Usando IAM no AWS CLI - AWS Command Line Interface
Criar usuários e grupos do IAMAnexando uma política IAM gerenciada a um usuárioDefinindo uma senha inicial para um IAM usuárioCriando uma chave de acesso para um IAM usuário

Esta documentação é para a AWS CLI única versão 1. Para obter a documentação relacionada à versão 2 do AWS CLI, consulte o Guia do usuário da versão 2.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando IAM no AWS CLI

Uma introdução ao AWS Identity and Access Management

Você pode acessar os recursos do AWS Identity and Access Management (IAM) usando o AWS Command Line Interface (AWS CLI). Para listar os AWS CLI comandos paraIAM, use o comando a seguir.

aws iam help

Este tópico mostra exemplos de AWS CLI comandos que executam tarefas comuns paraIAM.

Antes de executar quaisquer comandos, defina suas credenciais padrão. Para obter mais informações, consulte Definindo configurações para o AWS CLI.

Para obter mais informações sobre o IAM serviço, consulte o Guia AWS Identity and Access Management do usuário.

Criar usuários e grupos do IAM

Como criar um grupo e adicionar um novo usuário a ele

  1. Use o comando create-group para criar o grupo.

    $ aws iam create-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52.834Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    }
}

  2. Use o comando create-user para criar o usuário.

    $ aws iam create-user --user-name MyUser
{
    "User": {
        "UserName": "MyUser",
        "Path": "/",
        "CreateDate": "2018-12-14T03:13:02.581Z",
        "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/MyUser"
    }
}

  3. Use o comando add-user-to-group para adicionar o usuário ao grupo.

    $ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup

  4. Para verificar se o grupo MyIamGroup contém MyUser, use o comando get-group.

    $ aws iam get-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    },
    "Users": [
        {
            "UserName": "MyUser",
            "Path": "/",
            "CreateDate": "2018-12-14T03:13:02Z",
            "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/MyUser"
        }
    ],
    "IsTruncated": "false"
}

Anexando uma política IAM gerenciada a um usuário

Neste exemplo, a política fornece ao usuário “Acesso de Usuário Power”.

Para anexar uma política IAM gerenciada a um usuário

  1. Determine o nome do recurso Amazon (ARN) da política a ser anexada. O comando a seguir list-policies é usado para encontrar a ARN política com o nomePowerUserAccess. Em seguida, ele armazena isso ARN em uma variável de ambiente.

    $ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text)       ~
$ echo $POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess

  2. Para anexar a política, use o attach-user-policyattach-user-policycomando e faça referência à variável de ambiente que contém a políticaARN.

    $ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN

  3. Verifique se a política foi anexada ao usuário executando o comando list-attached-user-policies.

    $ aws iam list-attached-user-policies --user-name MyUser
{
    "AttachedPolicies": [
        {
            "PolicyName": "PowerUserAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
        }
    ]
}

Para obter mais informações, consulte Recursos de gerenciamento de acesso. Este tópico fornece links para uma visão geral de permissões e políticas e links para exemplos de políticas para acessar o Amazon S3EC2, a Amazon e outros serviços.

Definindo uma senha inicial para um IAM usuário

O comando a seguir usa create-login-profile para definir uma senha inicial para o usuário especificado. Quando o usuário faz login pela primeira vez, ele precisa alterar a senha para algo que apenas ele sabe.

$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required
{
    "LoginProfile": {
        "UserName": "MyUser",
        "CreateDate": "2018-12-14T17:27:18Z",
        "PasswordResetRequired": true
    }
}

Você pode usar o comando update-login-profile para alterar a senha para um usuário.

$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword

Criando uma chave de acesso para um IAM usuário

Você pode usar o comando create-access-key para criar uma chave de acesso para um usuário. Uma chave de acesso é um conjunto de credenciais de segurança que consiste em um ID de chave de acesso e uma chave secreta.

Um usuário pode criar apenas duas chaves de acesso ao mesmo tempo. Se você tentar criar um terceiro conjunto, o comando retornará um erro LimitExceeded.

$ aws iam create-access-key --user-name MyUser
{
    "AccessKey": {
        "UserName": "MyUser",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "Status": "Active",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "CreateDate": "2018-12-14T17:34:16Z"
    }
}

Use o comando delete-access-key para excluir uma chave de acesso para um usuário. Especifique qual chave de acesso deve ser excluída usando o ID de chave de acesso.

$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE