Tools for PowerShell を使用したIAMの例

例 1: このコマンドは、 という名前の既存の OIDC プロバイダーmy-application-IDにクライアント ID (またはオーディエンス) を追加しますserver.example.com。

Add-IAMClientIDToOpenIDConnectProvider -ClientID "my-application-ID" -OpenIDConnectProviderARN "arn:aws:iam::123456789012:oidc-provider/server.example.com"

例 1: この例では、ID 管理サービスのロールにタグを追加します。

Add-IAMRoleTag -RoleName AdminRoleacess -Tag @{ Key = 'abac'; Value = 'testing'}

例 1: このコマンドは、S3Access という名前のロールを webserver という名前の既存のインスタンスプロファイルに追加します。インスタンスプロファイルを作成するには、New-IAMInstanceProfile コマンドを使用します。インスタンスプロファイルを作成し、このコマンドを使用してロールに関連付けると、EC2 インスタンスにアタッチできます。そのためには、New-EC2Instance コマンドレットを InstanceProfile_Arn または InstanceProfile-Name パラメータと共に使用して、新しいインスタンスを起動します。

Add-IAMRoleToInstanceProfile -RoleName "S3Access" -InstanceProfileName "webserver"

例 1: この例では、ID 管理サービスのユーザーにタグを追加します。

Add-IAMUserTag -UserName joe -Tag @{ Key = 'abac'; Value = 'testing'}

例 1: このコマンドは、Bob という名前のユーザーを Admins という名前のグループに追加します。

Add-IAMUserToGroup -UserName "Bob" -GroupName "Admins"

例 1: このコマンドは、シリアル番号 Bobを持つユーザーに関連付けられたハードウェア MFA デバイスを無効にすることができます123456789012。

Disable-IAMMFADevice -UserName "Bob" -SerialNumber "123456789012"

例 2: このコマンドは、 MFA Davidを持つユーザーに関連付けられた仮想 ARN デバイスを無効にしますarn:aws:iam::210987654321:mfa/David。仮想 MFA デバイスはアカウントから削除されないことに注意してください。仮想デバイスはまだ存在し、Get-IAMVirtualMFADevice コマンドの出力に表示されます。同じユーザーの新しい仮想 MFA デバイスを作成する前に、 Remove-IAMVirtualMFADevice コマンドを使用して古いデバイスを削除する必要があります。

Disable-IAMMFADevice -UserName "David" -SerialNumber "arn:aws:iam::210987654321:mfa/David"

例 1: このコマンドは、コマンドを実行しているユーザーのパスワードを変更します。このコマンドは IAM ユーザーのみが呼び出すことができます。 AWS アカウント (ルート) 認証情報でサインインするときにこのコマンドが呼び出されると、コマンドはInvalidUserTypeエラーを返します。

Edit-IAMPassword -OldPassword "MyOldP@ssw0rd" -NewPassword "MyNewP@ssw0rd"

例 1: このコマンドは、ハードウェア MFA デバイスとシリアル番号を有効に987654321098し、デバイスをユーザー に関連付けますBob。また、このコマンドは、デバイスからの最初の 2 つのコードを順番に含めます。

Enable-IAMMFADevice -UserName "Bob" -SerialNumber "987654321098" -AuthenticationCode1 "12345678" -AuthenticationCode2 "87654321"

例 2: この例では、仮想 MFA デバイスを作成して有効にします。最初のコマンドは仮想デバイスを作成し、そのデバイスのオブジェクト表現を変数 $MFADevice に返します。.Base32StringSeed または QRCodePng プロパティを使用して、ユーザーのソフトウェアアプリケーションを設定できます。最後のコマンドはデバイスをユーザー David に割り当て、デバイスをシリアル番号で識別します。コマンドは、仮想 MFA デバイスからの最初の 2 つのコードを順に含め AWS ることで、デバイスを と同期します。

$MFADevice = New-IAMVirtualMFADevice -VirtualMFADeviceName "MyMFADevice"
# see example for New-IAMVirtualMFADevice to see how to configure the software program with PNG or base32 seed code
Enable-IAMMFADevice -UserName "David" -SerialNumber -SerialNumber $MFADevice.SerialNumber -AuthenticationCode1 "24681357" -AuthenticationCode2 "13572468"

例 1: このコマンドは、 という名前の IAM ユーザーのアクセスキーを一覧表示しますBob。IAM ユーザーのシークレットアクセスキーを一覧表示することはできません。シークレットアクセスキーを紛失した場合は、New-IAMAccessKey コマンドレットを使用して新しいアクセスキーを作成する必要があります。

Get-IAMAccessKey -UserName "Bob"

出力:

AccessKeyId                CreateDate                   Status              UserName
-----------                ----------                   ------              --------
AKIAIOSFODNN7EXAMPLE       12/3/2014 10:53:41 AM        Active              Bob
AKIAI44QH8DHBEXAMPLE       6/6/2013 8:42:26 PM          Inactive            Bob

例 1: 指定されたアクセスキーの所有ユーザー名と最終使用情報を返します。

Get-IAMAccessKeyLastUsed -AccessKeyId ABCDEXAMPLE

例 1: このコマンドは、 AWS アカウントのアカウントエイリアスを返します。

Get-IAMAccountAlias

出力:

ExampleCo

例 1: この例では、 AWS アカウント内の ID に関する認可の詳細を取得し、返されたオブジェクトの要素リスト (ユーザー、グループ、ロールを含む) を表示します。例えば、UserDetailList プロパティには、ユーザーに関する詳細が表示されます。同様の情報は、RoleDetailList および GroupDetailList プロパティで入手可能です。

$Details=Get-IAMAccountAuthorizationDetail
$Details

出力:

GroupDetailList : {Administrators, Developers, Testers, Backup}
IsTruncated     : False
Marker          : 
RoleDetailList  : {TestRole1, AdminRole, TesterRole, clirole...}
UserDetailList  : {Administrator, Bob, BackupToS3, }

$Details.UserDetailList

出力:

Arn            : arn:aws:iam::123456789012:user/Administrator
CreateDate     : 10/16/2014 9:03:09 AM
GroupList      : {Administrators}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE1
UserName       : Administrator
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/Bob
CreateDate     : 4/6/2015 12:54:42 PM
GroupList      : {Developers}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE2
UserName       : bab
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/BackupToS3
CreateDate     : 1/27/2015 10:15:08 AM
GroupList      : {Backup}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE3
UserName       : BackupToS3
UserPolicyList : {BackupServicePermissionsToS3Buckets}

例 1: この例では、現在のアカウントのパスワードポリシーに関する詳細を返します。アカウントのためにパスワードポリシーが定義されていない場合、コマンドは NoSuchEntity エラーを返します。

Get-IAMAccountPasswordPolicy

出力:

AllowUsersToChangePassword : True
ExpirePasswords            : True
HardExpiry                 : False
MaxPasswordAge             : 90
MinimumPasswordLength      : 8
PasswordReusePrevention    : 20
RequireLowercaseCharacters : True
RequireNumbers             : True
RequireSymbols             : False
RequireUppercaseCharacters : True

例 1: この例では、 の現在の IAM エンティティの使用状況と現在の IAM エンティティのクォータに関する情報を返します AWS アカウント。

Get-IAMAccountSummary

出力:

Key                                        Value
Users                                      7
GroupPolicySizeQuota                       5120
PolicyVersionsInUseQuota                   10000
ServerCertificatesQuota                    20
AccountSigningCertificatesPresent          0
AccountAccessKeysPresent                   0
Groups                                     3
UsersQuota                                 5000
RolePolicySizeQuota                        10240
UserPolicySizeQuota                        2048
GroupsPerUserQuota                         10
AssumeRolePolicySizeQuota                  2048
AttachedPoliciesPerGroupQuota              2
Roles                                      9
VersionsPerPolicyQuota                     5
GroupsQuota                                100
PolicySizeQuota                            5120
Policies                                   5
RolesQuota                                 250
ServerCertificates                         0
AttachedPoliciesPerRoleQuota               2
MFADevicesInUse                            2
PoliciesQuota                              1000
AccountMFAEnabled                          1
Providers                                  2
InstanceProfilesQuota                      100
MFADevices                                 4
AccessKeysPerUserQuota                     2
AttachedPoliciesPerUserQuota               2
SigningCertificatesPerUserQuota            2
PolicyVersionsInUse                        4
InstanceProfiles                           1
...

例 1: このコマンドは、 AWS アカウントAdmins内の という名前の ARNs グループにアタッチされているマネージドポリシーの名前と IAM を返します。グループに埋め込まれているインラインポリシーのリストを表示するには、Get-IAMGroupPolicyList コマンドを使用します。

Get-IAMAttachedGroupPolicyList -GroupName "Admins"

出力:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit
arn:aws:iam::aws:policy/AdministratorAccess               AdministratorAccess

例 1: このコマンドは、 アカウントSecurityAuditRoleで という名前の ARNs ロールにアタッチされたマネージドポリシーの名前と IAM AWS を返します。ロールに埋め込まれているインラインポリシーのリストを表示するには、Get-IAMRolePolicyList コマンドを使用します。

Get-IAMAttachedRolePolicyList -RoleName "SecurityAuditRole"

出力:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit

例 1: このコマンドは、 AWS アカウントBobで という名前の ARNs ユーザー用の マネージドポリシーの名前と IAM を返します。IAM ユーザーに組み込まれているインラインポリシーのリストを表示するには、 Get-IAMUserPolicyList コマンドを使用します。

Get-IAMAttachedUserPolicyList -UserName "Bob"

出力:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/TesterPolicy                      TesterPolicy

例 1: この例では、提供されたポリシー JSON に含まれるすべてのコンテキストキーを取得します。複数のポリシーを指定するには、値のカンマ区切りリストとして指定できます。

$policy1 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForCustomPolicy -PolicyInputList $policy1,$policy2

例 1: この例では、提供されたポリシー json に存在するすべてのコンテキストキーと IAM エンティティ (ユーザー/ロールなど) にアタッチされたポリシーを取得します。-PolicyInputList では、複数の値リストをカンマ区切りの値として指定できます。

$policy1 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForPrincipalPolicy -PolicyInputList $policy1,$policy2 -PolicySourceArn arn:aws:iam::852640994763:user/TestUser

例 1: この例では、返されたレポートを開き、それをテキスト行の配列としてパイプラインに出力します。最初の行は、カンマで区切られた列名のヘッダーです。連続する各行は 1 人のユーザーの詳細行で、各フィールドはカンマで区切られています。レポートを表示するには、Request-IAMCredentialReport コマンドレットを使用してレポートを生成する必要があります。レポートを 1 つの文字列として取得するには、-AsTextArray ではなく -Raw を使用します。-AsTextArray スイッチには、エイリアス -SplitLines も使用できます。出力の列の完全なリストについては、サービス API リファレンスを参照してください。-AsTextArrayまたは を使用しない場合は-SplitLines、.NET StreamReader クラスを使用して.Contentプロパティからテキストを抽出する必要があります。

Request-IAMCredentialReport

出力:

Description                                                         State
-----------                                                         -----
No report exists. Starting a new report generation task             STARTED

Get-IAMCredentialReport -AsTextArray

出力:

      user,arn,user_creation_time,password_enabled,password_last_used,password_last_changed,password_next_rotation,mfa_active,access_key_1_active,access_key_1_last_rotated,access_key_2_active,access_key_2_last_rotated,cert_1_active,cert_1_last_rotated,cert_2_active,cert_2_last_rotated root_account,arn:aws:iam::123456789012:root,2014-10-15T16:31:25+00:00,not_supported,2015-04-20T17:41:10+00:00,not_supported,not_supported,true,false,N/A,false,N/A,false,N/A,false,N/A
Administrator,arn:aws:iam::123456789012:user/Administrator,2014-10-16T16:03:09+00:00,true,2015-04-20T15:18:32+00:00,2014-10-16T16:06:00+00:00,N/A,false,true,2014-12-03T18:53:41+00:00,true,2015-03-25T20:38:14+00:00,false,N/A,false,N/A
Bill,arn:aws:iam::123456789012:user/Bill,2015-04-15T18:27:44+00:00,false,N/A,N/A,N/A,false,false,N/A,false,N/A,false,2015-04-20T20:00:12+00:00,false,N/A

例 1: この例では、ポリシーがarn:aws:iam::123456789012:policy/TestPolicyアタッチされている IAM グループ、ロール、ユーザーのリストを返します。

Get-IAMEntitiesForPolicy -PolicyArn "arn:aws:iam::123456789012:policy/TestPolicy"

出力:

IsTruncated  : False
Marker       : 
PolicyGroups : {}
PolicyRoles  : {testRole}
PolicyUsers  : {Bob, Theresa}

例 1: この例では、グループに属するすべての IAM ユーザーのコレクションなどTesters、IAM グループ の詳細を返します。

$results = Get-IAMGroup -GroupName "Testers"
$results

出力:

Group                                     IsTruncated           Marker                Users
-----                                     -----------           ------                -----
Amazon.IdentityManagement.Model.Group     False                                       {Theresa, David}

$results.Group

出力:

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : 3RHNZZGQJ7QHMAEXAMPLE1
GroupName  : Testers
Path       : /

$results.Users

出力:

Arn              : arn:aws:iam::123456789012:user/Theresa
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : 4OSVDDJJTF4XEEXAMPLE2
UserName         : Theresa

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE3
UserName         : David

例 1: この例では、IAM ユーザーがDavid属する IAM グループのリストを返します。

Get-IAMGroupForUser -UserName David

出力:

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE2
GroupName  : Testers
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE3
GroupName  : Developers
Path       : /

例 1: この例では、現在の で定義されているすべての IAM グループのコレクションを返します AWS アカウント。

Get-IAMGroupList

出力:

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE2
GroupName  : Developers
Path       : /

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE3
GroupName  : Testers
Path       : /

例 1: この例では、グループ Testers の PowerUserAccess-Testers という名前の埋め込みインラインポリシーに関する詳細を返します。PolicyDocument プロパティは URL エンコードされています。この例では、.NET UrlDecode メソッドでデコードされます。

$results = Get-IAMGroupPolicy -GroupName Testers -PolicyName PowerUserAccess-Testers
$results

出力:

GroupName     PolicyDocument                                              PolicyName
---------     --------------                                              ----------
Testers       %7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20... PowerUserAccess-Testers

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "NotAction": "iam:*",
      "Resource": "*"
    }
  ]
}

例 1: この例では、グループ Testers に埋め込まれているインラインポリシーのリストを返します。グループにアタッチされている管理ポリシーを取得するには、コマンド Get-IAMAttachedGroupPolicyList を使用します。

Get-IAMGroupPolicyList -GroupName Testers

出力:

Deny-Assume-S3-Role-In-Production
PowerUserAccess-Testers

例 1: この例では、現在の AWS アカウントで定義されている ec2instancerole という名前のインスタンスプロファイルの詳細を返します。

Get-IAMInstanceProfile -InstanceProfileName ec2instancerole

出力:

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

例 1: この例では、ロール ec2instancerole に関連付けられているインスタンスプロファイルの詳細を返します。

Get-IAMInstanceProfileForRole -RoleName ec2instancerole

出力:

      Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
      CreateDate          : 2/17/2015 2:49:04 PM
      InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
      InstanceProfileName : ec2instancerole
      Path                : /
      Roles               : {ec2instancerole}

例 1: この例では、現在の で定義されているインスタンスプロファイルのコレクションを返します AWS アカウント。

Get-IAMInstanceProfileList

出力:

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

例 1: この例では、パスワードの作成日と、IAM ユーザー にパスワードのリセットが必要かどうかを返しますDavid。

Get-IAMLoginProfile -UserName David

出力:

CreateDate                   PasswordResetRequired                 UserName
----------                   ---------------------                 --------
12/10/2014 3:39:44 PM        False                                 David

例 1: この例では、MFA ユーザー に割り当てられた IAM デバイスの詳細を返しますDavid。この例では、 は物理デバイスの実際のシリアル番号ではなく SerialNumber ARN であるため、仮想デバイスであることがわかります。

Get-IAMMFADevice -UserName David

出力:

EnableDate                  SerialNumber                           UserName
----------                  ------------                           --------
4/8/2015 9:41:10 AM         arn:aws:iam::123456789012:mfa/David    David

例 1: この例では、ARN が である OpenID Connect プロバイダーの詳細を返しますarn:aws:iam::123456789012:oidc-provider/accounts.google.com。ClientIDListプロパティは、このプロバイダーに定義されているすべてのクライアントIDsを含むコレクションです。

Get-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/oidc.example.com

出力:

ClientIDList         CreateDate                ThumbprintList                               Url
------------         ----------                --------------                               ---
{MyOIDCApp}          2/3/2015 3:00:30 PM       {12345abcdefghijk67890lmnopqrst98765uvwxy}   oidc.example.com

例 1: この例では、現在の で定義されているすべての OpenID Connect プロバイダーの ARNS のリストを返します AWS アカウント。

Get-IAMOpenIDConnectProviderList

出力:

Arn
---
arn:aws:iam::123456789012:oidc-provider/server.example.com
arn:aws:iam::123456789012:oidc-provider/another.provider.com

例 1: この例では、ARN が であるマネージドポリシーの詳細を返しますarn:aws:iam::123456789012:policy/MySamplePolicy。

Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

出力:

Arn              : arn:aws:iam::aws:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 2/6/2015 10:40:08 AM

例 1: この例では、現在の AWS アカウントで使用可能な最初の 3 つの管理ポリシーのコレクションを返します。-scopeが指定されていないため、 は にデフォルト設定allされ、 AWS マネージドポリシーとカスタマーマネージドポリシーの両方が含まれます。

Get-IAMPolicyList -MaxItem 3

出力:

Arn              : arn:aws:iam::aws:policy/AWSDirectConnectReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : AWSDirectConnectReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:08 AM
      
Arn              : arn:aws:iam::aws:policy/AmazonGlacierReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:27 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : NJKMU274MET4EEXAMPLE2
PolicyName       : AmazonGlacierReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:27 AM
      
Arn              : arn:aws:iam::aws:policy/AWSMarketplaceFullAccess
AttachmentCount  : 0
CreateDate       : 2/11/2015 9:21:45 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : 5ULJSO2FYVPYGEXAMPLE3
PolicyName       : AWSMarketplaceFullAccess
UpdateDate       : 2/11/2015 9:21:45 AM

例 2: この例では、現在の AWS アカウントで利用可能な最初の 2 つのカスタマー管理ポリシーのコレクションを返します。-Scope local を使用して、出力をカスタマー管理ポリシーのみに制限します。

Get-IAMPolicyList -Scope local -MaxItem 2

出力:

Arn              : arn:aws:iam::123456789012:policy/MyLocalPolicy
AttachmentCount  : 0
CreateDate       : 2/12/2015 9:39:09 AM
DefaultVersionId : v2
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : SQVCBLC4VAOUCEXAMPLE4
PolicyName       : MyLocalPolicy
UpdateDate       : 2/12/2015 9:39:53 AM

Arn              : arn:aws:iam::123456789012:policy/policyforec2instancerole
AttachmentCount  : 1
CreateDate       : 2/17/2015 2:51:38 PM
DefaultVersionId : v11
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : X5JPBLJH2Z2SOEXAMPLE5
PolicyName       : policyforec2instancerole
UpdateDate       : 2/18/2015 8:52:31 AM

例 1: この例では、ARN が であるポリシーv2のバージョンに関するポリシードキュメントを返しますarn:aws:iam::123456789012:policy/MyManagedPolicy。Documentプロパティのポリシードキュメントは URL エンコードされ、この例では .NET UrlDecode メソッドでデコードされます。

$results = Get-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy -VersionId v2
$results

出力:

CreateDate             Document                                        IsDefaultVersion     VersionId
----------             --------                                        ----------------     ---------
2/12/2015 9:39:53 AM   %7B%0A%20%20%22Version%22%3A%20%222012-10...    True                 v2

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
$policy = [System.Web.HttpUtility]::UrlDecode($results.Document)
$policy
{
  "Version": "2012-10-17",
  "Statement": 
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
}

例 1: この例では、ARN が であるポリシーの使用可能なバージョンのリストを返しますarn:aws:iam::123456789012:policy/MyManagedPolicy。特定のバージョンのポリシードキュメントを取得するには、Get-IAMPolicyVersion コマンドを使用して、必要なバージョンの VersionId を指定します。

Get-IAMPolicyVersionList -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy

出力:

CreateDate                   Document                 IsDefaultVersion                  VersionId
----------                   --------                 ----------------                  ---------
2/12/2015 9:39:53 AM                                  True                              v2
2/12/2015 9:39:09 AM                                  False                             v1

例 1: この例では、lamda_exec_role の詳細を返します。これには、このロールの引き受け先を指定する信頼ポリシードキュメントが含まれています。ポリシードキュメントは URL エンコードされており、.NET UrlDecodeメソッドを使用してデコードできます。この例では、元のポリシーは、ポリシーにアップロードされる前にすべての空白が削除されています。ロールを引き受けるユーザーが実行できる操作を決定するアクセス許可ポリシードキュメントを確認するには、インラインポリシーには Get-IAMRolePolicy を使用し、アタッチされた管理ポリシーには Get-IAMPolicyVersion を使用します。

$results = Get-IamRole -RoleName lambda_exec_role
$results | Format-List

出力:

Arn                      : arn:aws:iam::123456789012:role/lambda_exec_role
AssumeRolePolicyDocument : %7B%22Version%22%3A%222012-10-17%22%2C%22Statement%22%3A%5B%7B%22Sid%22
                           %3A%22%22%2C%22Effect%22%3A%22Allow%22%2C%22Principal%22%3A%7B%22Service
                           %22%3A%22lambda.amazonaws.com%22%7D%2C%22Action%22%3A%22sts%3AAssumeRole
                           %22%7D%5D%7D
CreateDate               : 4/2/2015 9:16:11 AM
Path                     : /
RoleId                   : 2YBIKAIBHNKB4EXAMPLE1
RoleName                 : lambda_exec_role

$policy = [System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
$policy

出力:

{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"Service":"lambda.amazonaws.com"},"Action":"sts:AssumeRole"}]}

例 1: この例では、 内のすべての IAM ロールのリストを取得します AWS アカウント。

Get-IAMRoleList

例 1: この例では、IAM ロール にoneClick_lambda_exec_role_policy埋め込まれた という名前のポリシーのアクセス許可ポリシードキュメントを返しますlamda_exec_role。結果のポリシードキュメントは URL エンコードされています。この例では、.NET UrlDecode メソッドでデコードされます。

$results = Get-IAMRolePolicy -RoleName lambda_exec_role -PolicyName oneClick_lambda_exec_role_policy
$results

出力:

PolicyDocument                                            PolicyName                           UserName
--------------                                            ----------                           --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    oneClick_lambda_exec_role_policy     lambda_exec_role

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)

出力:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:*"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    }
  ]
}

例 1: この例では、IAM ロール に埋め込まれているインラインポリシーの名前のリストを返しますlamda_exec_role。インラインポリシーの詳細を表示するには、Get-IAMRolePolicy コマンドを使用します。

Get-IAMRolePolicyList -RoleName lambda_exec_role

出力:

oneClick_lambda_exec_role_policy

例 1: この例では、ロールに関連付けられているタグを取得します。

Get-IAMRoleTagList -RoleName MyRoleName

例 1: この例では、SAML が arn:aws:iam::123456789012:saml-provider/SAMLADFS である ARM 2.0 プロバイダーの詳細を取得します。レスポンスには、 AWS SAML プロバイダーエンティティを作成するために ID プロバイダーから取得したメタデータドキュメントと、作成日と有効期限が含まれます。

Get-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS

出力:

CreateDate                 SAMLMetadataDocument                                          ValidUntil
----------                 --------------------                                          ----------
12/23/2014 12:16:55 PM    <EntityDescriptor ID="_12345678-1234-5678-9012-example1...    12/23/2114 12:16:54 PM

例 1: この例では、現在の で作成された SAML 2.0 プロバイダーのリストを取得します AWS アカウント。各 ARN プロバイダーの SAML、作成日、有効期限を返します。

Get-IAMSAMLProviderList

出力:

Arn                                                 CreateDate                      ValidUntil
---                                                 ----------                      ----------
arn:aws:iam::123456789012:saml-provider/SAMLADFS    12/23/2014 12:16:55 PM          12/23/2114 12:16:54 PM

例 1: この例では、MyServerCertificate という名前のサーバー証明書に関する詳細を取得します。証明書の詳細は、CertificateBody および ServerCertificateMetadata プロパティで確認できます。

$result = Get-IAMServerCertificate -ServerCertificateName MyServerCertificate
$result | format-list

出力:

CertificateBody           : -----BEGIN CERTIFICATE-----
                            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                            NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                            -----END CERTIFICATE-----
CertificateChain          : 
ServerCertificateMetadata : Amazon.IdentityManagement.Model.ServerCertificateMetadata

$result.ServerCertificateMetadata

出力:

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

例 1: この例では、現在の AWS アカウントにアップロードされたサーバー証明書のリストを取得します。

Get-IAMServerCertificateList

出力:

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

例 1: この例では、リクエストコールに関連付けられた IAM エンティティ (ユーザー、グループ、ロール、またはポリシー) が最後にアクセスしたサービスの詳細を提供します。

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

出力:

f0b7a819-eab0-929b-dc26-ca598911cb9f

Get-IAMServiceLastAccessedDetail -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f

例 1: この例では、それぞれの IAM エンティティによってリクエストで最後にアクセスされたサービスのタイムスタンプを提供します。

$results = Get-IAMServiceLastAccessedDetailWithEntity -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f -ServiceNamespace ec2
$results

出力:

EntityDetailsList : {Amazon.IdentityManagement.Model.EntityDetails}
Error             : 
IsTruncated       : False
JobCompletionDate : 12/29/19 11:19:31 AM
JobCreationDate   : 12/29/19 11:19:31 AM
JobStatus         : COMPLETED
Marker            : 

$results.EntityDetailsList

出力:

EntityInfo                                 LastAuthenticated
----------                                 -----------------
Amazon.IdentityManagement.Model.EntityInfo 11/16/19 3:47:00 PM

$results.EntityInfo

出力:

Arn  : arn:aws:iam::123456789012:user/TestUser
Id   : AIDA4NBK5CXF5TZHU1234
Name : TestUser
Path : /
Type : USER

例 1: この例では、Bob という名前のユーザーに関連付けられている署名証明書に関する詳細を取得します。

Get-IAMSigningCertificate -UserName Bob

出力:

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

例 1: この例では、David という名前のユーザーに関する詳細を取得します。

Get-IAMUser -UserName David

出力:

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE1
UserName         : David

例 2: この例では、現在サインインしている IAM ユーザーの詳細を取得します。

Get-IAMUser

出力:

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 10/16/2014 9:03:09 AM
PasswordLastUsed : 3/4/2015 12:12:33 PM
Path             : /
UserId           : 7K3GJEANSKZF2EXAMPLE2
UserName         : Bob

例 1: この例では、現在のユーザーのコレクションを取得します AWS アカウント。

Get-IAMUserList

出力:

      Arn              : arn:aws:iam::123456789012:user/Administrator
      CreateDate       : 10/16/2014 9:03:09 AM
      PasswordLastUsed : 3/4/2015 12:12:33 PM
      Path             : /
      UserId           : 7K3GJEANSKZF2EXAMPLE1
      UserName         : Administrator
      
      Arn              : arn:aws:iam::123456789012:user/Bob
      CreateDate       : 4/6/2015 12:54:42 PM
      PasswordLastUsed : 1/1/0001 12:00:00 AM
      Path             : /
      UserId           : L3EWNONDOM3YUEXAMPLE2
      UserName         : bab
      
      Arn              : arn:aws:iam::123456789012:user/David
      CreateDate       : 12/10/2014 3:39:27 PM
      PasswordLastUsed : 3/19/2015 8:44:04 AM
      Path             : /
      UserId           : Y4FKWQCXTA52QEXAMPLE3
      UserName         : David

例 1: この例では、 という名前の IAM ユーザーに組み込まれDavids_IAM_Admin_Policyている という名前のインラインポリシーの詳細を取得しますDavid。ポリシードキュメントは URL エンコードされています。

$results = Get-IAMUserPolicy -PolicyName Davids_IAM_Admin_Policy -UserName David
$results

出力:

PolicyDocument                                            PolicyName                    UserName
--------------                                            ----------                    --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    Davids_IAM_Admin_Policy       David

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

例 1: この例では、 という名前の IAM ユーザーに組み込まれているインラインポリシーの名前のリストを取得しますDavid。

Get-IAMUserPolicyList -UserName David

出力:

Davids_IAM_Admin_Policy

例 1: この例では、ユーザーに関連付けられているタグを取得します。

Get-IAMUserTagList -UserName joe

例 1: この例では、 AWS アカウントのユーザーに割り当てられた仮想 MFA デバイスのコレクションを取得します。各 のUserプロパティは、デバイスが割り当てられている IAM ユーザーの詳細を含むオブジェクトです。

Get-IAMVirtualMFADevice -AssignmentStatus Assigned

出力:

Base32StringSeed : 
EnableDate       : 4/13/2015 12:03:42 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/David
User             : Amazon.IdentityManagement.Model.User

Base32StringSeed : 
EnableDate       : 4/13/2015 12:06:41 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/root-account-mfa-device
User             : Amazon.IdentityManagement.Model.User

例 1: この例では、新しいアクセスキーとシークレットアクセスキーのペアを作成し、それをユーザー David に割り当てます。SecretAccessKey を取得できるのはこのときだけなので、AccessKeyId と SecretAccessKey の値は必ずファイルに保存してください。後で取得することはできません。シークレットアクセスキーを紛失した場合は、新しいアクセスキーペアを作成する必要があります。

New-IAMAccessKey -UserName David

出力:

AccessKeyId     : AKIAIOSFODNN7EXAMPLE
CreateDate      : 4/13/2015 1:00:42 PM
SecretAccessKey : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Status          : Active
UserName        : David

例 1: この例では、アカウントのアカウントエイリアス AWS を に変更しますmycompanyaws。ユーザーログオンページが https://mycompanyaws.signin.aws.amazon.com/console. に保持するアドレス エイリアス (https://<accountidnumber>.signin.aws.amazon.com/console) の代わりにアカウント ID 番号を使用する元の URL は引き続き機能します。ただし、以前に定義されたエイリアスベースの URLs は機能しなくなります。

New-IAMAccountAlias -AccountAlias mycompanyaws

例 1: この例では、 という名前の新しい IAM グループを作成しますDevelopers。

New-IAMGroup -GroupName Developers

出力:

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 4/14/2015 11:21:31 AM
GroupId    : QNEJ5PM4NFSQCEXAMPLE1
GroupName  : Developers
Path       : /

例 1: この例では、 という名前の新しい IAM インスタンスプロファイルを作成しますProfileForDevEC2Instance。インスタンスプロファイルをインスタンスへのアクセス許可を提供する既存の IAM ロールに関連付けるには、 Add-IAMRoleToInstanceProfile コマンドを個別に実行する必要があります。最後に、起動時にインスタンスプロファイルを EC2 インスタンスにアタッチします。そのためには、New-EC2Instance コマンドレットを InstanceProfile_Arn または InstanceProfile_Name パラメータと共に使用します。

New-IAMInstanceProfile -InstanceProfileName ProfileForDevEC2Instance

出力:

Arn                 : arn:aws:iam::123456789012:instance-profile/ProfileForDevEC2Instance
CreateDate          : 4/14/2015 11:31:39 AM
InstanceProfileId   : DYMFXL556EY46EXAMPLE1
InstanceProfileName : ProfileForDevEC2Instance
Path                : /
Roles               : {}

例 1: この例では、Bob という名前の IAM ユーザーの (一時的な) パスワードを作成し、次回Bobサインイン時にパスワードを変更する必要があるフラグを設定します。

New-IAMLoginProfile -UserName Bob -Password P@ssw0rd -PasswordResetRequired $true

出力:

CreateDate                    PasswordResetRequired                UserName
----------                    ---------------------                --------
4/14/2015 12:26:30 PM         True                                 Bob

例 1: この例では、OIDC IAM https://example.oidcprovider.comとクライアント ID にある OIDC 互換プロバイダーサービスに関連付けられた URL プロバイダーを作成しますmy-testapp-1。OIDC プロバイダーはサムプリントを提供します。サムプリントを認証するには、http://docs.aws.amazon.com/IAM/latest/UserGuide/identity-providers-oidc-obtain-thumbprint.html の手順に従ってください。

New-IAMOpenIDConnectProvider -Url https://example.oidcprovider.com -ClientIDList my-testapp-1 -ThumbprintList 990F419EXAMPLEECF12DDEDA5EXAMPLE52F20D9E

出力:

arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

例 1: この例では、現在の AWS アカウントに新しい IAM MySamplePolicy ポリシーを作成します。 ファイルはポリシーコンテンツMySamplePolicy.jsonを提供します。JSON ポリシーファイルを正常に処理するには、-Rawスイッチパラメータを使用する必要があります。

New-IAMPolicy -PolicyName MySamplePolicy -PolicyDocument (Get-Content -Raw MySamplePolicy.json)

出力:

Arn              : arn:aws:iam::123456789012:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 4/14/2015 2:45:59 PM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : LD4KP6HVFE7WGEXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 4/14/2015 2:45:59 PM

例 1: この例では、IAM が である ARN ポリシーの新しい「v2」バージョンを作成しarn:aws:iam::123456789012:policy/MyPolicy、それをデフォルトバージョンにします。NewPolicyVersion.json ファイルは、ポリシーの内容を提供します。JSON ポリシーファイルを正常に処理するには、-Rawスイッチパラメータを使用する必要があります。

New-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -PolicyDocument (Get-content -Raw NewPolicyVersion.json) -SetAsDefault $true

出力:

CreateDate                           Document                  IsDefaultVersion             VersionId
----------                           --------                  ----------------             ---------
4/15/2015 10:54:54 AM                                          True                         v2

例 1: この例では、MyNewRole という名前の新しいロールを作成し、NewRoleTrustPolicy.json ファイルにあるポリシーをそのロールにアタッチします。JSON ポリシーファイルを正常に処理するには、-Rawスイッチパラメータを使用する必要があります。出力に表示されるポリシードキュメントは URL エンコードされています。この例では、.NET UrlDecode メソッドでデコードされます。

$results = New-IAMRole -AssumeRolePolicyDocument (Get-Content -raw NewRoleTrustPolicy.json) -RoleName MyNewRole
$results

出力:

Arn                      : arn:aws:iam::123456789012:role/MyNewRole
AssumeRolePolicyDocument : %7B%0D%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0D%0A%20%20%22Statement%22
                           %3A%20%5B%0D%0A%20%20%20%20%7B%0D%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C
                           %0D%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0D%0A%20%20%20%20%20%20
                           %22Principal%22%3A%20%7B%0D%0A%20%20%20%20%20%20%20%20%22AWS%22%3A%20%22arn%3Aaws
                           %3Aiam%3A%3A123456789012%3ADavid%22%0D%0A%20%20%20%20%20%20%7D%2C%0D%0A%20%20%20
                           %20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0D%0A%20%20%20%20%7D%0D%0A%20
                           %20%5D%0D%0A%7D
CreateDate               : 4/15/2015 11:04:23 AM
Path                     : /
RoleId                   : V5PAJI2KPN4EAEXAMPLE1
RoleName                 : MyNewRole

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:David"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

例 1: この例では、SAML に新しい IAM プロバイダーエンティティを作成します。名前MySAMLProviderが付けられSAMLMetaData.xml、SAML サービスプロバイダーの Web サイトから個別にダウンロードされた ファイル にある SAML メタデータドキュメントで説明されています。

New-IAMSAMLProvider -Name MySAMLProvider -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

出力:

arn:aws:iam::123456789012:saml-provider/MySAMLProvider

例 1: この例では、自動スケーリングサービスのサービスにリンクされたロールを作成します。

New-IAMServiceLinkedRole -AWSServiceName autoscaling.amazonaws.com -CustomSuffix RoleNameEndsWithThis -Description "My service-linked role to support autoscaling"

例 1: この例では、 という名前の IAM ユーザーを作成しますBob。Bob が AWS コンソールにサインインする必要がある場合は、 コマンドを個別に実行New-IAMLoginProfileして、パスワードでサインインプロファイルを作成する必要があります。Bob が AWS PowerShell コマンドまたはクロスプラットフォーム CLI コマンドまたは make AWS API 呼び出しを実行する必要がある場合は、 New-IAMAccessKey コマンドを個別に実行してアクセスキーを作成する必要があります。

New-IAMUser -UserName Bob

出力:

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 4/22/2015 12:02:11 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : AIDAJWGEFDMEMEXAMPLE1
UserName         : Bob

例 1: この例では、新しい仮想 MFA デバイスを作成します。2 行目と 3 行目は、仮想 MFA ソフトウェアプログラムがアカウントを作成するために必要なBase32StringSeed値を抽出します (QR コードの代替として）。この値でプログラムを設定したら、プログラムから 2 つの連続した認証コードを取得します。最後に、最後のコマンドを使用して仮想 MFA デバイスを IAM ユーザーにリンクBobし、アカウントを 2 つの認証コードと同期します。

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$SR = New-Object System.IO.StreamReader($Device.Base32StringSeed)
$base32stringseed = $SR.ReadToEnd()
$base32stringseed   
CZWZMCQNW4DEXAMPLE3VOUGXJFZYSUW7EXAMPLECR4NJFD65GX2SLUDW2EXAMPLE

出力:

-- Pause here to enter base-32 string seed code into virtual MFA program to register account. --

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

例 2: この例では、新しい仮想 MFA デバイスを作成します。2 行目と 3 行目は、QRCodePNG 値を抽出してファイルに書き込みます。このイメージは、仮想 MFA ソフトウェアプログラムでスキャンしてアカウントを作成できます (Base32StringSeed 値を手動で入力する代わりに）。仮想 MFA プログラムでアカウントを作成したら、2 つのシーケンシャル認証コードを取得し、最後のコマンドに入力して仮想 MFA デバイスを IAM ユーザーにリンクBobし、アカウントを同期します。

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$BR = New-Object System.IO.BinaryReader($Device.QRCodePNG)
$BR.ReadBytes($BR.BaseStream.Length) | Set-Content -Encoding Byte -Path QRCode.png

出力:

 -- Pause here to scan PNG with virtual MFA program to register account. -- 

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

例 1: この例では、IAM アカウントに新しいサーバー証明書をアップロードします。証明書本文、プライベートキー、および (オプションで) 証明書チェーンを含むファイルはすべて PEM エンコードされている必要があります。パラメータにはファイル名ではなくファイルの実際の内容が必要であることに注意してください。ファイルの内容を正常に処理するには、-Raw スイッチパラメータを使用する必要があります。

