IAMexemplos usando AWS CLI - AWS Command Line Interface

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

IAMexemplos usando AWS CLI

Os exemplos de código a seguir mostram como realizar ações e implementar cenários comuns usando o AWS Command Line Interface withIAM.

Ações são trechos de código de programas maiores e devem ser executadas em contexto. Embora as ações mostrem como chamar funções de serviço individuais, você pode ver as ações no contexto em seus cenários relacionados.

Cada exemplo inclui um link para o código-fonte completo, onde você pode encontrar instruções sobre como configurar e executar o código no contexto.

Tópicos

Ações

O código de exemplo a seguir mostra como usar add-client-id-to-open-id-connect-provider.

AWS CLI

Para adicionar um ID de cliente (público) a um provedor Open-ID Connect (OIDC)

O add-client-id-to-open-id-connect-provider comando a seguir adiciona o ID do cliente my-application-ID ao OIDC provedor chamadoserver.example.com.

aws iam add-client-id-to-open-id-connect-provider \ --client-id my-application-ID \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Este comando não produz saída.

Para criar um OIDC provedor, use o create-open-id-connect-provider comando.

Para obter mais informações, consulte Criação de provedores de identidade OpenID Connect (OIDC) no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar add-role-to-instance-profile.

AWS CLI

Adicionar um perfil a um perfil de instância

O comando add-role-to-instance-profile a seguir adiciona o perfil denominado S3Access ao perfil de instância denominado Webserver.

aws iam add-role-to-instance-profile \ --role-name S3Access \ --instance-profile-name Webserver

Este comando não produz saída.

Para criar um perfil de instância, use o comando create-instance-profile.

Para obter mais informações, consulte Como usar uma IAM função para conceder permissões a aplicativos executados em EC2 instâncias da Amazon no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar add-user-to-group.

AWS CLI

Para adicionar um usuário a um IAM grupo

O add-user-to-group comando a seguir adiciona um IAM usuário chamado Bob ao IAM grupo chamadoAdmins.

aws iam add-user-to-group \ --user-name Bob \ --group-name Admins

Este comando não produz saída.

Para obter mais informações, consulte Adicionar e remover usuários em um IAM grupo de usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte AddUserToGroupna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar attach-group-policy.

AWS CLI

Para anexar uma política gerenciada a um IAM grupo

O attach-group-policy comando a seguir anexa a política AWS gerenciada nomeada ReadOnlyAccess ao IAM grupo nomeadoFinance.

aws iam attach-group-policy \ --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \ --group-name Finance

Este comando não produz saída.

Para obter mais informações, consulte Políticas gerenciadas e políticas em linha no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte AttachGroupPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar attach-role-policy.

AWS CLI

Para anexar uma política gerenciada a uma IAM função

O attach-role-policy comando a seguir anexa a política AWS gerenciada nomeada ReadOnlyAccess à IAM função nomeadaReadOnlyRole.

aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \ --role-name ReadOnlyRole

Este comando não produz saída.

Para obter mais informações, consulte Políticas gerenciadas e políticas em linha no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte AttachRolePolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar attach-user-policy.

AWS CLI

Para anexar uma política gerenciada a um IAM usuário

O attach-user-policy comando a seguir anexa a política AWS gerenciada nomeada AdministratorAccess ao IAM usuário nomeadoAlice.

aws iam attach-user-policy \ --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \ --user-name Alice

Este comando não produz saída.

Para obter mais informações, consulte Políticas gerenciadas e políticas em linha no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte AttachUserPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar change-password.

AWS CLI

Para alterar a senha do seu IAM usuário

Para alterar a senha IAM do seu usuário, recomendamos usar o --cli-input-json parâmetro para transmitir um JSON arquivo que contenha suas senhas antigas e novas. Com esse método, você pode usar senhas fortes com caracteres não alfanuméricos. Pode ser difícil usar senhas com caracteres não alfanuméricos quando elas são transmitidas como parâmetros da linha de comando. Para usar o parâmetro --cli-input-json, comece usando o comando change-password com o parâmetro --generate-cli-skeleton, como no exemplo a seguir.

aws iam change-password \ --generate-cli-skeleton > change-password.json

O comando anterior cria um JSON arquivo chamado change-password.json que você pode usar para preencher suas senhas antigas e novas. Por exemplo, o perfil pode ter a aparência a seguir.

{ "OldPassword": "3s0K_;xh4~8XXI", "NewPassword": "]35d/{pB9Fo9wJ" }

Em seguida, para alterar sua senha, use o change-password comando novamente, desta vez passando o --cli-input-json parâmetro para especificar seu JSON arquivo. O change-password comando a seguir usa o --cli-input-json parâmetro com um JSON arquivo chamado change-password.json.

aws iam change-password \ --cli-input-json file://change-password.json

Este comando não produz saída.

Esse comando só pode ser chamado por IAM usuários. Se esse comando for chamado usando as credenciais AWS da conta (raiz), o comando retornará um InvalidUserType erro.

Para obter mais informações, consulte Como um IAM usuário altera sua própria senha no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte ChangePasswordna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-access-key.

AWS CLI

Para criar uma chave de acesso para um IAM usuário

O create-access-key comando a seguir cria uma chave de acesso (ID da chave de acesso e chave de acesso secreta) para o IAM usuário nomeadoBob.

aws iam create-access-key \ --user-name Bob

Saída:

{ "AccessKey": { "UserName": "Bob", "Status": "Active", "CreateDate": "2015-03-09T18:39:23.411Z", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" } }

Armazene a chave de acesso secreta em um local seguro. Se ela for perdida, não será possível recuperá-la e você deverá criar uma nova chave de acesso.

Para obter mais informações, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte CreateAccessKeyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-account-alias.

AWS CLI

Como criar um alias da conta

O create-account-alias comando a seguir cria o alias examplecorp para sua AWS conta.

aws iam create-account-alias \ --account-alias examplecorp

Este comando não produz saída.

Para obter mais informações, consulte o ID AWS da sua conta e seu alias no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar create-group.

AWS CLI

Para criar um IAM grupo

O create-group comando a seguir cria um IAM grupo chamadoAdmins.

aws iam create-group \ --group-name Admins

Saída:

{ "Group": { "Path": "/", "CreateDate": "2015-03-09T20:30:24.940Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }

Para obter mais informações, consulte Criação IAM de grupos de AWS IAMusuários no Guia do usuário.

  • Para API obter detalhes, consulte CreateGroupna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-instance-profile.

AWS CLI

Como criar um perfil de instância

O comando create-instance-profile, apresentado a seguir, cria um perfil de instância denominado Webserver.

aws iam create-instance-profile \ --instance-profile-name Webserver

Saída:

{ "InstanceProfile": { "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE", "Roles": [], "CreateDate": "2015-03-09T20:33:19.626Z", "InstanceProfileName": "Webserver", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver" } }

Para adicionar um perfil a um perfil de instância, use o comando add-role-to-instance-profile.

Para obter mais informações, consulte Como usar uma IAM função para conceder permissões a aplicativos executados em EC2 instâncias da Amazon no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar create-login-profile.

AWS CLI

Para criar uma senha para um IAM usuário

Para criar uma senha para um IAM usuário, recomendamos usar o --cli-input-json parâmetro para passar um JSON arquivo que contenha a senha. Usando esse método, você pode criar uma senha forte com caracteres não alfanuméricos. Pode ser difícil criar uma senha com caracteres não alfanuméricos ao transmiti-la como parâmetro da linha de comando.

Para usar o parâmetro --cli-input-json, comece usando o comando create-login-profile com o parâmetro --generate-cli-skeleton, como no exemplo a seguir.

aws iam create-login-profile \ --generate-cli-skeleton > create-login-profile.json

O comando anterior cria um JSON arquivo chamado create-login-profile .json que você pode usar para preencher as informações de um comando subsequentecreate-login-profile. Por exemplo:

{ "UserName": "Bob", "Password": "&1-3a6u:RA0djs", "PasswordResetRequired": true }

Em seguida, para criar uma senha para um IAM usuário, use o create-login-profile comando novamente, desta vez passando o --cli-input-json parâmetro para especificar seu JSON arquivo. O create-login-profile comando a seguir usa o --cli-input-json parâmetro com um JSON arquivo chamado create-login-profile .json.

aws iam create-login-profile \ --cli-input-json file://create-login-profile.json

Saída:

{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2015-03-10T20:55:40.274Z", "PasswordResetRequired": true } }

Se a nova senha violar a política de senha da conta, o comando retornará um erro PasswordPolicyViolation.

Para alterar a senha de um usuário que já tem uma, use update-login-profile. Para definir uma política de senha da conta, use o comando update-account-password-policy.

Se a política de senha da conta permitir, IAM os usuários poderão alterar suas próprias senhas usando o change-password comando.

Para obter mais informações, consulte Gerenciamento de senhas para IAM usuários no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar create-open-id-connect-provider.

AWS CLI

Para criar um provedor OpenID Connect () OIDC

Para criar um provedor OpenID Connect (OIDC), recomendamos usar o --cli-input-json parâmetro para transmitir um JSON arquivo que contenha os parâmetros necessários. Ao criar um OIDC provedor, você deve passar o URL do provedor e começar comhttps://. URL Pode ser difícil passar o URL como parâmetro de linha de comando, porque os caracteres de dois pontos (:) e barra (/) têm um significado especial em alguns ambientes de linha de comando. Usar o parâmetro --cli-input-json contorna essa limitação.

Para usar o parâmetro --cli-input-json, comece usando o comando create-open-id-connect-provider com o parâmetro --generate-cli-skeleton, como no exemplo a seguir.

aws iam create-open-id-connect-provider \ --generate-cli-skeleton > create-open-id-connect-provider.json

O comando anterior cria um JSON arquivo chamado create-open-id-connect -provider.json que você pode usar para preencher as informações de um comando subsequente. create-open-id-connect-provider Por exemplo:

{ "Url": "https://server.example.com", "ClientIDList": [ "example-application-ID" ], "ThumbprintList": [ "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE" ] }

Em seguida, para criar o provedor OpenID Connect (OIDC), use o create-open-id-connect-provider comando novamente, desta vez passando o --cli-input-json parâmetro para especificar seu JSON arquivo. O create-open-id-connect-provider comando a seguir usa o --cli-input-json parâmetro com um JSON arquivo chamado create-open-id-connect -provider.json.

aws iam create-open-id-connect-provider \ --cli-input-json file://create-open-id-connect-provider.json

Saída:

{ "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com" }

Para obter mais informações sobre OIDC provedores, consulte Criação de provedores de identidade OpenID Connect (OIDC) no Guia do AWS IAMusuário.

Para obter mais informações sobre como obter impressões digitais de um OIDC provedor, consulte Obter a impressão digital de um provedor de identidade OpenID Connect no Guia do usuário.AWS IAM

O código de exemplo a seguir mostra como usar create-policy-version.

AWS CLI

Como criar uma nova versão de uma política gerenciada

Este exemplo cria uma nova v2 versão da IAM política cujo ARN é arn:aws:iam::123456789012:policy/MyPolicy e a torna a versão padrão.

aws iam create-policy-version \ --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \ --policy-document file://NewPolicyVersion.json \ --set-as-default

Saída:

{ "PolicyVersion": { "CreateDate": "2015-06-16T18:56:03.721Z", "VersionId": "v2", "IsDefaultVersion": true } }

Para obter mais informações, consulte IAMPolíticas de controle de versão no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar create-policy.

AWS CLI

Exemplo 1: como criar uma política gerenciada pelo cliente

O comando apresentado a seguir cria uma política gerenciada pelo cliente denominada my-policy.

aws iam create-policy \ --policy-name my-policy \ --policy-document file://policy

O arquivo policy é um JSON documento na pasta atual que concede acesso somente de leitura à shared pasta em um bucket do Amazon S3 chamado. my-bucket

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket/shared/*" ] } ] }

Saída:

{ "Policy": { "PolicyName": "my-policy", "CreateDate": "2015-06-01T19:31:18.620Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "ZXR6A36LTYANPAI7NJ5UV", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::0123456789012:policy/my-policy", "UpdateDate": "2015-06-01T19:31:18.620Z" } }

Para obter mais informações sobre o uso de arquivos como entrada para parâmetros de string, consulte Especificar valores de parâmetros para o AWS CLI no Guia AWS CLI do usuário.

Exemplo 2: como criar uma política gerenciada pelo cliente com uma descrição

O seguinte comando cria uma política gerenciada pelo cliente denominada my-policy com uma descrição imutável:

aws iam create-policy \ --policy-name my-policy \ --policy-document file://policy.json \ --description "This policy grants access to all Put, Get, and List actions for my-bucket"

O arquivo policy.json é um JSON documento na pasta atual que concede acesso a todas as ações Put, List e Get de um bucket do Amazon S3 chamado. my-bucket

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }

Saída:

{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T22:38:47+00:00", "UpdateDate": "2023-05-24T22:38:47+00:00" } }

Para obter mais informações sobre políticas baseadas em identidade, consulte Políticas baseadas em identidade e políticas baseadas em recursos no Guia do usuário.AWS IAM

Exemplo 3: como criar uma política gerenciada pelo cliente com etiquetas

O comando apresentado a seguir cria uma política gerenciada pelo cliente, denominada my-policy, com etiquetas. Este exemplo usa o sinalizador de --tags parâmetro com as seguintes tags JSON formatadas:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Como alternativa, o sinalizador --tags pode ser usado com etiquetas no formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-policy \ --policy-name my-policy \ --policy-document file://policy.json \ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

O arquivo policy.json é um JSON documento na pasta atual que concede acesso a todas as ações Put, List e Get de um bucket do Amazon S3 chamado. my-bucket

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }

Saída:

{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::12345678012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T23:16:39+00:00", "UpdateDate": "2023-05-24T23:16:39+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, "Key": "Location", "Value": "Seattle" { ] } }

Para obter mais informações sobre políticas de marcação, consulte Marcação de políticas gerenciadas pelo cliente no Guia do AWS IAMusuário.

  • Para API obter detalhes, consulte CreatePolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-role.

AWS CLI

Exemplo 1: Para criar uma IAM função

O comando create-role, apresentado a seguir, cria um perfil, denominado Test-Role, e anexa uma política de confiança a ele.

aws iam create-role \ --role-name Test-Role \ --assume-role-policy-document file://Test-Role-Trust-Policy.json

Saída:

{ "Role": { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AKIAIOSFODNN7EXAMPLE", "CreateDate": "2013-06-07T20:43:32.821Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }

A política de confiança é definida como um JSON documento no arquivo Test-role-trust-policy.json. (O nome e a extensão do arquivo não têm significado.) A política de confiança deve especificar uma entidade principal.

Para anexar uma política de permissões a um perfil, use o comando put-role-policy.

Para obter mais informações, consulte Criação de IAM funções no Guia AWS IAM do usuário.

Exemplo 2: Para criar uma IAM função com duração máxima de sessão especificada

O comando create-role, apresentado a seguir, cria um perfil denominado Test-Role e define a duração máxima da sessão como 7.200 segundos (duas horas).

aws iam create-role \ --role-name Test-Role \ --assume-role-policy-document file://Test-Role-Trust-Policy.json \ --max-session-duration 7200

Saída:

{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:role/Test-Role", "CreateDate": "2023-05-24T23:50:25+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678012:root" }, "Action": "sts:AssumeRole" } ] } } }

Para obter mais informações, consulte Modificar a duração máxima da sessão de uma função (AWS API) no Guia do AWS IAM usuário.

Exemplo 3: Para criar uma IAM função com tags

O comando a seguir cria uma IAM função Test-Role com tags. Este exemplo usa o sinalizador de --tags parâmetro com as seguintes tags JSON formatadas:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Como alternativa, o sinalizador --tags pode ser usado com etiquetas no formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \ --role-name Test-Role \ --assume-role-policy-document file://Test-Role-Trust-Policy.json \ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Saída:

{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/Test-Role", "CreateDate": "2023-05-25T23:29:41+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }, "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }

Para obter mais informações, consulte Como marcar IAM funções no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte CreateRolena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-saml-provider.

AWS CLI

Para criar um SAML provedor

Este exemplo cria um novo SAML provedor em IAM namedMySAMLProvider. Ela é descrita pelo documento de SAML metadados encontrado no arquivoSAMLMetaData.xml.

aws iam create-saml-provider \ --saml-metadata-document file://SAMLMetaData.xml \ --name MySAMLProvider

Saída:

{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider" }

Para obter mais informações, consulte Criação de provedores de IAM SAML identidade no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar create-service-linked-role.

AWS CLI

Como criar um perfil vinculado ao serviço

O create-service-linked-role exemplo a seguir cria uma função vinculada ao serviço para o AWS serviço especificado e anexa a descrição especificada.

aws iam create-service-linked-role \ --aws-service-name lex.amazonaws.com \ --description "My service-linked role to support Lex"

Saída:

{ "Role": { "Path": "/aws-service-role/lex.amazonaws.com/", "RoleName": "AWSServiceRoleForLexBots", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots", "CreateDate": "2019-04-17T20:34:14+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "lex.amazonaws.com" ] } } ] } } }

Para obter mais informações, consulte Usando funções vinculadas a serviços no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar create-service-specific-credential.

AWS CLI

Crie um conjunto de credenciais específicas do serviço para um usuário

O create-service-specific-credential exemplo a seguir cria um nome de usuário e uma senha que podem ser usados para acessar somente o serviço configurado.

aws iam create-service-specific-credential \ --user-name sofia \ --service-name codecommit.amazonaws.com

Saída:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Para obter mais informações, consulte Criar credenciais do Git para HTTPS conexões CodeCommit no Guia do AWS CodeCommit usuário.

O código de exemplo a seguir mostra como usar create-user.

AWS CLI

Exemplo 1: Para criar um IAM usuário

O create-user comando a seguir cria um IAM usuário nomeado Bob na conta atual.

aws iam create-user \ --user-name Bob

Saída:

{ "User": { "UserName": "Bob", "Path": "/", "CreateDate": "2023-06-08T03:20:41.270Z", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } }

Para obter mais informações, consulte Criação de um IAM usuário em sua AWS conta no Guia AWS IAM do usuário.

Exemplo 2: Para criar um IAM usuário em um caminho especificado

O create-user comando a seguir cria um IAM usuário nomeado Bob no caminho especificado.

aws iam create-user \ --user-name Bob \ --path /division_abc/subdivision_xyz/

Saída:

{ "User": { "Path": "/division_abc/subdivision_xyz/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob", "CreateDate": "2023-05-24T18:20:17+00:00" } }

Para obter mais informações, consulte os IAMidentificadores no Guia do AWS IAM usuário.

Exemplo 3: Para criar um IAM usuário com tags

O create-user comando a seguir cria um IAM usuário chamado Bob com tags. Este exemplo usa o sinalizador de --tags parâmetro com as seguintes tags JSON formatadas:. '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}' Como alternativa, o sinalizador --tags pode ser usado com etiquetas no formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \ --user-name Bob \ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Saída:

{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-25T17:14:21+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }

Para obter mais informações, consulte Como marcar IAM usuários no Guia do AWS IAM usuário.

Exemplo 3: Para criar um IAM usuário com um limite de permissões definido

O create-user comando a seguir cria um IAM usuário chamado Bob com o limite de permissões do FullAccess AmazonS3.

aws iam create-user \ --user-name Bob \ --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Saída:

{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-24T17:50:53+00:00", "PermissionsBoundary": { "PermissionsBoundaryType": "Policy", "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" } } }

Para obter mais informações, consulte Limites de permissões para IAM entidades no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte CreateUserna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-virtual-mfa-device.

AWS CLI

Para criar um MFA dispositivo virtual

Este exemplo cria um novo MFA dispositivo virtual chamadoBobsMFADevice. Ele cria um arquivo contendo informações de bootstrap denominadas QRCode.png e as coloca no diretório C:/. O método de bootstrap usado neste exemplo é QRCodePNG.

aws iam create-virtual-mfa-device \ --virtual-mfa-device-name BobsMFADevice \ --outfile C:/QRCode.png \ --bootstrap-method QRCodePNG

Saída:

{ "VirtualMFADevice": { "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice" }

Para obter mais informações, consulte Usando a autenticação multifator (MFA) AWS no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar deactivate-mfa-device.

AWS CLI

Para desativar um dispositivo MFA

Esse comando desativa o MFA dispositivo virtual associado ao usuário. ARN arn:aws:iam::210987654321:mfa/BobsMFADevice Bob

aws iam deactivate-mfa-device \ --user-name Bob \ --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Este comando não produz saída.

Para obter mais informações, consulte Usando a autenticação multifator (MFA) AWS no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar decode-authorization-message.

AWS CLI

Para decodificar uma mensagem de falha de autorização

O decode-authorization-message exemplo a seguir decodifica a mensagem retornada pelo EC2 console ao tentar iniciar uma instância sem as permissões necessárias.

aws sts decode-authorization-message \ --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

A saída é formatada como uma sequência de JSON texto de linha única que você pode analisar com qualquer JSON processador de texto.

{ "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}" }

Para obter mais informações, consulte Como posso decodificar uma mensagem de falha de autorização após receber um erro "UnauthorizedOperation" durante a execução de uma EC2 instância? em AWS re:POST.

O código de exemplo a seguir mostra como usar delete-access-key.

AWS CLI

Para excluir uma chave de acesso para um IAM usuário

O delete-access-key comando a seguir exclui a chave de acesso especificada (ID da chave de acesso e chave de acesso secreta) para o IAM usuário nomeadoBob.

aws iam delete-access-key \ --access-key-id AKIDPMS9RO4H3FEXAMPLE \ --user-name Bob

Este comando não produz saída.

Para listar as chaves de acesso definidas para um IAM usuário, use o list-access-keys comando.

Para obter mais informações, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte DeleteAccessKeyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-account-alias.

AWS CLI

Como excluir um alias da conta

O comando delete-account-alias, apresentado a seguir, remove o alias mycompany para a conta atual.

aws iam delete-account-alias \ --account-alias mycompany

Este comando não produz saída.

Para obter mais informações, consulte o ID AWS da sua conta e seu alias no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar delete-account-password-policy.

AWS CLI

Excluir a política de senha da conta atual

O comando delete-account-password-policy a seguir remove a política de senha da conta atual.

aws iam delete-account-password-policy

Este comando não produz saída.

Para obter mais informações, consulte Configuração de uma política de senha de conta para IAM usuários no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-group-policy.

AWS CLI

Para excluir uma política de um IAM grupo

O comando delete-group-policy, apresentado a seguir, exclui a política denominada ExamplePolicy do grupo denominado Admins.

aws iam delete-group-policy \ --group-name Admins \ --policy-name ExamplePolicy

Este comando não produz saída.

Para visualizar as políticas anexadas a um grupo, use o comando list-group-policies.

Para obter mais informações, consulte Gerenciamento de IAM políticas no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte DeleteGroupPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-group.

AWS CLI

Para excluir um IAM grupo

O delete-group comando a seguir exclui um IAM grupo chamadoMyTestGroup.

aws iam delete-group \ --group-name MyTestGroup

Este comando não produz saída.

Para obter mais informações, consulte Excluindo um grupo de IAM usuários no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte DeleteGroupna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-instance-profile.

AWS CLI

Como excluir um perfil de instância

O comando delete-instance-profile, apresentado a seguir, exclui o perfil de instância denominado ExampleInstanceProfile.

aws iam delete-instance-profile \ --instance-profile-name ExampleInstanceProfile

Este comando não produz saída.

Para obter mais informações, consulte Como usar perfis de instância no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-login-profile.

AWS CLI

Para excluir uma senha para um IAM usuário

O delete-login-profile comando a seguir exclui a senha do IAM usuário chamadoBob.

aws iam delete-login-profile \ --user-name Bob

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de senhas para IAM usuários no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-open-id-connect-provider.

AWS CLI

Para excluir um provedor de IAM identidade do OpenID Connect

Este exemplo exclui o IAM OIDC provedor que se conecta ao provedorexample.oidcprovider.com.

aws iam delete-open-id-connect-provider \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Este comando não produz saída.

Para obter mais informações, consulte Criação de provedores de identidade OpenID Connect (OIDC) no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar delete-policy-version.

AWS CLI

Para excluir uma versão de uma política gerenciada

Este exemplo exclui a versão identificada como v2 da política cujo ARN éarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \ --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \ --version-id v2

Este comando não produz saída.

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-policy.

AWS CLI

Para excluir uma IAM política

Este exemplo exclui a política cujo ARN éarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \ --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Este comando não produz saída.

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte DeletePolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-role-permissions-boundary.

AWS CLI

Para excluir um limite de permissões de uma função IAM

O delete-role-permissions-boundary exemplo a seguir exclui o limite de permissões para a função especificadaIAM. Para aplicar um limite de permissões a um perfil, use o comando put-role-permissions-boundary.

aws iam delete-role-permissions-boundary \ --role-name lambda-application-role

Este comando não produz saída.

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-role-policy.

AWS CLI

Para remover uma política de uma IAM função

O comando delete-role-policy, apresentado a seguir, remove a política denominada ExamplePolicy do perfil denominado Test-Role.

aws iam delete-role-policy \ --role-name Test-Role \ --policy-name ExamplePolicy

Este comando não produz saída.

Para obter mais informações, consulte Modificar uma função no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte DeleteRolePolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-role.

AWS CLI

Para excluir uma IAM função

O comando delete-role, apresentado a seguir, remove o perfil denominado Test-Role.

aws iam delete-role \ --role-name Test-Role

Este comando não produz saída.

Antes de poder excluir um perfil, você deve removê-lo de qualquer perfil de instância (remove-role-from-instance-profile), desanexar quaisquer políticas gerenciadas (detach-role-policy) e excluir quaisquer políticas em linha anexadas a ele (delete-role-policy).

Para obter mais informações, consulte Como criar IAM funções e usar perfis de instância no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte DeleteRolena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-saml-provider.

AWS CLI

Para excluir um SAML provedor

Este exemplo exclui o provedor IAM SAML 2.0 cujo ARN éarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Este comando não produz saída.

Para obter mais informações, consulte Criação de provedores de IAM SAML identidade no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-server-certificate.

AWS CLI

Para excluir um certificado de servidor da sua AWS conta

O delete-server-certificate comando a seguir remove o certificado de servidor especificado da sua AWS conta.

aws iam delete-server-certificate \ --server-certificate-name myUpdatedServerCertificate

Este comando não produz saída.

Para listar os certificados do servidor disponíveis na sua AWS conta, use o list-server-certificates comando.

Para obter mais informações, consulte Gerenciamento de certificados de servidor IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-service-linked-role.

AWS CLI

Como excluir um perfil vinculado ao serviço

O exemplo para delete-service-linked-role, apresentado a seguir, exclui o perfil vinculado ao serviço especificado que não é mais necessário. A exclusão acontece de forma assíncrona. É possível verificar o status da exclusão e confirmar quando ela for concluída ao usar o comando get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \ --role-name AWSServiceRoleForLexBots

Saída:

{ "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE" }

Para obter mais informações, consulte Usando funções vinculadas a serviços no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar delete-service-specific-credential.

AWS CLI

Exemplo 1: Excluir uma credencial específica do serviço para o usuário solicitante

O delete-service-specific-credential exemplo a seguir exclui a credencial específica do serviço especificado para o usuário que fez a solicitação. O service-specific-credential-id é fornecido quando você cria a credencial e você pode recuperá-la usando o list-service-specific-credentials comando.

aws iam delete-service-specific-credential \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Este comando não produz saída.

Exemplo 2: Excluir uma credencial específica do serviço para um usuário especificado

O delete-service-specific-credential exemplo a seguir exclui a credencial específica do serviço especificado para o usuário especificado. O service-specific-credential-id é fornecido quando você cria a credencial e você pode recuperá-la usando o list-service-specific-credentials comando.

aws iam delete-service-specific-credential \ --user-name sofia \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Este comando não produz saída.

Para obter mais informações, consulte Criar credenciais do Git para HTTPS conexões CodeCommit no Guia do AWS CodeCommit usuário.

O código de exemplo a seguir mostra como usar delete-signing-certificate.

AWS CLI

Para excluir um certificado de assinatura para um IAM usuário

O delete-signing-certificate comando a seguir exclui o certificado de assinatura especificado para o IAM usuário nomeadoBob.

aws iam delete-signing-certificate \ --user-name Bob \ --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Este comando não produz saída.

Para obter o ID de um certificado de assinatura, use o comando list-signing-certificates.

Para obter mais informações, consulte Gerenciar certificados de assinatura no Guia EC2 do usuário da Amazon.

O código de exemplo a seguir mostra como usar delete-ssh-public-key.

AWS CLI

Para excluir uma chave SSH pública anexada a um IAM usuário

O delete-ssh-public-key comando a seguir exclui a chave SSH pública especificada anexada ao IAM usuáriosofia.

aws iam delete-ssh-public-key \ --user-name sofia \ --ssh-public-key-id APKA123456789EXAMPLE

Este comando não produz saída.

Para obter mais informações, consulte Usar SSH teclas e SSH com CodeCommit no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-user-permissions-boundary.

AWS CLI

Para excluir um limite de permissões de um IAM usuário

O delete-user-permissions-boundary exemplo a seguir exclui o limite de permissões anexado ao IAM usuário nomeado. intern Para aplicar um limite de permissões a um usuário, use o comando put-user-permissions-boundary.

aws iam delete-user-permissions-boundary \ --user-name intern

Este comando não produz saída.

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar delete-user-policy.

AWS CLI

Para remover uma política de um IAM usuário

O delete-user-policy comando a seguir remove a política especificada do IAM usuário nomeadoBob.

aws iam delete-user-policy \ --user-name Bob \ --policy-name ExamplePolicy

Este comando não produz saída.

Para obter uma lista de políticas para um IAM usuário, use o list-user-policies comando.

Para obter mais informações, consulte Criação de um IAM usuário em sua AWS conta no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte DeleteUserPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-user.

AWS CLI

Para excluir um IAM usuário

O delete-user comando a seguir remove o IAM usuário nomeado Bob da conta atual.

aws iam delete-user \ --user-name Bob

Este comando não produz saída.

Para obter mais informações, consulte Excluir um IAM usuário no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte DeleteUserna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-virtual-mfa-device.

AWS CLI

Para remover um MFA dispositivo virtual

O delete-virtual-mfa-device comando a seguir remove o MFA dispositivo especificado da conta atual.

aws iam delete-virtual-mfa-device \ --serial-number arn:aws:iam::123456789012:mfa/MFATest

Este comando não produz saída.

Para obter mais informações, consulte Desativação de MFA dispositivos no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar detach-group-policy.

AWS CLI

Para desanexar uma política de um grupo

Este exemplo remove a política gerenciada com o ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy do grupo chamadoTesters.

aws iam detach-group-policy \ --group-name Testers \ --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de grupos de IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte DetachGroupPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar detach-role-policy.

AWS CLI

Como desanexar uma política de um perfil

Este exemplo remove a política gerenciada com a ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy da função chamadaFedTesterRole.

aws iam detach-role-policy \ --role-name FedTesterRole \ --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Este comando não produz saída.

Para obter mais informações, consulte Modificar uma função no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte DetachRolePolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar detach-user-policy.

AWS CLI

Como desanexar uma política de um usuário

Este exemplo remove a política gerenciada com o ARN arn:aws:iam::123456789012:policy/TesterPolicy do usuárioBob.

aws iam detach-user-policy \ --user-name Bob \ --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Este comando não produz saída.

Para obter mais informações, consulte Alterar as permissões de um IAM usuário no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte DetachUserPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar enable-mfa-device.

AWS CLI

Para habilitar um MFA dispositivo

Depois de usar o create-virtual-mfa-device comando para criar um novo MFA dispositivo virtual, você pode atribuir o MFA dispositivo a um usuário. O enable-mfa-device exemplo a seguir atribui o MFA dispositivo com o número de série arn:aws:iam::210987654321:mfa/BobsMFADevice ao usuárioBob. O comando também sincroniza o dispositivo com AWS a inclusão dos dois primeiros códigos em sequência do MFA dispositivo virtual.

aws iam enable-mfa-device \ --user-name Bob \ --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \ --authentication-code1 123456 \ --authentication-code2 789012

Este comando não produz saída.

Para obter mais informações, consulte Habilitando um dispositivo virtual de autenticação multifator (MFA) no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte EnableMfaDevicena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar generate-credential-report.

AWS CLI

Como gerar um relatório de credenciais

O exemplo a seguir tenta gerar um relatório de credenciais para a AWS conta.

aws iam generate-credential-report

Saída:

{ "State": "STARTED", "Description": "No report exists. Starting a new report generation task" }

Para obter mais informações, consulte Como obter relatórios de credenciais para sua AWS conta no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar generate-organizations-access-report.

AWS CLI

Exemplo 1: Para gerar um relatório de acesso para uma raiz em uma organização

O generate-organizations-access-report exemplo a seguir inicia um trabalho em segundo plano para criar um relatório de acesso para a raiz especificada em uma organização. Você pode exibir o relatório depois de criado executando o get-organizations-access-report comando.

aws iam generate-organizations-access-report \ --entity-path o-4fxmplt198/r-c3xb

Saída:

{ "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359" }

Exemplo 2: Para gerar um relatório de acesso para uma conta em uma organização

O generate-organizations-access-report exemplo a seguir inicia um trabalho em segundo plano para criar um relatório de acesso para o ID da conta 123456789012 na organizaçãoo-4fxmplt198. Você pode exibir o relatório depois de criado executando o get-organizations-access-report comando.

aws iam generate-organizations-access-report \ --entity-path o-4fxmplt198/r-c3xb/123456789012

Saída:

{ "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2" }

Exemplo 3: Para gerar um relatório de acesso para uma conta em uma unidade organizacional em uma organização

O generate-organizations-access-report exemplo a seguir inicia um trabalho em segundo plano para criar um relatório de acesso para a ID da conta 234567890123 ou-c3xb-lmu7j2yg na unidade organizacional da organizaçãoo-4fxmplt198. Você pode exibir o relatório depois de criado executando o get-organizations-access-report comando.

aws iam generate-organizations-access-report \ --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Saída:

{ "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af" }

Para obter detalhes sobre raízes e unidades organizacionais em sua organização, use os organizations list-organizational-units-for-parent comandos organizations list-roots e.

Para obter mais informações, consulte Refinando as permissões no AWS uso das informações do último acesso no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar generate-service-last-accessed-details.

AWS CLI

Exemplo 1: para gerar um relatório de acesso ao serviço de uma política personalizada

O generate-service-last-accessed-details exemplo a seguir inicia um trabalho em segundo plano para gerar um relatório que lista os serviços acessados por IAM usuários e outras entidades com uma política personalizada chamadaintern-boundary. Você pode exibir o relatório após a criação executando o comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::123456789012:policy/intern-boundary

Saída:

{ "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc" }

Exemplo 2: Para gerar um relatório de acesso ao serviço para a AdministratorAccess política AWS gerenciada

O generate-service-last-accessed-details exemplo a seguir inicia um trabalho em segundo plano para gerar um relatório que lista os serviços acessados por IAM usuários e outras entidades com a AdministratorAccess política AWS gerenciada. Você pode exibir o relatório após a criação executando o comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AdministratorAccess

Saída:

{ "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916" }

Para obter mais informações, consulte Refinando as permissões no AWS uso das informações do último acesso no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar get-access-key-last-used.

AWS CLI

Como recuperar informações sobre quando a chave de acesso especificada foi usada pela última vez

O exemplo apresentado a seguir recupera informações sobre quando a chave de acesso ABCDEXAMPLE foi usada pela última vez.

aws iam get-access-key-last-used \ --access-key-id ABCDEXAMPLE

Saída:

{ "UserName": "Bob", "AccessKeyLastUsed": { "Region": "us-east-1", "ServiceName": "iam", "LastUsedDate": "2015-06-16T22:45:00Z" } }

Para obter mais informações, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar get-account-authorization-details.

AWS CLI

Para listar AWS contas, IAM usuários, grupos, funções e políticas

O get-account-authorization-details comando a seguir retorna informações sobre todos os IAM usuários, grupos, funções e políticas na AWS conta.

aws iam get-account-authorization-details

Saída:

{ "RoleDetailList": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileList": [ { "InstanceProfileId": "AIPA1234567890EXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "RoleName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role" } ], "RoleName": "EC2role", "Path": "/", "AttachedManagedPolicies": [ { "PolicyName": "AmazonS3FullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" }, { "PolicyName": "AmazonDynamoDBFullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess" } ], "RoleLastUsed": { "Region": "us-west-2", "LastUsedDate": "2019-11-13T17:30:00Z" }, "RolePolicyList": [], "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "GroupDetailList": [ { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, "GroupName": "Admins", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Admins", "CreateDate": "2013-10-14T18:32:24Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" }, "GroupName": "Dev", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Dev", "CreateDate": "2013-10-14T18:33:55Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": [], "GroupName": "Finance", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Finance", "CreateDate": "2013-10-14T18:57:48Z", "GroupPolicyList": [ { "PolicyName": "policygen-201310141157", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "aws-portal:*", "Sid": "Stmt1381777017000", "Resource": "*", "Effect": "Allow" } ] } } ] } ], "UserDetailList": [ { "UserName": "Alice", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:24Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Alice" }, { "UserName": "Bob", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:25Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [ { "PolicyName": "DenyBillingAndIAMPolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } } } ], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Bob" }, { "UserName": "Charlie", "GroupList": [ "Dev" ], "CreateDate": "2013-10-14T18:33:56Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Charlie" } ], "Policies": [ { "PolicyName": "create-update-delete-set-managed-policies", "CreateDate": "2015-02-06T19:58:34Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-02-06T19:58:34Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies", "UpdateDate": "2015-02-06T19:58:34Z" }, { "PolicyName": "S3-read-only-specific-bucket", "CreateDate": "2015-01-21T21:39:41Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-01-21T21:39:41Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::example-bucket", "arn:aws:s3:::example-bucket/*" ] } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket", "UpdateDate": "2015-01-21T23:39:41Z" }, { "PolicyName": "AmazonEC2FullAccess", "CreateDate": "2015-02-06T18:40:15Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2014-10-30T20:59:46Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:*", "Resource": "*" }, { "Effect": "Allow", "Action": "cloudwatch:*", "Resource": "*" }, { "Effect": "Allow", "Action": "autoscaling:*", "Resource": "*" } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess", "UpdateDate": "2015-02-06T18:40:15Z" } ], "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE", "IsTruncated": true }

Para obter mais informações, consulte as diretrizes AWS de auditoria de segurança no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar get-account-password-policy.

AWS CLI

Como visualizar a política de senha da conta atual

O comando get-account-password-policy, apresentado a seguir, exibe detalhes sobre a política de senha para a conta atual.

aws iam get-account-password-policy

Saída:

{ "PasswordPolicy": { "AllowUsersToChangePassword": false, "RequireLowercaseCharacters": false, "RequireUppercaseCharacters": false, "MinimumPasswordLength": 8, "RequireNumbers": true, "RequireSymbols": true } }

Se nenhuma política de senha estiver definida para a conta, o comando retornará um erro NoSuchEntity.

Para obter mais informações, consulte Configuração de uma política de senha de conta para IAM usuários no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar get-account-summary.

AWS CLI

Para obter informações sobre o uso da IAM entidade e IAM as cotas na conta corrente

O get-account-summary comando a seguir retorna informações sobre o uso atual da IAM entidade e as cotas atuais da IAM entidade na conta.

aws iam get-account-summary

Saída:

{ "SummaryMap": { "UsersQuota": 5000, "GroupsQuota": 100, "InstanceProfiles": 6, "SigningCertificatesPerUserQuota": 2, "AccountAccessKeysPresent": 0, "RolesQuota": 250, "RolePolicySizeQuota": 10240, "AccountSigningCertificatesPresent": 0, "Users": 27, "ServerCertificatesQuota": 20, "ServerCertificates": 0, "AssumeRolePolicySizeQuota": 2048, "Groups": 7, "MFADevicesInUse": 1, "Roles": 3, "AccountMFAEnabled": 1, "MFADevices": 3, "GroupsPerUserQuota": 10, "GroupPolicySizeQuota": 5120, "InstanceProfilesQuota": 100, "AccessKeysPerUserQuota": 2, "Providers": 0, "UserPolicySizeQuota": 2048 } }

Para obter mais informações sobre limitações de entidades, consulte IAMe AWS STS cotas no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte GetAccountSummaryna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-context-keys-for-custom-policy.

AWS CLI

Exemplo 1: Para listar as chaves de contexto referenciadas por uma ou mais JSON políticas personalizadas fornecidas como um parâmetro na linha de comando

O comando get-context-keys-for-custom-policy a seguir analisa cada política fornecida e lista as chaves de contexto usadas por essas políticas. Use esse comando para identificar quais valores de chave de contexto você deve fornecer para usar com êxito os comandos do simulador de políticas simulate-custom-policy e simulate-custom-policy. Você também pode recuperar a lista de chaves de contexto usadas por todas as políticas associadas a um IAM usuário ou função usando o get-context-keys-for-custom-policy comando. Os valores de parâmetro que começam com file:// instruem o comando a ler o arquivo e usar o conteúdo como o valor do parâmetro em vez do próprio nome do arquivo.

aws iam get-context-keys-for-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Saída:

{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }

Exemplo 2: Para listar as chaves de contexto referenciadas por uma ou mais JSON políticas personalizadas fornecidas como entrada de arquivo

O comando get-context-keys-for-custom-policy a seguir é igual ao exemplo anterior, exceto que as políticas são fornecidas em um arquivo e não como um parâmetro. Como o comando espera uma JSON lista de cadeias de caracteres, e não uma lista de JSON estruturas, o arquivo deve ser estruturado da seguinte forma, embora você possa reduzi-lo em uma.

[ "Policy1", "Policy2" ]

Assim, por exemplo, um arquivo que contém a política do exemplo anterior deve ter a aparência a seguir. Você deve escapar cada aspas duplas incorporadas dentro da string de política precedendo-as com uma barra invertida ''.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Esse arquivo pode então ser enviado ao comando a seguir.

aws iam get-context-keys-for-custom-policy \ --policy-input-list file://policyfile.json

Saída:

{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }

Para obter mais informações, consulte Usando o simulador de IAM políticas (AWS CLIe AWS API) no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar get-context-keys-for-principal-policy.

AWS CLI

Para listar as chaves de contexto referenciadas por todas as políticas associadas a um principal IAM

O comando get-context-keys-for-principal-policy a seguir recupera todas as políticas anexadas à usuária saanvi e aos grupos dos quais ela é membro. Em seguida, ele analisa cada uma delas e lista as chaves de contexto usadas por essas políticas. Utilize esse comando para identificar quais valores de chave de contexto você deve fornecer para usar com êxito os comandos simulate-custom-policy e simulate-principal-policy. Você também pode recuperar a lista de chaves de contexto usadas por uma JSON política arbitrária usando o get-context-keys-for-custom-policy comando.

aws iam get-context-keys-for-principal-policy \ --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Saída:

{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }

Para obter mais informações, consulte Usando o simulador de IAM políticas (AWS CLIe AWS API) no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar get-credential-report.

AWS CLI

Como obter um relatório de credenciais

Este exemplo abre o relatório retornado e o envia ao pipeline como uma matriz de linhas de texto.

aws iam get-credential-report

Saída:

{ "GeneratedTime": "2015-06-17T19:11:50Z", "ReportFormat": "text/csv" }

Para obter mais informações, consulte Como obter relatórios de credenciais para sua AWS conta no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar get-group-policy.

AWS CLI

Para obter informações sobre uma política anexada a um IAM grupo

O comando get-group-policy a seguir obtém informações sobre a política especificada anexada ao grupo denominado Test-Group.

aws iam get-group-policy \ --group-name Test-Group \ --policy-name S3-ReadOnly-Policy

Saída:

{ "GroupName": "Test-Group", "PolicyDocument": { "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*", "Effect": "Allow" } ] }, "PolicyName": "S3-ReadOnly-Policy" }

Para obter mais informações, consulte Gerenciamento de IAM políticas no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetGroupPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-group.

AWS CLI

Para obter um IAM grupo

Este exemplo retorna detalhes sobre o IAM grupoAdmins.

aws iam get-group \ --group-name Admins

Saída:

{ "Group": { "Path": "/", "CreateDate": "2015-06-16T19:41:48Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, "Users": [] }

Para obter mais informações, consulte IAMIdentidades (usuários, grupos de usuários e funções) no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte GetGroupna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-instance-profile.

AWS CLI

Obter informações sobre um perfil de instância

O comando get-instance-profile a seguir obtém informações sobre o perfil de instância denominado ExampleInstanceProfile.

aws iam get-instance-profile \ --instance-profile-name ExampleInstanceProfile

Saída:

{ "InstanceProfile": { "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDGPMS9RO4H3FEXAMPLE", "CreateDate": "2013-01-09T06:33:26Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::336924118301:role/Test-Role" } ], "CreateDate": "2013-06-12T23:52:02Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile" } }

Para obter mais informações, consulte Como usar perfis de instância no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar get-login-profile.

AWS CLI

Para obter informações de senha de um IAM usuário

O get-login-profile comando a seguir obtém informações sobre a senha do IAM usuário chamadoBob.

aws iam get-login-profile \ --user-name Bob

Saída:

{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2012-09-21T23:03:39Z" } }

O get-login-profile comando pode ser usado para verificar se um IAM usuário tem uma senha. O comando retorna um erro NoSuchEntity se nenhuma senha for definida para o usuário.

Não é possível visualizar uma senha com esse comando. Se a senha for perdida, você pode redefini-la (update-login-profile) para o usuário. Como alternativa, você pode excluir o perfil de login (delete-login-profile) do usuário e criar um novo (create-login-profile).

Para obter mais informações, consulte Gerenciamento de senhas para IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetLoginProfilena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-mfa-device.

AWS CLI

Para recuperar informações sobre uma chave de FIDO segurança

O exemplo de get-mfa-device comando a seguir recupera informações sobre a chave FIDO de segurança especificada.

aws iam get-mfa-device \ --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Saída:

{ "UserName": "alice", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00", "Certifications": { "FIDO": "L1" } }

Para obter mais informações, consulte Usando a autenticação multifator (MFA) AWS no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte GetMfaDevicena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-open-id-connect-provider.

AWS CLI

Retornar informações sobre o provedor OpenID Connect especificado

Este exemplo retorna detalhes sobre o provedor do OpenID Connect cujo éARN. arn:aws:iam::123456789012:oidc-provider/server.example.com

aws iam get-open-id-connect-provider \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Saída:

{ "Url": "server.example.com" "CreateDate": "2015-06-16T19:41:48Z", "ThumbprintList": [ "12345abcdefghijk67890lmnopqrst987example" ], "ClientIDList": [ "example-application-ID" ] }

Para obter mais informações, consulte Criação de provedores de identidade OpenID Connect (OIDC) no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar get-organizations-access-report.

AWS CLI

Para recuperar um relatório de acesso

O get-organizations-access-report exemplo a seguir exibe um relatório de acesso gerado anteriormente para uma entidade AWS Organizations. Para gerar um relatório, use o comando generate-organizations-access-report.

aws iam get-organizations-access-report \ --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Saída:

{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-09-30T06:53:36.187Z", "JobCompletionDate": "2019-09-30T06:53:37.547Z", "NumberOfServicesAccessible": 188, "NumberOfServicesNotAccessed": 171, "AccessDetails": [ { "ServiceName": "Alexa for Business", "ServiceNamespace": "a4b", "TotalAuthenticatedEntities": 0 }, ... }

Para obter mais informações, consulte Refinando as permissões no AWS uso das informações do último acesso no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar get-policy-version.

AWS CLI

Como recuperar informações sobre a versão especificada da política gerenciada especificada

Este exemplo retorna o documento de política para a versão v2 da política cujo ARN éarn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \ --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \ --version-id v2

Saída:

{ "PolicyVersion": { "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } ] }, "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2023-04-11T00:22:54+00:00" } }

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetPolicyVersionna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-policy.

AWS CLI

Como recuperar informações sobre a política gerenciada especificada

Este exemplo retorna detalhes sobre a política gerenciada de quem ARN éarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \ --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Saída:

{ "Policy": { "PolicyName": "MySamplePolicy", "CreateDate": "2015-06-17T19:23;32Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy", "UpdateDate": "2015-06-17T19:23:32Z" } }

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-role-policy.

AWS CLI

Para obter informações sobre uma política associada a uma IAM função

O comando get-role-policy a seguir obtém informações sobre a política especificada anexada ao perfil denominado Test-Role.

aws iam get-role-policy \ --role-name Test-Role \ --policy-name ExamplePolicy

Saída:

{ "RoleName": "Test-Role", "PolicyDocument": { "Statement": [ { "Action": [ "s3:ListBucket", "s3:Put*", "s3:Get*", "s3:*MultipartUpload*" ], "Resource": "*", "Effect": "Allow", "Sid": "1" } ] } "PolicyName": "ExamplePolicy" }

Para obter mais informações, consulte Criação de IAM funções no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetRolePolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-role.

AWS CLI

Para obter informações sobre uma IAM função

O comando get-role, apresentado a seguir, obtém informações sobre o perfil denominado Test-Role.

aws iam get-role \ --role-name Test-Role

Saída:

{ "Role": { "Description": "Test Role", "AssumeRolePolicyDocument":"<URL-encoded-JSON>", "MaxSessionDuration": 3600, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2019-11-13T16:45:56Z", "RoleName": "Test-Role", "Path": "/", "RoleLastUsed": { "Region": "us-east-1", "LastUsedDate": "2019-11-13T17:14:00Z" }, "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }

O comando exibe a política de confiança anexada ao perfil. Para listar as políticas de permissões anexadas a um perfil, use o comando list-role-policies.

Para obter mais informações, consulte Criação de IAM funções no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetRolena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-saml-provider.

AWS CLI

Para recuperar o metadocumento do SAML provedor

Este exemplo recupera os detalhes sobre o provedor SAML 2.0 cujo ARM éarn:aws:iam::123456789012:saml-provider/SAMLADFS. A resposta inclui o documento de metadados que você obteve do provedor de identidade para criar a entidade do AWS SAML provedor, bem como as datas de criação e expiração.

aws iam get-saml-provider \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Saída:

{ "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...", "CreateDate": "2017-03-06T22:29:46+00:00", "ValidUntil": "2117-03-06T22:29:46.433000+00:00", "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Para obter mais informações, consulte Criação de provedores de IAM SAML identidade no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetSamlProviderna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-server-certificate.

AWS CLI

Para obter detalhes sobre um certificado de servidor em sua AWS conta

O get-server-certificate comando a seguir recupera todos os detalhes sobre o certificado de servidor especificado em sua AWS conta.

aws iam get-server-certificate \ --server-certificate-name myUpdatedServerCertificate

Saída:

{ "ServerCertificate": { "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, "CertificateBody": "-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----", "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md 7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----" } }

Para listar os certificados do servidor disponíveis na sua AWS conta, use o list-server-certificates comando.

Para obter mais informações, consulte Gerenciamento de certificados de servidor IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar get-service-last-accessed-details-with-entities.

AWS CLI

Recuperar um relatório de acesso ao serviço com detalhes de um serviço

O get-service-last-accessed-details-with-entities exemplo a seguir recupera um relatório que contém detalhes sobre IAM usuários e outras entidades que acessaram o serviço especificado. Para gerar um relatório, use o comando generate-service-last-accessed-details. Para obter uma lista de serviços acessados com namespaces, use get-service-last-accessed-details.

aws iam get-service-last-accessed-details-with-entities \ --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \ --service-namespace lambda

Saída:

{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:55:41.756Z", "JobCompletionDate": "2019-10-01T03:55:42.533Z", "EntityDetailsList": [ { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/admin", "Name": "admin", "Type": "USER", "Id": "AIDAIO2XMPLENQEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-30T23:02:00Z" }, { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/developer", "Name": "developer", "Type": "USER", "Id": "AIDAIBEYXMPL2YEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-16T19:34:00Z" } ] }

Para obter mais informações, consulte Refinando as permissões no AWS uso das informações do último acesso no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar get-service-last-accessed-details.

AWS CLI

Recuperar um relatório de acesso ao serviço

O get-service-last-accessed-details exemplo a seguir recupera um relatório gerado anteriormente que lista os serviços acessados pelas IAM entidades. Para gerar um relatório, use o comando generate-service-last-accessed-details.

aws iam get-service-last-accessed-details \ --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Saída:

{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:50:35.929Z", "ServicesLastAccessed": [ ... { "ServiceName": "AWS Lambda", "LastAuthenticated": "2019-09-30T23:02:00Z", "ServiceNamespace": "lambda", "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin", "TotalAuthenticatedEntities": 6 }, ] }

Para obter mais informações, consulte Refinando as permissões no AWS uso das informações do último acesso no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar get-service-linked-role-deletion-status.

AWS CLI

Como verificar o status de uma solicitação para excluir um perfil vinculado ao serviço

O exemplo de get-service-linked-role-deletion-status, apresentado a seguir, exibe o status de uma solicitação anterior para excluir um perfil vinculado ao serviço. A operação de exclusão ocorre de forma assíncrona. Ao fazer a solicitação, você obtém um valor DeletionTaskId fornecido como parâmetro para esse comando.

aws iam get-service-linked-role-deletion-status \ --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Saída:

{ "Status": "SUCCEEDED" }

Para obter mais informações, consulte Usando funções vinculadas a serviços no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar get-ssh-public-key.

AWS CLI

Exemplo 1: Para recuperar uma chave SSH pública anexada a um IAM usuário em SSH formato codificado

O get-ssh-public-key comando a seguir recupera a chave SSH pública especificada do IAM usuáriosofia. A saída está em SSH codificação.

aws iam get-ssh-public-key \ --user-name sofia \ --ssh-public-key-id APKA123456789EXAMPLE \ --encoding SSH

Saída:

{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }

Exemplo 2: Para recuperar uma chave SSH pública anexada a um IAM usuário em PEM formato codificado

O get-ssh-public-key comando a seguir recupera a chave SSH pública especificada do IAM usuáriosofia. A saída está em PEM codificação.

aws iam get-ssh-public-key \ --user-name sofia \ --ssh-public-key-id APKA123456789EXAMPLE \ --encoding PEM

Saída:

{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }

Para obter mais informações, consulte Usar SSH teclas e SSH com CodeCommit no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetSshPublicKeyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-user-policy.

AWS CLI

Para listar detalhes da política de um IAM usuário

O get-user-policy comando a seguir lista os detalhes da política especificada que está anexada ao nome do IAM usuárioBob.

aws iam get-user-policy \ --user-name Bob \ --policy-name ExamplePolicy

Saída:

{ "UserName": "Bob", "PolicyName": "ExamplePolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow" } ] } }

Para obter uma lista de políticas para um IAM usuário, use o list-user-policies comando.

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetUserPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-user.

AWS CLI

Para obter informações sobre um IAM usuário

O get-user comando a seguir obtém informações sobre o IAM usuário nomeadoPaulo.

aws iam get-user \ --user-name Paulo

Saída:

{ "User": { "UserName": "Paulo", "Path": "/", "CreateDate": "2019-09-21T23:03:13Z", "UserId": "AIDA123456789EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Paulo" } }

Para obter mais informações, consulte Gerenciamento de IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte GetUserna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-access-keys.

AWS CLI

Para listar a chave de acesso IDs de um IAM usuário

O list-access-keys comando a seguir lista as chaves IDs de acesso do IAM usuário chamadoBob.

aws iam list-access-keys \ --user-name Bob

Saída:

{ "AccessKeyMetadata": [ { "UserName": "Bob", "Status": "Active", "CreateDate": "2013-06-04T18:17:34Z", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" }, { "UserName": "Bob", "Status": "Inactive", "CreateDate": "2013-06-06T20:42:26Z", "AccessKeyId": "AKIAI44QH8DHBEXAMPLE" } ] }

Você não pode listar as chaves de acesso secretas IAM dos usuários. Se as chaves de acesso secretas forem perdidas, você deverá criar novas chaves de acesso usando o comando create-access-keys.

Para obter mais informações, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListAccessKeysna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-account-aliases.

AWS CLI

Como listar os aliases da conta

O comando list-account-aliases, apresentado a seguir, lista os aliases para a conta atual.

aws iam list-account-aliases

Saída:

{ "AccountAliases": [ "mycompany" ] }

Para obter mais informações, consulte o ID AWS da sua conta e seu alias no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar list-attached-group-policies.

AWS CLI

Para listar todas as políticas gerenciadas anexadas ao grupo especificado

Este exemplo retorna os nomes e ARNs as políticas gerenciadas que estão anexadas ao IAM grupo nomeado Admins na AWS conta.

aws iam list-attached-group-policies \ --group-name Admins

Saída:

{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar list-attached-role-policies.

AWS CLI

Como listar todas as políticas gerenciadas anexadas ao perfil especificado

Esse comando retorna os nomes e ARNs as políticas gerenciadas anexadas à IAM função nomeada SecurityAuditRole na AWS conta.

aws iam list-attached-role-policies \ --role-name SecurityAuditRole

Saída:

{ "AttachedPolicies": [ { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar list-attached-user-policies.

AWS CLI

Para listar todas as políticas gerenciadas anexadas ao usuário especificado

Esse comando retorna os nomes e ARNs as políticas gerenciadas do IAM usuário nomeado Bob na AWS conta.

aws iam list-attached-user-policies \ --user-name Bob

Saída:

{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar list-entities-for-policy.

AWS CLI

Para listar todos os usuários, grupos e perfis aos quais a política gerenciada especificada está anexada

Este exemplo retorna uma lista de IAM grupos, funções e usuários que têm a política arn:aws:iam::123456789012:policy/TestPolicy anexada.

aws iam list-entities-for-policy \ --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Saída:

{ "PolicyGroups": [ { "GroupName": "Admins", "GroupId": "AGPACKCEVSQ6C2EXAMPLE" } ], "PolicyUsers": [ { "UserName": "Alice", "UserId": "AIDACKCEVSQ6C2EXAMPLE" } ], "PolicyRoles": [ { "RoleName": "DevRole", "RoleId": "AROADBQP57FF2AEXAMPLE" } ], "IsTruncated": false }

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar list-group-policies.

AWS CLI

Para listar todas as políticas em linha anexadas ao grupo especificado

O list-group-policies comando a seguir lista os nomes das políticas em linha que estão anexadas ao IAM grupo nomeado Admins na conta atual.

aws iam list-group-policies \ --group-name Admins

Saída:

{ "PolicyNames": [ "AdminRoot", "ExamplePolicy" ] }

Para obter mais informações, consulte Gerenciamento de IAM políticas no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListGroupPoliciesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-groups-for-user.

AWS CLI

Para listar os grupos aos quais um IAM usuário pertence

O list-groups-for-user comando a seguir exibe os grupos aos quais o IAM usuário nomeado Bob pertence.

aws iam list-groups-for-user \ --user-name Bob

Saída:

{ "Groups": [ { "Path": "/", "CreateDate": "2013-05-06T01:18:08Z", "GroupId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admin", "GroupName": "Admin" }, { "Path": "/", "CreateDate": "2013-05-06T01:37:28Z", "GroupId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/s3-Users", "GroupName": "s3-Users" } ] }

Para obter mais informações, consulte Gerenciamento de grupos de IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListGroupsForUserna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-groups.

AWS CLI

Para listar os IAM grupos da conta atual

O list-groups comando a seguir lista os IAM grupos na conta atual.

aws iam list-groups

Saída:

{ "Groups": [ { "Path": "/", "CreateDate": "2013-06-04T20:27:27.972Z", "GroupId": "AIDACKCEVSQ6C2EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, { "Path": "/", "CreateDate": "2013-04-16T20:30:42Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/S3-Admins", "GroupName": "S3-Admins" } ] }

Para obter mais informações, consulte Gerenciamento de grupos de IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListGroupsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-instance-profile-tags.

AWS CLI

Para listar as tags anexadas a um perfil de instância

O list-instance-profile-tags comando a seguir recupera a lista de tags associadas ao perfil de instância especificado.

aws iam list-instance-profile-tags \ --instance-profile-name deployment-role

Saída:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar list-instance-profiles-for-role.

AWS CLI

Para listar os perfis de instância de uma IAM função

O comando list-instance-profiles-for-role a seguir lista os perfis de instância associados ao perfil Test-Role.

aws iam list-instance-profiles-for-role \ --role-name Test-Role

Saída:

{ "InstanceProfiles": [ { "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDACKCEVSQ6C2EXAMPLE", "CreateDate": "2013-06-07T20:42:15Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } ], "CreateDate": "2013-06-07T21:05:24Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile" } ] }

Para obter mais informações, consulte Como usar perfis de instância no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar list-instance-profiles.

AWS CLI

Listar os perfis de instância da conta

O comando list-instance-profiles a seguir lista os perfis de instância associados à conta atual.

aws iam list-instance-profiles

Saída:

{ "InstanceProfiles": [ { "Path": "/", "InstanceProfileName": "example-dev-role", "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role", "CreateDate": "2023-09-21T18:17:41+00:00", "Roles": [ { "Path": "/", "RoleName": "example-dev-role", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-dev-role", "CreateDate": "2023-09-21T18:17:40+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] }, { "Path": "/", "InstanceProfileName": "example-s3-role", "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role", "CreateDate": "2023-09-21T18:18:50+00:00", "Roles": [ { "Path": "/", "RoleName": "example-s3-role", "RoleId": "AROAINUBC5O7XLEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-s3-role", "CreateDate": "2023-09-21T18:18:49+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] } ] }

Para obter mais informações, consulte Como usar perfis de instância no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar list-mfa-device-tags.

