificate -CertificateId $cert.CertificateId -UserName $name -Force }

# find any access keys and delete them
$keys = Get-IAMAccessKey -UserName $name
foreach ($key in $keys) { Remove-IAMAccessKey -AccessKeyId $key.AccessKeyId -UserName $name -Force }

# delete the user's login profile, if one exists - note: need to use try/catch to suppress not found error
try { $prof = Get-IAMLoginProfile -UserName $name -ea 0 } catch { out-null }
if ($prof) { Remove-IAMLoginProfile -UserName $name -Force }

# find any MFA device, detach it, and if virtual, delete it.
$mfa = Get-IAMMFADevice -UserName $name
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

# finally, remove the user
Remove-IAMUser -UserName $name -Force

Esempio 1: questo esempio rimuove l'IAMutente Bob dal gruppoTesters.

Remove-IAMUserFromGroup -GroupName Testers -UserName Bob

Esempio 2: Questo esempio trova tutti i gruppi di cui IAM l'utente Theresa è membro e quindi li rimuove Theresa da tali gruppi.

$groups = Get-IAMGroupForUser -UserName Theresa 
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName Theresa -Force }

Esempio 3: Questo esempio mostra un modo alternativo per rimuovere l'IAMutente Bob dal Testers gruppo.

Get-IAMGroupForUser -UserName Bob | Remove-IAMUserFromGroup -UserName Bob -GroupName Testers -Force

Esempio 1: Questo esempio mostra come rimuovere il limite di autorizzazione associato a un IAM utente.

Remove-IAMUserPermissionsBoundary -UserName joe

Esempio 1: Questo esempio elimina il nome AccessToEC2Policy della policy in linea incorporato nel nome IAM utente. Bob

Remove-IAMUserPolicy -PolicyName AccessToEC2Policy -UserName Bob

Esempio 2: Questo esempio trova tutti i criteri in linea incorporati nell'IAMutente denominato Theresa e quindi li elimina.

$inlinepols = Get-IAMUserPolicies -UserName Theresa
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName Theresa -Force}

Esempio 1: Questo esempio rimuove il tag dall'utente chiamato «joe» con la chiave del tag «abac» e «xyzw». Per rimuovere più tag, fornisci un elenco di chiavi di tag separate da virgole.

Remove-IAMUserTag -UserName joe -TagKey "abac","xyzw"

Esempio 1: Questo esempio elimina il MFA dispositivo IAM virtuale il cui ARN èarn:aws:iam::123456789012:mfa/bob.

Remove-IAMVirtualMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/bob

Esempio 2: Questo esempio verifica se all'IAMutente Theresa è assegnato un MFA dispositivo. Se ne viene trovato uno, il dispositivo viene disabilitato per l'IAMutente. Se il dispositivo è virtuale, viene anche eliminato.

$mfa = Get-IAMMFADevice -UserName Theresa
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

Esempio 1: questo esempio richiede la generazione di un nuovo report, operazione che può essere eseguita ogni quattro ore. Se l'ultimo rapporto è ancora recente, viene visualizzato il campo State. COMPLETE Utilizzare Get-IAMCredentialReport per visualizzare il rapporto completato.

Request-IAMCredentialReport

Output:

Description                                                    State
-----------                                                    -----
No report exists. Starting a new report generation task        STARTED

Esempio 1: questo esempio è un cmdlet equivalente a. GenerateServiceLastAccessedDetails API Ciò fornisce un ID di lavoro che può essere utilizzato in Get- IAMServiceLastAccessedDetail e Get- IAMServiceLastAccessedDetailWithEntity

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

Esempio 1: Questo esempio imposta la v2 versione della politica la cui versione attiva ARN è arn:aws:iam::123456789012:policy/MyPolicy predefinita.

Set-IAMDefaultPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -VersionId v2

Esempio 1: Questo esempio mostra come impostare il limite di autorizzazione per un IAM ruolo. È possibile impostare politiche AWS gestite o politiche personalizzate come limite di autorizzazione.

Set-IAMRolePermissionsBoundary -RoleName MyRoleName -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

Esempio 1: Questo esempio mostra come impostare il limite di autorizzazione per l'utente. È possibile impostare politiche AWS gestite o politiche personalizzate come limite di autorizzazione.

Set-IAMUserPermissionsBoundary -UserName joe -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

Esempio 1: Questo esempio sincronizza il MFA dispositivo associato all'IAMutente Bob e il cui ARN è arn:aws:iam::123456789012:mfa/bob con un programma di autenticazione che ha fornito i due codici di autenticazione.

Sync-IAMMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/theresa -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Bob

Esempio 2: questo esempio sincronizza il IAM MFA dispositivo associato all'IAMutente Theresa con un dispositivo fisico che ha il numero di serie ABCD12345678 e che ha fornito i due codici di autenticazione.

Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Theresa

Esempio 1: Questo esempio separa la politica di gruppo gestita ARN che proviene arn:aws:iam::123456789012:policy/TesterAccessPolicy dal gruppo denominatoTesters.

Unregister-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Esempio 2: Questo esempio trova tutte le politiche gestite allegate al gruppo denominato Testers e le rimuove dal gruppo.

Get-IAMAttachedGroupPolicies -GroupName Testers | Unregister-IAMGroupPolicy -Groupname Testers

Esempio 1: Questo esempio separa la politica di gruppo gestita ARN che proviene arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy dal ruolo denominatoFedTesterRole.

Unregister-IAMRolePolicy -RoleName FedTesterRole -PolicyArn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Esempio 2: Questo esempio trova tutte le politiche gestite associate al ruolo denominato FedTesterRole e le stacca dal ruolo.

Get-IAMAttachedRolePolicyList -RoleName FedTesterRole | Unregister-IAMRolePolicy -Rolename FedTesterRole

Esempio 1: Questo esempio separa la politica gestita ARN che proviene arn:aws:iam::123456789012:policy/TesterPolicy dall'IAMutente denominatoBob.

Unregister-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

Esempio 2: Questo esempio trova tutte le politiche gestite allegate all'IAMutente denominato Theresa e le separa dall'utente.

Get-IAMAttachedUserPolicyList -UserName Theresa | Unregister-IAMUserPolicy -Username Theresa

Esempio 1: Questo esempio modifica lo stato della chiave di accesso AKIAIOSFODNN7EXAMPLE per l'IAMutente denominato BobInactive.

Update-IAMAccessKey -UserName Bob -AccessKeyId AKIAIOSFODNN7EXAMPLE -Status Inactive

Esempio 1: questo esempio aggiorna la politica delle password per l'account con le impostazioni specificate. Si noti che tutti i parametri non inclusi nel comando non vengono lasciati invariati. Vengono invece ripristinati ai valori predefiniti.

Update-IAMAccountPasswordPolicy -AllowUsersToChangePasswords $true -HardExpiry $false -MaxPasswordAge 90 -MinimumPasswordLength 8 -PasswordReusePrevention 20 -RequireLowercaseCharacters $true -RequireNumbers $true -RequireSymbols $true -RequireUppercaseCharacters $true

Esempio 1: Questo esempio aggiorna il IAM ruolo denominato ClientRole con una nuova politica di fiducia, il cui contenuto proviene dal fileClientRolePolicy.json. Si noti che è necessario utilizzare il parametro -Raw switch per elaborare correttamente il contenuto del JSON file.

Update-IAMAssumeRolePolicy -RoleName ClientRole -PolicyDocument (Get-Content -raw ClientRolePolicy.json)

Esempio 1: questo esempio rinomina il IAM gruppo Testers inAppTesters.

Update-IAMGroup -GroupName Testers -NewGroupName AppTesters

Esempio 2: Questo esempio modifica il percorso del IAM gruppo AppTesters in/Org1/Org2/. Questo cambia ARN il nome del gruppo inarn:aws:iam::123456789012:group/Org1/Org2/AppTesters.

Update-IAMGroup -GroupName AppTesters -NewPath /Org1/Org2/

Esempio 1: Questo esempio imposta una nuova password temporanea per IAM l'Bobutente e richiede all'utente di modificare la password al successivo accesso.