Publish-IAMServerCertificate -ServerCertificateName MyTestCert -CertificateBody (Get-Content -Raw server.crt) -PrivateKey (Get-Content -Raw server.key)

出力:

Arn                   : arn:aws:iam::123456789012:server-certificate/MyTestCert
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /
ServerCertificateId   : ASCAJIEXAMPLE7J7HQZYW
ServerCertificateName : MyTestCert
UploadDate            : 4/21/2015 11:14:16 AM

例 1: この例では、新しい X.509 署名証明書をアップロードし、 という名前の IAM ユーザーと関連付けますBob。証明書本文を含むファイルは PEM エンコードされています。CertificateBody パラメータには、ファイル名ではなく証明書ファイルの実際の内容が必要です。ファイルを正常に処理するには、-Raw スイッチパラメータを使用する必要があります。

Publish-IAMSigningCertificate -UserName Bob -CertificateBody (Get-Content -Raw SampleSigningCert.pem)

出力:

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCEXAMPLEHMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

例 1: この例では、 という名前のカスタマー管理ポリシーを IAM グループ TesterPolicy にアタッチしますTesters。そのグループのユーザーは、そのポリシーのデフォルトバージョンで定義されているアクセス権限の影響をすぐに受けます。

Register-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

例 2: この例では、 という名前の AWS マネージドポリシーを IAM グループ AdministratorAccessにアタッチしますAdmins。そのグループのユーザーは、そのポリシーの最新バージョンで定義されているアクセス権限の影響をすぐに受けます。

Register-IAMGroupPolicy -GroupName Admins -PolicyArn arn:aws:iam::aws:policy/AdministratorAccess

例 1: この例では、 という名前の AWS マネージドポリシーを IAM ロール SecurityAuditにアタッチしますCoSecurityAuditors。そのロールを引き受けるユーザーは、そのポリシーの最新バージョンで定義されているアクセス権限の影響をすぐに受けます。

Register-IAMRolePolicy -RoleName CoSecurityAuditors -PolicyArn arn:aws:iam::aws:policy/SecurityAudit

例 1: この例では、 という名前の AWS マネージドポリシーを IAM ユーザー AmazonCognitoPowerUserにアタッチしますBob。ユーザーは、そのポリシーの最新バージョンで定義されているアクセス権限の影響をすぐに受けます。

Register-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::aws:policy/AmazonCognitoPowerUser

例 1: この例では、 という名前のユーザーAKIAIOSFODNN7EXAMPLEからキー ID を持つ AWS アクセスキーペアを削除しますBob。

Remove-IAMAccessKey -AccessKeyId AKIAIOSFODNN7EXAMPLE -UserName Bob -Force

例 1: この例では、 からアカウントエイリアスを削除します AWS アカウント。ユーザーが https://mycompanyaws.signin.aws.amazon.com/console のエイリアスでサインインしたページが機能しなくなりました。代わりに、https://<accountidnumber>.signin.aws.amazon.com/console. の AWS アカウント ID 番号で元の URL を使用する必要があります。

Remove-IAMAccountAlias -AccountAlias mycompanyaws

例 1: この例では、 のパスワードポリシーを削除 AWS アカウント し、すべての値を元のデフォルトにリセットします。パスワードポリシーが現在存在しない場合、次のエラーメッセージが表示されます。name PasswordPolicy のアカウントポリシーが見つかりません。

Remove-IAMAccountPasswordPolicy

例 1: この例では、IDs ARNが である IAM プロバイダーに関連付けられているクライアント OIDC のMy-TestApp-3リストからクライアント ID を削除しますarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com。

Remove-IAMClientIDFromOpenIDConnectProvider -ClientID My-TestApp-3 -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

例 1: この例では、 という名前の IAM グループを削除しますMyTestGroup。最初のコマンドはグループのメンバーである IAM ユーザーを削除し、2 番目のコマンドは IAM グループを削除します。どちらのコマンドも、確認を求めるプロンプトが表示されなくても機能します。

(Get-IAMGroup -GroupName MyTestGroup).Users | Remove-IAMUserFromGroup -GroupName MyTestGroup -Force
Remove-IAMGroup -GroupName MyTestGroup -Force

例 1: この例では、 という名前のインラインポリシーを IAM グループ TesterPolicyから削除しますTesters。そのグループのユーザーは、そのポリシーで定義されているアクセス権限をすぐに失います。

Remove-IAMGroupPolicy -GroupName Testers -PolicyName TestPolicy

例 1: この例では、 という名前の EC2 インスタンスプロファイルを削除しますMyAppInstanceProfile。最初のコマンドはインスタンスプロファイルからすべてのロールをデタッチし、2 番目のコマンドはインスタンスプロファイルを削除します。

(Get-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile).Roles | Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyAppInstanceProfile
Remove-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile

例 1: この例では、 という名前の IAM ユーザーからログインプロファイルを削除しますBob。これにより、ユーザーが AWS コンソールにサインインできなくなります。ユーザーアカウントにまだアタッチされている可能性のある AWS アクセスキーを使用して、ユーザーが AWS CLI、 PowerShell、または API コールを実行できないようにします。

Remove-IAMLoginProfile -UserName Bob

例 1: この例では、プロバイダー に接続する IAMOIDC プロバイダーを削除しますexample.oidcprovider.com。ロールの信頼ポリシーの Principal 要素で、このプロバイダーを参照するロールをすべて更新または削除してください。

Remove-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

例 1: この例では、ARN が であるポリシーを削除しますarn:aws:iam::123456789012:policy/MySamplePolicy。ポリシーを削除する前に、Remove-IAMPolicyVersion を実行して、デフォルト以外のすべてのバージョンを削除する必要があります。また、IAM ユーザー、グループ、またはロールからポリシーをデタッチする必要があります。

Remove-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

例 2: この例では、まずすべてのデフォルト以外のポリシーバージョンを削除し、アタッチされたすべての IAM エンティティから切り離し、最後にポリシー自体を削除することで、ポリシーを削除します。1 行目では、ポリシーオブジェクトを取得します。2 行目では、デフォルトバージョンとしてフラグが立てられていないすべてのポリシーバージョンをコレクションに取得し、コレクション内の各ポリシーを削除します。3 行目は、ポリシーがアタッチされているすべての IAM ユーザー、グループ、ロールを取得します。4 行目から 6 行目では、アタッチされている各エンティティからポリシーをデタッチします。最後の行では、このコマンドを使用して管理ポリシーと残りのデフォルトバージョンを削除します。この例には、確認を求めるプロンプトを非表示にするための -Force switch パラメータが、このパラメータを必要とする行に含まれています。

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
$attached = Get-IAMEntitiesForPolicy -PolicyArn $pol.Arn
$attached.PolicyGroups | Unregister-IAMGroupPolicy -PolicyArn $pol.arn
$attached.PolicyRoles | Unregister-IAMRolePolicy -PolicyArn $pol.arn
$attached.PolicyUsers | Unregister-IAMUserPolicy -PolicyArn $pol.arn
Remove-IAMPolicy $pol.Arn -Force

例 1: この例では、 ARN単語を持つポリシーv2から として識別されたバージョンを削除しますarn:aws:iam::123456789012:policy/MySamplePolicy。

Remove-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy -VersionID v2

例 2: この例では、最初にデフォルト以外のポリシーバージョンをすべて削除し、次にポリシー自体を削除することでポリシーを削除します。1 行目では、ポリシーオブジェクトを取得します。2 行目では、デフォルトとしてフラグが立てられていないすべてのポリシーバージョンをコレクションに取得し、このコマンドを使用してコレクション内の各ポリシーを削除します。最後の行では、ポリシー自体と残りのデフォルトバージョンを削除します。管理ポリシーを正常に削除するには、Unregister-IAMUserPolicy、Unregister-IAMGroupPolicy、Unregister-IAMRolePolicy コマンドを使用して、ユーザー、グループ、またはロールからポリシーをデタッチする必要があることに注意してください。Remove-IAMPolicy コマンドレットの例を参照してください。