AWS CLI

Para listar as etiquetas anexadas a um MFA dispositivo

O list-mfa-device-tags comando a seguir recupera a lista de tags associadas ao MFA dispositivo especificado.

aws iam list-mfa-device-tags \ --serial-number arn:aws:iam::123456789012:mfa/alice

Saída:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte ListMfaDeviceTagsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-mfa-devices.

AWS CLI

Para listar todos os MFA dispositivos de um usuário especificado

Este exemplo retorna detalhes sobre o MFA dispositivo atribuído ao IAM usuárioBob.

aws iam list-mfa-devices \ --user-name Bob

Saída:

{ "MFADevices": [ { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob", "EnableDate": "2019-10-28T20:37:09+00:00" }, { "UserName": "Bob", "SerialNumber": "GAKT12345678", "EnableDate": "2023-02-18T21:44:42+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE", "EnableDate": "2023-09-19T02:25:35+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00" } ] }

Para obter mais informações, consulte Usando a autenticação multifator (MFA) AWS no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte ListMfaDevicesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-open-id-connect-provider-tags.

AWS CLI

Para listar as tags anexadas a um provedor de identidade compatível com OpenID Connect (OIDC)

O list-open-id-connect-provider-tags comando a seguir recupera a lista de tags associadas ao provedor de OIDC identidade especificado.

aws iam list-open-id-connect-provider-tags \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Saída:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar list-open-id-connect-providers.

AWS CLI

Para listar informações sobre os provedores do OpenID Connect na conta AWS

Este exemplo retorna uma lista ARNS de todos os provedores do OpenID Connect definidos na conta atual AWS .

aws iam list-open-id-connect-providers

Saída:

{ "OpenIDConnectProviderList": [ { "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com" } ] }

Para obter mais informações, consulte Criação de provedores de identidade OpenID Connect (OIDC) no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar list-policies-granting-service-access.

AWS CLI

Para listar as políticas que concedem acesso principal ao serviço especificado

O list-policies-granting-service-access exemplo a seguir recupera a lista de políticas que concedem ao IAM usuário sofia acesso ao AWS CodeCommit serviço.

aws iam list-policies-granting-service-access \ --arn arn:aws:iam::123456789012:user/sofia \ --service-namespaces codecommit

Saída:

{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "codecommit", "Policies": [ { "PolicyName": "Grant-Sofia-Access-To-CodeCommit", "PolicyType": "INLINE", "EntityType": "USER", "EntityName": "sofia" } ] } ], "IsTruncated": false }

Para obter mais informações, consulte Usando IAM com CodeCommit: credenciais, SSH chaves e chaves de AWS acesso do Git no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar list-policies.

AWS CLI

Para listar as políticas gerenciadas que estão disponíveis para sua AWS conta

Este exemplo retorna uma coleção das duas primeiras políticas gerenciadas disponíveis na AWS conta atual.

aws iam list-policies \ --max-items 3

Saída:

{ "Policies": [ { "PolicyName": "AWSCloudTrailAccessPolicy", "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2019-09-04T17:43:42+00:00", "UpdateDate": "2019-09-04T17:43:42+00:00" }, { "PolicyName": "AdministratorAccess", "PolicyId": "ANPAIWMBCKSKIEE64ZLYK", "Arn": "arn:aws:iam::aws:policy/AdministratorAccess", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 6, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:46+00:00", "UpdateDate": "2015-02-06T18:39:46+00:00" }, { "PolicyName": "PowerUserAccess", "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS", "Arn": "arn:aws:iam::aws:policy/PowerUserAccess", "Path": "/", "DefaultVersionId": "v5", "AttachmentCount": 1, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:47+00:00", "UpdateDate": "2023-07-06T22:04:00+00:00" } ], "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ==" }

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListPoliciesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-policy-tags.

AWS CLI

Para listar as tags anexadas a uma política gerenciada

O list-policy-tags comando a seguir recupera a lista de tags associadas à política gerenciada especificada.

aws iam list-policy-tags \ --policy-arn arn:aws:iam::123456789012:policy/billing-access

Saída:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte ListPolicyTagsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-policy-versions.

AWS CLI

Listar informações sobre as versões da política gerenciada especificada

Este exemplo retorna a lista de versões disponíveis da política cujo ARN éarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \ --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Saída:

{ "IsTruncated": false, "Versions": [ { "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2015-06-02T23:19:44Z" }, { "VersionId": "v1", "IsDefaultVersion": false, "CreateDate": "2015-06-02T22:30:47Z" } ] }

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar list-role-policies.

AWS CLI

Para listar as políticas anexadas a uma IAM função

O list-role-policies comando a seguir lista os nomes das políticas de permissões para a IAM função especificada.

aws iam list-role-policies \ --role-name Test-Role

Saída:

{ "PolicyNames": [ "ExamplePolicy" ] }

Para visualizar a política de confiança anexada a um perfil, use o comando get-role. Para visualizar os detalhes de uma política de permissões, use o comando get-role-policy.

Para obter mais informações, consulte Criação de IAM funções no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListRolePoliciesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-role-tags.

AWS CLI

Listar as tags anexadas a um perfil

O comando list-role-tags a seguir recupera a lista de tags associadas ao perfil especificado.

aws iam list-role-tags \ --role-name production-role

Saída:

{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte ListRoleTagsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-roles.

AWS CLI

Para listar IAM funções na conta atual

O list-roles comando a seguir lista as IAM funções da conta atual.

aws iam list-roles

Saída:

{ "Roles": [ { "Path": "/", "RoleName": "ExampleRole", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/ExampleRole", "CreateDate": "2017-09-12T19:23:36+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 }, { "Path": "/example_path/", "RoleName": "ExampleRoleWithPath", "RoleId": "AROAI4QRP7UFT7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath", "CreateDate": "2023-09-21T20:29:38+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 } ] }

Para obter mais informações, consulte Criação de IAM funções no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListRolesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-saml-provider-tags.

AWS CLI

Para listar as tags anexadas a um SAML provedor

O list-saml-provider-tags comando a seguir recupera a lista de tags associadas ao SAML provedor especificado.

aws iam list-saml-provider-tags \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Saída:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar list-saml-providers.

AWS CLI

Para listar os SAML provedores na AWS conta

Este exemplo recupera a lista de provedores SAML 2.0 criados na AWS conta atual.

aws iam list-saml-providers

Saída:

{ "SAMLProviderList": [ { "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS", "ValidUntil": "2015-06-05T22:45:14Z", "CreateDate": "2015-06-05T22:45:14Z" } ] }

Para obter mais informações, consulte Criação de provedores de IAM SAML identidade no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte L istSAMLProviders na Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-server-certificate-tags.

AWS CLI

Para listar as tags anexadas a um certificado de servidor

O list-server-certificate-tags comando a seguir recupera a lista de tags associadas ao certificado do servidor especificado.

aws iam list-server-certificate-tags \ --server-certificate-name ExampleCertificate

Saída:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar list-server-certificates.

AWS CLI

Para listar os certificados do servidor em sua AWS conta

O list-server-certificates comando a seguir lista todos os certificados de servidor armazenados e disponíveis para uso em sua AWS conta.

aws iam list-server-certificates

Saída:

{ "ServerCertificateMetadataList": [ { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, { "Path": "/cloudfront/", "ServerCertificateName": "MyTestCert", "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert", "UploadDate": "2015-04-21T18:14:16+00:00", "Expiration": "2018-01-14T17:52:36+00:00" } ] }

Para obter mais informações, consulte Gerenciamento de certificados de servidor IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar list-service-specific-credential.

AWS CLI

Exemplo 1: Listar as credenciais específicas do serviço para um usuário

O list-service-specific-credentials exemplo a seguir exibe todas as credenciais específicas do serviço atribuídas ao usuário especificado. As senhas não estão incluídas na resposta.

aws iam list-service-specific-credentials \ --user-name sofia

Saída:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Exemplo 2: Listar as credenciais específicas do serviço de um usuário filtradas para um serviço especificado

O list-service-specific-credentials exemplo a seguir exibe as credenciais específicas do serviço atribuídas ao usuário que fez a solicitação. A lista é filtrada para incluir somente as credenciais do serviço especificado. As senhas não estão incluídas na resposta.

aws iam list-service-specific-credentials \ --service-name codecommit.amazonaws.com

Saída:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Para obter mais informações, consulte Criar credenciais do Git para HTTPS conexões CodeCommit no Guia do AWS CodeCommit usuário.

O código de exemplo a seguir mostra como usar list-service-specific-credentials.

AWS CLI

Para recuperar uma lista de credenciais

O list-service-specific-credentials exemplo a seguir lista as credenciais geradas para HTTPS acesso aos AWS CodeCommit repositórios de um usuário chamado. developer

aws iam list-service-specific-credentials \ --user-name developer \ --service-name codecommit.amazonaws.com

Saída:

{ "ServiceSpecificCredentials": [ { "UserName": "developer", "Status": "Inactive", "ServiceUserName": "developer-at-123456789012", "CreateDate": "2019-10-01T04:31:41Z", "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE", "ServiceName": "codecommit.amazonaws.com" }, { "UserName": "developer", "Status": "Active", "ServiceUserName": "developer+1-at-123456789012", "CreateDate": "2019-10-01T04:31:45Z", "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP", "ServiceName": "codecommit.amazonaws.com" } ] }

Para obter mais informações, consulte Criar credenciais do Git para HTTPS conexões CodeCommit no Guia do AWS CodeCommit usuário.

O código de exemplo a seguir mostra como usar list-signing-certificates.

AWS CLI

Para listar os certificados de assinatura de um IAM usuário

O list-signing-certificates comando a seguir lista os certificados de assinatura do IAM usuário chamadoBob.

aws iam list-signing-certificates \ --user-name Bob

Saída:

{ "Certificates": [ { "UserName": "Bob", "Status": "Inactive", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08Z" } ] }

Para obter mais informações, consulte Gerenciar certificados de assinatura no Guia EC2 do usuário da Amazon.

O código de exemplo a seguir mostra como usar list-ssh-public-keys.

AWS CLI

Para listar as chaves SSH públicas anexadas a um IAM usuário

O list-ssh-public-keys exemplo a seguir lista as chaves SSH públicas anexadas ao IAM usuáriosofia.

aws iam list-ssh-public-keys \ --user-name sofia

Saída:

{ "SSHPublicKeys": [ { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } ] }

Para obter mais informações, consulte Usar SSH teclas e SSH com CodeCommit no Guia AWS IAM do usuário

  • Para API obter detalhes, consulte ListSshPublicKeysna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-user-policies.

AWS CLI

Para listar políticas para um IAM usuário

O list-user-policies comando a seguir lista as políticas anexadas ao nome do IAM usuárioBob.

aws iam list-user-policies \ --user-name Bob

Saída:

{ "PolicyNames": [ "ExamplePolicy", "TestPolicy" ] }

Para obter mais informações, consulte Criação de um IAM usuário em sua AWS conta no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListUserPoliciesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-user-tags.

AWS CLI

Listar as tags anexadas a um usuário

O list-user-tags comando a seguir recupera a lista de tags associadas ao IAM usuário especificado.

aws iam list-user-tags \ --user-name alice

Saída:

{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte ListUserTagsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-users.

AWS CLI

Para listar IAM usuários

O list-users comando a seguir lista os IAM usuários na conta atual.

aws iam list-users

Saída:

{ "Users": [ { "UserName": "Adele", "Path": "/", "CreateDate": "2013-03-07T05:14:48Z", "UserId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Adele" }, { "UserName": "Bob", "Path": "/", "CreateDate": "2012-09-21T23:03:13Z", "UserId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } ] }

Para obter mais informações, consulte Listar IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte ListUsersna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-virtual-mfa-devices.

AWS CLI

Para listar MFA dispositivos virtuais

O list-virtual-mfa-devices comando a seguir lista os MFA dispositivos virtuais que foram configurados para a conta atual.

aws iam list-virtual-mfa-devices

Saída:

{ "VirtualMFADevices": [ { "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice" }, { "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred" } ] }

Para obter mais informações, consulte Habilitando um dispositivo virtual de autenticação multifator (MFA) no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar put-group-policy.

AWS CLI

Como adicionar uma política a um grupo

O put-group-policy comando a seguir adiciona uma política ao IAM grupo chamadoAdmins.

aws iam put-group-policy \ --group-name Admins \ --policy-document file://AdminPolicy.json \ --policy-name AdminRoot

Este comando não produz saída.

A política é definida como um JSON documento no AdminPolicyarquivo.json. (O nome e a extensão do arquivo não têm significado.)

Para obter mais informações, consulte Gerenciamento de IAM políticas no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte PutGroupPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar put-role-permissions-boundary.

AWS CLI

Exemplo 1: Para aplicar um limite de permissões com base em uma política personalizada a uma IAM função

O put-role-permissions-boundary exemplo a seguir aplica a política personalizada intern-boundary chamada limite de permissões para a IAM função especificada.

aws iam put-role-permissions-boundary \ --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \ --role-name lambda-application-role

Este comando não produz saída.

Exemplo 2: Para aplicar um limite de permissões com base em uma política AWS gerenciada a uma IAM função

O put-role-permissions-boundary exemplo a seguir aplica a PowerUserAccess política AWS gerenciada como limite de permissões para a IAM função especificada.

aws iam put-role-permissions-boundary \ --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \ --role-name x-account-admin

Este comando não produz saída.

Para obter mais informações, consulte Modificar uma função no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar put-role-policy.

AWS CLI

Para anexar uma política de permissões a uma IAM função

O comando put-role-policy, apresentado a seguir, adiciona uma política de permissões ao perfil denominada Test-Role.

aws iam put-role-policy \ --role-name Test-Role \ --policy-name ExamplePolicy \ --policy-document file://AdminPolicy.json

Este comando não produz saída.

A política é definida como um JSON documento no AdminPolicyarquivo.json. (O nome e a extensão do arquivo não têm significado.)

Para anexar uma política de confiança a um perfil, use o comando update-assume-role-policy.

Para obter mais informações, consulte Modificar uma função no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte PutRolePolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar put-user-permissions-boundary.

AWS CLI

Exemplo 1: Para aplicar um limite de permissões com base em uma política personalizada a um IAM usuário

O put-user-permissions-boundary exemplo a seguir aplica uma política personalizada intern-boundary chamada limite de permissões para o IAM usuário especificado.

aws iam put-user-permissions-boundary \ --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \ --user-name intern

Este comando não produz saída.

Exemplo 2: Para aplicar um limite de permissões com base em uma política AWS gerenciada a um IAM usuário

O put-user-permissions-boundary exemplo a seguir aplica a política AWS gerenciada chamada limite PowerUserAccess de permissões para o usuário especificado. IAM

aws iam put-user-permissions-boundary \ --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \ --user-name developer

Este comando não produz saída.

Para obter mais informações, consulte Adicionar e remover permissões de IAM identidade no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar put-user-policy.

AWS CLI

Para anexar uma política a um IAM usuário

O put-user-policy comando a seguir anexa uma política ao IAM usuário chamadoBob.

aws iam put-user-policy \ --user-name Bob \ --policy-name ExamplePolicy \ --policy-document file://AdminPolicy.json

Este comando não produz saída.

A política é definida como um JSON documento no AdminPolicyarquivo.json. (O nome e a extensão do arquivo não têm significado.)

Para obter mais informações, consulte Adicionar e remover permissões de IAM identidade no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte PutUserPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar remove-client-id-from-open-id-connect-provider.

AWS CLI

Para remover o ID do cliente especificado da lista de clientes IDs registrados para o provedor IAM OpenID Connect especificado

Este exemplo remove o ID My-TestApp-3 do cliente da lista de clientes IDs associados ao IAM OIDC provedor cujo ARN éarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

aws iam remove-client-id-from-open-id-connect-provider --client-id My-TestApp-3 \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Este comando não produz saída.

Para obter mais informações, consulte Criação de provedores de identidade OpenID Connect (OIDC) no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar remove-role-from-instance-profile.

AWS CLI

Para remover um cargo de um perfil de instância‭

O comando remove-role-from-instance-profile a seguir remove o perfil denominado Test-Role do perfil de instância denominado ExampleInstanceProfile.

aws iam remove-role-from-instance-profile \ --instance-profile-name ExampleInstanceProfile \ --role-name Test-Role

Para obter mais informações, consulte Como usar perfis de instância no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar remove-user-from-group.

AWS CLI

Para remover um usuário de um IAM grupo

O remove-user-from-group comando a seguir remove o usuário nomeado Bob do IAM grupo nomeadoAdmins.

aws iam remove-user-from-group \ --user-name Bob \ --group-name Admins

Este comando não produz saída.

Para obter mais informações, consulte Adicionar e remover usuários em um IAM grupo de usuários no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar reset-service-specific-credential.

AWS CLI

Exemplo 1: redefinir a senha de uma credencial específica do serviço anexada ao usuário que fez a solicitação

O reset-service-specific-credential exemplo a seguir gera uma nova senha criptograficamente forte para a credencial específica do serviço especificado anexada ao usuário que está fazendo a solicitação.

aws iam reset-service-specific-credential \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Saída:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Exemplo 2: redefinir a senha de uma credencial específica do serviço anexada a um usuário especificado

O reset-service-specific-credential exemplo a seguir gera uma nova senha criptograficamente forte para uma credencial específica do serviço anexada ao usuário especificado.

aws iam reset-service-specific-credential \ --user-name sofia \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Saída:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Para obter mais informações, consulte Criar credenciais do Git para HTTPS conexões CodeCommit no Guia do AWS CodeCommit usuário.

O código de exemplo a seguir mostra como usar resync-mfa-device.

AWS CLI

Para sincronizar um dispositivo MFA

O resync-mfa-device exemplo a seguir sincroniza o MFA dispositivo que está associado ao IAM usuário Bob e que ARN está arn:aws:iam::123456789012:mfa/BobsMFADevice com um programa autenticador que forneceu os dois códigos de autenticação.

aws iam resync-mfa-device \ --user-name Bob \ --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \ --authentication-code1 123456 \ --authentication-code2 987654

Este comando não produz saída.

Para obter mais informações, consulte Usando a autenticação multifator (MFA) AWS no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte ResyncMfaDevicena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar set-default-policy-version.

AWS CLI

Para definir a versão especificada da política especificada como a versão da política padrão.

Este exemplo define a v2 versão da política que ARN é arn:aws:iam::123456789012:policy/MyPolicy a versão ativa padrão.

aws iam set-default-policy-version \ --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \ --version-id v2

Para obter mais informações, consulte Políticas e permissões IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar set-security-token-service-preferences.

AWS CLI

Para definir a versão global do token de endpoint

O set-security-token-service-preferences exemplo a seguir configura STS a Amazon para usar tokens da versão 2 ao se autenticar no endpoint global.

aws iam set-security-token-service-preferences \ --global-endpoint-token-version v2Token

Este comando não produz saída.

Para obter mais informações, consulte Gerenciando AWS STS em uma AWS região no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar simulate-custom-policy.

AWS CLI

Exemplo 1: Para simular os efeitos de todas as IAM políticas associadas a um IAM usuário ou função

A seguir, simulate-custom-policy mostramos como fornecer a política e definir valores de variáveis e simular uma API chamada para ver se ela é permitida ou negada. O exemplo a seguir mostra uma política que permite o acesso ao banco de dados somente após uma data e hora especificadas. A simulação é bem-sucedida porque as ações simuladas e a aws:CurrentTime variável especificada atendem aos requisitos da política.

aws iam simulate-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \ --action-names dynamodb:CreateBackup \ --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Saída:

{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "PolicyInputList.1", "StartPosition": { "Line": 1, "Column": 38 }, "EndPosition": { "Line": 1, "Column": 167 } } ], "MissingContextValues": [] } ] }

Exemplo 2: Para simular um comando proibido pela política

O simulate-custom-policy exemplo a seguir mostra os resultados da simulação de um comando proibido pela política. Neste exemplo, a data fornecida é anterior à exigida pela condição da política.

aws iam simulate-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \ --action-names dynamodb:CreateBackup \ --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Saída:

{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }

Para obter mais informações, consulte Testando IAM políticas com o simulador de IAM políticas no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar simulate-principal-policy.

AWS CLI

Exemplo 1: Para simular os efeitos de uma política arbitrária IAM

Veja a simulate-principal-policy seguir como simular um usuário chamando uma API ação e determinando se as políticas associadas a esse usuário permitem ou negam a ação. No exemplo a seguir, o usuário tem uma política que permite somente a codecommit:ListRepositories ação.

aws iam simulate-principal-policy \ --policy-source-arn arn:aws:iam::123456789012:user/alejandro \ --action-names codecommit:ListRepositories

Saída:

{ "EvaluationResults": [ { "EvalActionName": "codecommit:ListRepositories", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo", "StartPosition": { "Line": 3, "Column": 19 }, "EndPosition": { "Line": 9, "Column": 10 } } ], "MissingContextValues": [] } ] }

Exemplo 2: Para simular os efeitos de um comando proibido

O simulate-custom-policy exemplo a seguir mostra os resultados da simulação de um comando proibido por uma das políticas do usuário. No exemplo a seguir, o usuário tem uma política que permite o acesso a um banco de dados do DynamoDB somente após uma determinada data e hora. A simulação mostra o usuário tentando acessar o banco de dados com um aws:CurrentTime valor anterior ao permitido pela condição da política.

aws iam simulate-principal-policy \ --policy-source-arn arn:aws:iam::123456789012:user/alejandro \ --action-names dynamodb:CreateBackup \ --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Saída:

{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }

Para obter mais informações, consulte Testando IAM políticas com o simulador de IAM políticas no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar tag-instance-profile.

AWS CLI

Para adicionar uma tag a um perfil de instância

O tag-instance-profile comando a seguir adiciona uma tag com o nome do Departamento ao perfil de instância especificado.

aws iam tag-instance-profile \ --instance-profile-name deployment-role \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar tag-mfa-device.

AWS CLI

Para adicionar uma tag a um MFA dispositivo

O tag-mfa-device comando a seguir adiciona uma tag com o nome do Departamento ao MFA dispositivo especificado.

aws iam tag-mfa-device \ --serial-number arn:aws:iam::123456789012:mfa/alice \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte TagMfaDevicena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar tag-open-id-connect-provider.

AWS CLI

Para adicionar uma tag a um provedor de identidade compatível com OpenID Connect (OIDC)

O tag-open-id-connect-provider comando a seguir adiciona uma tag com o nome do Departamento ao provedor de OIDC identidade especificado.

aws iam tag-open-id-connect-provider \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar tag-policy.

AWS CLI

Para adicionar uma tag a uma política gerenciada pelo cliente

O tag-policy comando a seguir adiciona uma tag com o nome do Departamento à política gerenciada pelo cliente especificada.

aws iam tag-policy \ --policy-arn arn:aws:iam::123456789012:policy/billing-access \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte TagPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar tag-role.

AWS CLI

Adicionar uma tag a um perfil

O comando tag-role a seguir adiciona uma tag com o nome do Departamento ao perfil especificado.

aws iam tag-role --role-name my-role \ --tags '{"Key": "Department", "Value": "Accounting"}'

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte TagRolena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar tag-saml-provider.

AWS CLI

Para adicionar uma tag a um SAML provedor

O tag-saml-provider comando a seguir adiciona uma tag com o nome do Departamento ao SAML provedor especificado.

aws iam tag-saml-provider \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte TagSamlProviderna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar tag-server-certificate.

AWS CLI

Para adicionar uma tag a um certificado de servidor

O tag-saml-provider comando a seguir adiciona uma tag com o nome do Departamento ao certificado do servidor especificado.

aws iam tag-server-certificate \ --server-certificate-name ExampleCertificate \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar tag-user.

AWS CLI

Adicionar uma tag a um usuário

O comando tag-user a seguir adiciona uma tag com o Departamento associado ao usuário especificado.

aws iam tag-user \ --user-name alice \ --tags '{"Key": "Department", "Value": "Accounting"}'

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte TagUserna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar untag-instance-profile.

AWS CLI

Para remover uma tag de um perfil de instância

O untag-instance-profile comando a seguir remove qualquer tag com o nome de chave “Departamento” do perfil de instância especificado.

aws iam untag-instance-profile \ --instance-profile-name deployment-role \ --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar untag-mfa-device.

AWS CLI

Para remover uma etiqueta de um MFA dispositivo

O untag-mfa-device comando a seguir remove qualquer tag com o nome de chave 'Departamento' do MFA dispositivo especificado.

aws iam untag-mfa-device \ --serial-number arn:aws:iam::123456789012:mfa/alice \ --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte UntagMfaDevicena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar untag-open-id-connect-provider.

AWS CLI

Para remover uma tag de um provedor de OIDC identidade

O untag-open-id-connect-provider comando a seguir remove qualquer tag com o nome de chave 'Departamento' do provedor de OIDC identidade especificado.

aws iam untag-open-id-connect-provider \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \ --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar untag-policy.

AWS CLI

Para remover uma tag de uma política gerenciada pelo cliente

O untag-policy comando a seguir remove qualquer tag com o nome de chave “Departamento” da política gerenciada pelo cliente especificada.

aws iam untag-policy \ --policy-arn arn:aws:iam::452925170507:policy/billing-access \ --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte UntagPolicyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar untag-role.

AWS CLI

Remover uma tag de um perfil

O comando untag-role a seguir remove qualquer tag com o nome de chave 'Department' do perfil especificado.

aws iam untag-role \ --role-name my-role \ --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte UntagRolena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar untag-saml-provider.

AWS CLI

Para remover uma tag de um SAML provedor

O untag-saml-provider comando a seguir remove qualquer tag com o nome de chave “Departamento” do perfil de instância especificado.

aws iam untag-saml-provider \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \ --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte UntagSamlProviderna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar untag-server-certificate.

AWS CLI

Para remover uma tag de um certificado de servidor

O untag-server-certificate comando a seguir remove qualquer tag com o nome de chave 'Departamento' do certificado do servidor especificado.

aws iam untag-server-certificate \ --server-certificate-name ExampleCertificate \ --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar untag-user.

AWS CLI

Remover uma tag de um usuário

O comando untag-user a seguir remove qualquer tag com o nome de chave 'Department' do usuário especificado.

aws iam untag-user \ --user-name alice \ --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Marcar IAM recursos no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte UntagUserna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-access-key.

AWS CLI

Para ativar ou desativar uma chave de acesso para um usuário IAM

O update-access-key comando a seguir desativa a chave de acesso especificada (ID da chave de acesso e chave de acesso secreta) para o IAM usuário nomeado. Bob

aws iam update-access-key \ --access-key-id AKIAIOSFODNN7EXAMPLE \ --status Inactive \ --user-name Bob

Este comando não produz saída.

Desativar a chave significa que ela não pode ser usada para acesso programático a. AWS No entanto, a chave continua disponível e pode ser ativada novamente.

Para obter mais informações, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia AWS IAM do usuário.

  • Para API obter detalhes, consulte UpdateAccessKeyna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-account-password-policy.

AWS CLI

Definir ou alterar a política de senha da conta atual

O comando update-account-password-policy a seguir define a política de senha para exigir um mínimo de oito caracteres e um ou mais números na senha.

aws iam update-account-password-policy \ --minimum-password-length 8 \ --require-numbers

Este comando não produz saída.

As alterações na política de senha de uma conta afetam todas as novas senhas criadas para IAM os usuários na conta. As alterações na política de senha não afetam as senhas existentes.

Para obter mais informações, consulte Configuração de uma política de senha de conta para IAM usuários no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar update-assume-role-policy.

AWS CLI

Para atualizar a política de confiança de uma IAM função

O comando update-assume-role-policy a seguir atualiza a política de confiança do perfil denominado Test-Role.

aws iam update-assume-role-policy \ --role-name Test-Role \ --policy-document file://Test-Role-Trust-Policy.json

Este comando não produz saída.

A política de confiança é definida como um JSON documento no arquivo Test-role-trust-policy.json. (O nome e a extensão do arquivo não têm significado.) A política de confiança deve especificar uma entidade principal.

Para atualizar a política de permissões de um perfil, use o comando put-role-policy.

Para obter mais informações, consulte Criação de IAM funções no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar update-group.

AWS CLI

Para renomear um grupo IAM

O update-group comando a seguir altera o nome do IAM grupo Test paraTest-1.

aws iam update-group \ --group-name Test \ --new-group-name Test-1

Este comando não produz saída.

Para obter mais informações, consulte Renomear um grupo de IAM usuários no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte UpdateGroupna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-login-profile.

AWS CLI

Para atualizar a senha de um IAM usuário

O update-login-profile comando a seguir cria uma nova senha para o IAM usuário chamadoBob.

aws iam update-login-profile \ --user-name Bob \ --password <password>

Este comando não produz saída.

Para definir uma política de senha da conta, use o comando update-account-password-policy. Se a nova senha violar a política de senha da conta, o comando retornará um erro PasswordPolicyViolation.

Se a política de senha da conta permitir, IAM os usuários poderão alterar suas próprias senhas usando o change-password comando.

Armazene a senha em um lugar seguro. Se a senha for perdida, não será possível recuperá-la e você deverá criar uma nova usando o comando create-login-profile.

Para obter mais informações, consulte Gerenciamento de senhas para IAM usuários no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar update-open-id-connect-provider-thumbprint.

AWS CLI

Para substituir a lista existente de impressões digitais do certificado de servidor por uma nova

Este exemplo atualiza a lista de impressões digitais do certificado para o OIDC provedor que arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com deve usar uma nova impressão digital. ARN

aws iam update-open-id-connect-provider-thumbprint \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \ --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Este comando não produz saída.

Para obter mais informações, consulte Criação de provedores de identidade OpenID Connect (OIDC) no Guia do AWS IAMusuário.

O código de exemplo a seguir mostra como usar update-role-description.

AWS CLI

Para alterar a descrição de uma IAM função

O update-role comando a seguir altera a descrição da IAM função production-role paraMain production role.

aws iam update-role-description \ --role-name production-role \ --description 'Main production role'

Saída:

{ "Role": { "Path": "/", "RoleName": "production-role", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/production-role", "CreateDate": "2017-12-06T17:16:37+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }, "Description": "Main production role" } }

Para obter mais informações, consulte Modificar uma função no Guia do AWS IAM usuário.

O código de exemplo a seguir mostra como usar update-role.

AWS CLI

Para alterar a descrição de uma IAM função ou a duração da sessão

O update-role comando a seguir altera a descrição da IAM função production-role Main production role e define a duração máxima da sessão para 12 horas.

aws iam update-role \ --role-name production-role \ --description 'Main production role' \ --max-session-duration 43200

Este comando não produz saída.

Para obter mais informações, consulte Modificar uma função no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte UpdateRolena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-saml-provider.

AWS CLI

Para atualizar o documento de metadados de um provedor existente SAML

Este exemplo atualiza o SAML provedor em IAM cujo ARN está arn:aws:iam::123456789012:saml-provider/SAMLADFS com um novo documento de SAML metadados do arquivoSAMLMetaData.xml.

aws iam update-saml-provider \ --saml-metadata-document file://SAMLMetaData.xml \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Saída:

{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS" }

Para obter mais informações, consulte Criação de provedores de IAM SAML identidade no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar update-server-certificate.

AWS CLI

Para alterar o caminho ou o nome de um certificado de servidor em sua AWS conta

O comando update-server-certificate, apresentado a seguir, altera o nome do certificado de myServerCertificate para myUpdatedServerCertificate. Ele também altera o caminho para que /cloudfront/ possa ser acessado pelo CloudFront serviço da Amazon. Este comando não produz saída. É possível visualizar os resultados da atualização ao executar o comando list-server-certificates.

aws-iam update-server-certificate \ --server-certificate-name myServerCertificate \ --new-server-certificate-name myUpdatedServerCertificate \ --new-path /cloudfront/

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de certificados de servidor IAM no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar update-service-specific-credential.

AWS CLI

Exemplo 1: Para atualizar o status da credencial específica do serviço do usuário solicitante

O update-service-specific-credential exemplo a seguir altera o status da credencial especificada para o usuário que está fazendo a Inactive solicitação.

aws iam update-service-specific-credential \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \ --status Inactive

Este comando não produz saída.

Exemplo 2: Para atualizar o status da credencial específica do serviço de um usuário especificado

O update-service-specific-credential exemplo a seguir altera o status da credencial do usuário especificado para Inativo.

aws iam update-service-specific-credential \ --user-name sofia \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \ --status Inactive

Este comando não produz saída.

Para obter mais informações, consulte Criar credenciais do Git para HTTPS conexões CodeCommit no Guia do usuário AWS CodeCommit

O código de exemplo a seguir mostra como usar update-signing-certificate.

AWS CLI

Para ativar ou desativar um certificado de assinatura para um usuário IAM

O update-signing-certificate comando a seguir desativa o certificado de assinatura especificado para o IAM usuário nomeado. Bob

aws iam update-signing-certificate \ --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \ --status Inactive \ --user-name Bob

Para obter o ID de um certificado de assinatura, use o comando list-signing-certificates.

Para obter mais informações, consulte Gerenciar certificados de assinatura no Guia EC2 do usuário da Amazon.

O código de exemplo a seguir mostra como usar update-ssh-public-key.

AWS CLI

Para alterar o status de uma chave SSH pública

O update-ssh-public-key comando a seguir altera o status da chave pública especificada paraInactive.

aws iam update-ssh-public-key \ --user-name sofia \ --ssh-public-key-id APKA1234567890EXAMPLE \ --status Inactive

Este comando não produz saída.

Para obter mais informações, consulte Usar SSH teclas e SSH com CodeCommit no Guia AWS IAM do usuário.

O código de exemplo a seguir mostra como usar update-user.

AWS CLI

Para alterar o nome de um IAM usuário

O update-user comando a seguir altera o nome do IAM usuário Bob paraRobert.

aws iam update-user \ --user-name Bob \ --new-user-name Robert

Este comando não produz saída.

Para obter mais informações, consulte Renomear um grupo de IAM usuários no Guia do AWS IAM usuário.

  • Para API obter detalhes, consulte UpdateUserna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar upload-server-certificate.

AWS CLI

Para fazer upload de um certificado de servidor para sua AWS conta

O upload-server-certificatecomando a seguir carrega um certificado de servidor em sua AWS conta. Neste exemplo, o certificado está no arquivo public_key_cert_file.pem, a chave privada associada está no arquivo my_private_key.pem e a cadeia de certificados fornecida pela autoridade de certificação (CA) está no arquivo my_certificate_chain_file.pem. Quando o upload do arquivo for concluído, ele estará disponível com o nome myServerCertificate. Os parâmetros que começam com file:// informam ao comando para ler o conteúdo do arquivo e usá-lo como valor do parâmetro em vez do próprio nome do arquivo.

aws iam upload-server-certificate \ --server-certificate-name myServerCertificate \ --certificate-body file://public_key_cert_file.pem \ --private-key file://my_private_key.pem \ --certificate-chain file://my_certificate_chain_file.pem

Saída:

{ "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" } }

Para obter mais informações, consulte Criação, upload e exclusão de certificados de servidor no guia de uso IAM.

O código de exemplo a seguir mostra como usar upload-signing-certificate.

AWS CLI

Para carregar um certificado de assinatura para um IAM usuário

O upload-signing-certificate comando a seguir carrega um certificado de assinatura para o IAM usuário chamadoBob.

aws iam upload-signing-certificate \ --user-name Bob \ --certificate-body file://certificate.pem

Saída:

{ "Certificate": { "UserName": "Bob", "Status": "Active", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08.121Z" } }

O certificado está em um arquivo chamado certificate.pem no formato. PEM

Para obter mais informações, consulte Criação e upload de um certificado de assinatura de usuário no IAM guia de uso.

O código de exemplo a seguir mostra como usar upload-ssh-public-key.

AWS CLI

Para carregar uma chave SSH pública e associá-la a um usuário

O upload-ssh-public-key comando a seguir carrega a chave pública encontrada no arquivo sshkey.pub e a anexa ao usuário. sofia

aws iam upload-ssh-public-key \ --user-name sofia \ --ssh-public-key-body file://sshkey.pub

Saída:

{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>", "Status": "Active", "UploadDate": "2019-04-18T17:04:49+00:00" } }

Para obter mais informações sobre como gerar chaves em um formato adequado para esse comando, consulte SSHLinux, macOS ou Unix: Configurar as chaves públicas e privadas para Git CodeCommit e/ou Windows: Configurar as chaves públicas SSH e privadas para Git e no Guia do Usuário. CodeCommit AWS CodeCommit