Update-IAMLoginProfile -UserName Bob -Password "P@ssw0rd1234" -PasswordResetRequired $true

Esempio 1: questo esempio aggiorna l'elenco delle impronte digitali dei certificati per il OIDC provider che arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com deve utilizzare una nuova impronta personale. ARN Il OIDC provider condivide il nuovo valore quando il certificato associato al provider cambia.

Update-IAMOpenIDConnectProviderThumbprint -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com -ThumbprintList 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Esempio 1: questo esempio aggiorna la descrizione del ruolo e il valore della durata massima della sessione (in secondi) per cui è possibile richiedere la sessione di un ruolo.

Update-IAMRole -RoleName MyRoleName -Description "My testing role" -MaxSessionDuration 43200

Esempio 1: questo esempio aggiorna la descrizione di un IAM ruolo nel tuo account.

Update-IAMRoleDescription -RoleName MyRoleName -Description "My testing role"

Esempio 1: Questo esempio aggiorna il SAML provider in IAM cui ARN si trova arn:aws:iam::123456789012:saml-provider/SAMLADFS con un nuovo documento di SAML metadati tratto dal fileSAMLMetaData.xml. Si noti che è necessario utilizzare il parametro -Raw switch per elaborare correttamente il contenuto del JSON file.

Update-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

Esempio 1: Questo esempio rinomina il certificato MyServerCertificate denominatoMyRenamedServerCertificate.

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewServerCertificateName MyRenamedServerCertificate

Esempio 2: Questo esempio sposta il certificato denominato MyServerCertificate in path /Org1/Org 2/. Questo modifica il ARN valore della risorsa in. arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewPath /Org1/Org2/

Esempio 1: Questo esempio aggiorna il certificato associato all'IAMutente denominato Bob e il cui ID di certificato serve Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU a contrassegnarlo come inattivo.

Update-IAMSigningCertificate -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU -UserName Bob -Status Inactive

Esempio 1: questo esempio rinomina l'IAMutente Bob inRobert.

Update-IAMUser -UserName Bob -NewUserName Robert

Esempio 2: Questo esempio modifica il percorso dell'IAMutente Bob verso/Org1/Org2/, il che modifica effettivamente il percorso dell'ARNutente inarn:aws:iam::123456789012:user/Org1/Org2/bob.

Update-IAMUser -UserName Bob -NewPath /Org1/Org2/

Esempio 1: Questo esempio crea una policy in linea denominata AppTesterPolicy e la incorpora nel IAM gruppo. AppTesters Se esiste già una politica in linea con lo stesso nome, viene sovrascritta. Il contenuto JSON della policy è il file. apptesterpolicy.json Si noti che è necessario utilizzare il -Raw parametro per elaborare correttamente il contenuto del JSON file.

Write-IAMGroupPolicy -GroupName AppTesters -PolicyName AppTesterPolicy -PolicyDocument (Get-Content -Raw apptesterpolicy.json)

Esempio 1: Questo esempio crea una policy in linea denominata FedTesterRolePolicy e la incorpora nel IAM ruolo. FedTesterRole Se esiste già una politica in linea con lo stesso nome, viene sovrascritta. Il contenuto JSON della policy proviene dal file. FedTesterPolicy.json Si noti che è necessario utilizzare il -Raw parametro per elaborare correttamente il contenuto del JSON file.

Write-IAMRolePolicy -RoleName FedTesterRole -PolicyName FedTesterRolePolicy -PolicyDocument (Get-Content -Raw FedTesterPolicy.json)

Esempio 1: Questo esempio crea una policy in linea denominata EC2AccessPolicy e la incorpora nell'IAMutente. Bob Se esiste già una politica in linea con lo stesso nome, viene sovrascritta. Il contenuto JSON della policy proviene dal file. EC2AccessPolicy.json Si noti che è necessario utilizzare il -Raw parametro per elaborare correttamente il contenuto del JSON file.

Write-IAMUserPolicy -UserName Bob -PolicyName EC2AccessPolicy -PolicyDocument (Get-Content -Raw EC2AccessPolicy.json)