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
Remove-IAMPolicy -PolicyArn $pol.Arn -force

例 1: この例では、現在の IAM アカウントMyNewRoleから という名前のロールを削除します。ロールを削除する前に、まず Unregister-IAMRolePolicy コマンドを使用して、管理ポリシーをデタッチする必要があります。インラインポリシーは、ロールと共に削除されます。

Remove-IAMRole -RoleName MyNewRole

例 2: この例では、MyNewRole という名前のロールから管理ポリシーをすべてデタッチして、ロールを削除します。最初の行では、ロールにアタッチされているすべての管理ポリシーをコレクションとして取得し、コレクション内の各ポリシーをロールからデタッチします。2 行目では、ロール自体を削除します。インラインポリシーは、ロールと共に削除されます。

Get-IAMAttachedRolePolicyList -RoleName MyNewRole | Unregister-IAMRolePolicy -RoleName MyNewRole
Remove-IAMRole -RoleName MyNewRole

例 1: この例では、 という名前の EC2 インスタンスプロファイルMyNewRoleから という名前のロールを削除しますMyNewRole。IAM コンソールで作成されるインスタンスプロファイルの名前は常に、この例のようにロールと同じです。API または CLI で作成した場合、名前を変更できます。

Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyNewRole -RoleName MyNewRole -Force

例 1: この例では、IAM ロールにアタッチされたアクセス許可境界を削除する方法を示しています。

Remove-IAMRolePermissionsBoundary -RoleName MyRoleName

例 1: この例では、IAM ロール に埋め込まれS3AccessPolicyているインラインポリシーを削除しますS3BackupRole。

Remove-IAMRolePolicy -PolicyName S3AccessPolicy -RoleName S3BackupRole

例 1: この例では、「abac」というタグキーを持つMyRoleName」という名前のロールからタグを削除します。複数のタグを削除するには、カンマで区切ったタグキーリストを指定します。

Remove-IAMRoleTag -RoleName MyRoleName -TagKey "abac","xyzw"

例 1: この例では、IAM が である ARN SAML 2.0 プロバイダーを削除しますarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider。

Remove-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

例 1: この例では、MyServerCert という名前のサーバー証明書を削除します。

Remove-IAMServerCertificate -ServerCertificateName MyServerCert

例 1: この例では、サービスにリンクされたロールを削除しました。サービスがこのロールをまだ使用している場合、このコマンドは失敗することに注意してください。

Remove-IAMServiceLinkedRole -RoleName AWSServiceRoleForAutoScaling_RoleNameEndsWithThis

例 1: この例では、 という名前の IAM ユーザーY3EK7RMEXAMPLESV33FCREXAMPLEMJLUから ID の署名証明書を削除しますBob。

Remove-IAMSigningCertificate -UserName Bob -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU

例 1: この例では、 という名前の IAM ユーザーを削除しますBob。

Remove-IAMUser -UserName Bob

例 2: この例では、 という名前の IAM ユーザーTheresaと、最初に削除する必要がある要素を削除します。

$name = "Theresa"

# find any groups and remove user from them
$groups = Get-IAMGroupForUser -UserName $name
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName $name -Force }

# find any inline policies and delete them
$inlinepols = Get-IAMUserPolicies -UserName $name
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName $name -Force}

# find any managed polices and detach them
$managedpols = Get-IAMAttachedUserPolicies -UserName $name
foreach ($pol in $managedpols) { Unregister-IAMUserPolicy -PolicyArn $pol.PolicyArn -UserName $name }

# find any signing certificates and delete them
$certs = Get-IAMSigningCertificate -UserName $name
foreach ($cert in $certs) { Remove-IAMSigningCertificate -CertificateId $cert.CertificateId -UserName $name -Force }

# find any access keys and delete them
$keys = Get-IAMAccessKey -UserName $name
foreach ($key in $keys) { Remove-IAMAccessKey -AccessKeyId $key.AccessKeyId -UserName $name -Force }

# delete the user's login profile, if one exists - note: need to use try/catch to suppress not found error
try { $prof = Get-IAMLoginProfile -UserName $name -ea 0 } catch { out-null }
if ($prof) { Remove-IAMLoginProfile -UserName $name -Force }

# find any MFA device, detach it, and if virtual, delete it.
$mfa = Get-IAMMFADevice -UserName $name
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

# finally, remove the user
Remove-IAMUser -UserName $name -Force

例 1: この例では、グループ Bobから IAM ユーザーを削除しますTesters。

Remove-IAMUserFromGroup -GroupName Testers -UserName Bob

例 2: この例では、IAM ユーザーがメンバーTheresaであるすべてのグループを検索し、それらのグループTheresaから削除します。

$groups = Get-IAMGroupForUser -UserName Theresa 
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName Theresa -Force }

例 3: この例では、TestersグループBobから IAM ユーザーを削除する代替方法を示しています。

Get-IAMGroupForUser -UserName Bob | Remove-IAMUserFromGroup -UserName Bob -GroupName Testers -Force

例 1: この例では、IAM ユーザーに添付されているアクセス許可境界を削除する方法を示しています。

Remove-IAMUserPermissionsBoundary -UserName joe

例 1: この例では、 という名前の IAM ユーザーに組み込まれAccessToEC2Policyている という名前のインラインポリシーを削除しますBob。

Remove-IAMUserPolicy -PolicyName AccessToEC2Policy -UserName Bob

例 2: この例では、 という名前の IAM ユーザーに組み込まれているすべてのインラインポリシーを検索しTheresa、それらを削除します。

$inlinepols = Get-IAMUserPolicies -UserName Theresa
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName Theresa -Force}

例 1: この例では、タグキーが「abac」と「xyzw」の「joe」という名前のユーザーからタグを削除します。複数のタグを削除するには、カンマで区切ったタグキーリストを指定します。

Remove-IAMUserTag -UserName joe -TagKey "abac","xyzw"

例 1: この例では、IAM が である Word 仮想 ARN MFA デバイスを削除しますarn:aws:iam::123456789012:mfa/bob。

Remove-IAMVirtualMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/bob

例 2: この例では、IAM ユーザー Theresa に MFA デバイスが割り当てられているかどうかを確認します。見つかった場合、デバイスは IAM ユーザーに対して無効になります。デバイスが仮想の場合は、そのデバイスも削除されます。

$mfa = Get-IAMMFADevice -UserName Theresa
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

例 1: この例では、4 時間ごとに実行できる新しいレポートの生成を要求しています。最新のレポートがまだ新しい場合、[状態] フィールドには COMPLETE と表示されます。Get-IAMCredentialReport を使用して、完成したレポートを表示します。

Request-IAMCredentialReport

出力:

Description                                                    State
-----------                                                    -----
No report exists. Starting a new report generation task        STARTED

例 1: この例では GenerateServiceLastAccessedDetails API の同等のコマンドレットです。これにより、Get-IAMServiceLastAccessedDetail および Get-Word で使用できるジョブ ID が提供されますIAMServiceLastAccessedDetailWithEntity

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

例 1: この例では、ARN がデフォルトのアクティブv2バージョンarn:aws:iam::123456789012:policy/MyPolicyであるポリシーのバージョンを設定します。

Set-IAMDefaultPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -VersionId v2

例 1: この例では、IAM ロールのアクセス許可境界を設定する方法を示しています。 AWS 管理ポリシーまたはカスタムポリシーは、アクセス許可の境界として設定できます。

Set-IAMRolePermissionsBoundary -RoleName MyRoleName -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

例 1: この例は、ユーザーのアクセス許可の境界を設定する方法を示しています。 AWS マネージドポリシーまたはカスタムポリシーは、アクセス許可の境界として設定できます。

Set-IAMUserPermissionsBoundary -UserName joe -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

例 1: この例では、MFA ユーザーに関連付けられている IAM デバイスを、2 Bob つの認証コードを提供する認証プログラムARNarn:aws:iam::123456789012:mfa/bobと同期します。

Sync-IAMMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/theresa -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Bob

例 2: この例では、IAM ユーザーに関連付けられている IAM MFA デバイスをTheresa、シリアル番号があり、2 つの認証コードを提供する物理デバイスABCD12345678と同期します。

Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Theresa

例 1: この例では、ARN が という名前のグループarn:aws:iam::123456789012:policy/TesterAccessPolicyから マネージドグループポリシーをデタッチしますTesters。

Unregister-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterAccessPolicy

例 2: この例では、Testers という名前のグループにアタッチされているすべての管理ポリシーを検索し、グループからデタッチします。

Get-IAMAttachedGroupPolicies -GroupName Testers | Unregister-IAMGroupPolicy -Groupname Testers

例 1: この例では、ARN が という名前のロールarn:aws:iam::123456789012:policy/FederatedTesterAccessPolicyから マネージドグループポリシーをデタッチしますFedTesterRole。

Unregister-IAMRolePolicy -RoleName FedTesterRole -PolicyArn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

例 2: この例では、FedTesterRole という名前のロールにアタッチされているすべての管理ポリシーを検索し、ロールからデタッチします。

Get-IAMAttachedRolePolicyList -RoleName FedTesterRole | Unregister-IAMRolePolicy -Rolename FedTesterRole

例 1: この例では、ARN が という名前の IAM ユーザーarn:aws:iam::123456789012:policy/TesterPolicyから マネージドポリシーをデタッチしますBob。

Unregister-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

例 2: この例では、 という名前の IAM ユーザーにアタッチされているすべてのマネージドポリシーを検索Theresaし、それらのポリシーをユーザーからデタッチします。

Get-IAMAttachedUserPolicyList -UserName Theresa | Unregister-IAMUserPolicy -Username Theresa

例 1: この例では、 という名前の IAM ユーザーのアクセスキーのステータスAKIAIOSFODNN7EXAMPLEを Bobに変更しますInactive。

Update-IAMAccessKey -UserName Bob -AccessKeyId AKIAIOSFODNN7EXAMPLE -Status Inactive

例 1: この例では、指定した設定でアカウントのパスワードポリシーを更新します。コマンドに含まれていないパラメータは変更されないままにはならないことに注意してください。代わりに、デフォルト値にリセットされます。

Update-IAMAccountPasswordPolicy -AllowUsersToChangePasswords $true -HardExpiry $false -MaxPasswordAge 90 -MinimumPasswordLength 8 -PasswordReusePrevention 20 -RequireLowercaseCharacters $true -RequireNumbers $true -RequireSymbols $true -RequireUppercaseCharacters $true

例 1: この例では、 という名前の IAM ロールを新しい信頼ポリシーClientRoleで更新します。その内容は ファイル から取得されますClientRolePolicy.json。JSON ファイルの内容を正しく処理するには、-Rawスイッチパラメータを使用する必要があります。

Update-IAMAssumeRolePolicy -RoleName ClientRole -PolicyDocument (Get-Content -raw ClientRolePolicy.json)

例 1: この例では、IAM グループの名前を Testersに変更しますAppTesters。

Update-IAMGroup -GroupName Testers -NewGroupName AppTesters

例 2: この例では、IAM グループのパスを AppTestersに変更します/Org1/Org2/。これにより、グループの ARN が に変更されますarn:aws:iam::123456789012:group/Org1/Org2/AppTesters。

Update-IAMGroup -GroupName AppTesters -NewPath /Org1/Org2/

例 1: この例では、IAM ユーザー に新しい一時パスワードを設定しBob、ユーザーが次回サインインするときにパスワードを変更する必要があります。

Update-IAMLoginProfile -UserName Bob -Password "P@ssw0rd1234" -PasswordResetRequired $true

例 1: この例では、OIDC が新しいサムプリントarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.comを使用する ARN プロバイダーの証明書のサムプリントリストを更新します。OIDC プロバイダーは、プロバイダーに関連付けられている証明書が変更されると、新しい値を共有します。

Update-IAMOpenIDConnectProviderThumbprint -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com -ThumbprintList 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

例 1: この例では、ロールの説明と、ロールのセッションをリクエストできる最大セッション期間の値 (秒単位) を更新します。

Update-IAMRole -RoleName MyRoleName -Description "My testing role" -MaxSessionDuration 43200

例 1: この例では、アカウントの IAM ロールの説明を更新します。

Update-IAMRoleDescription -RoleName MyRoleName -Description "My testing role"

例 1: この例では、SAML が IAM の ARN プロバイダーを、 ファイル から新しい SAML メタデータドキュメントarn:aws:iam::123456789012:saml-provider/SAMLADFSで更新しますSAMLMetaData.xml。JSON ファイルの内容を正しく処理するには、-Rawスイッチパラメータを使用する必要があります。

Update-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

例 1: この例では、MyServerCertificate という証明書の名前を MyRenamedServerCertificate に変更します。

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewServerCertificateName MyRenamedServerCertificate

例 2: この例では、 という名前の証明書MyServerCertificateを path /Org1/Org2/ に移動します。これにより、リソースの ARN が に変更されますarn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate。

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewPath /Org1/Org2/

例 1: この例では、 という名前の IAM ユーザーに関連付けられている証明書を更新BobしY3EK7RMEXAMPLESV33FCREXAMPLEMJLU、証明書 ID が非アクティブとしてマークされます。

Update-IAMSigningCertificate -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU -UserName Bob -Status Inactive

例 1: この例では、IAM ユーザーの名前を Bobに変更しますRobert。

Update-IAMUser -UserName Bob -NewUserName Robert

例 2: この例では、IAM ユーザーのパスを Bobに変更します。これにより/Org1/Org2/、ユーザーの ARN が に効果的に変更されますarn:aws:iam::123456789012:user/Org1/Org2/bob。

Update-IAMUser -UserName Bob -NewPath /Org1/Org2/

例 1: この例では、 という名前のインラインポリシーを作成しAppTesterPolicy、それを IAM グループ に埋め込みますAppTesters。同じ名前のインラインポリシーが既に存在する場合、上書きされます。JSON ポリシーコンテンツには ファイル が付属しますapptesterpolicy.json。JSON ファイルの内容を正しく処理するには、 -Rawパラメータを使用する必要があります。

Write-IAMGroupPolicy -GroupName AppTesters -PolicyName AppTesterPolicy -PolicyDocument (Get-Content -Raw apptesterpolicy.json)

例 1: この例では、 という名前のインラインポリシーを作成しFedTesterRolePolicy、それを IAM ロール に埋め込みますFedTesterRole。同じ名前のインラインポリシーが既に存在する場合、上書きされます。JSON ポリシーの内容は、 ファイル から取得されますFedTesterPolicy.json。JSON ファイルの内容を正しく処理するには、 -Rawパラメータを使用する必要があります。

Write-IAMRolePolicy -RoleName FedTesterRole -PolicyName FedTesterRolePolicy -PolicyDocument (Get-Content -Raw FedTesterPolicy.json)

例 1: この例では、 という名前のインラインポリシーを作成しEC2AccessPolicy、それを IAM ユーザー に埋め込みますBob。同じ名前のインラインポリシーが既に存在する場合、上書きされます。JSON ポリシーの内容は ファイル から取得されますEC2AccessPolicy.json。JSON ファイルの内容を正しく処理するには、 -Rawパラメータを使用する必要があります。

Write-IAMUserPolicy -UserName Bob -PolicyName EC2AccessPolicy -PolicyDocument (Get-Content -Raw EC2AccessPolicy.json)