在 IAM中使用 AWS CLI - AWS Command Line Interface
建立 IAM 使用者與群組將IAM受管政策連接至使用者設定IAM使用者的初始密碼為IAM使用者建立存取金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 IAM中使用 AWS CLI

簡介 AWS Identity and Access Management

您可以使用 AWS Identity and Access Management (IAM) 存取 AWS Command Line Interface () 的功能AWS CLI。若要列出 的 AWS CLI 命令IAM,請使用下列命令。

aws iam help

本主題顯示執行 常見任務的 AWS CLI 命令範例IAM。

在執行任何命令前,請先設定您的預設憑證。如需詳細資訊,請參閱設定 的設定 AWS CLI

如需 IAM服務的詳細資訊,請參閱 AWS Identity and Access Management 使用者指南

建立 IAM 使用者與群組

建立群組並在其中新增使用者

  1. 使用 create-group 命令來建立群組。

    $ aws iam create-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52.834Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    }
}

  2. 使用 create-user 命令來建立使用者。

    $ aws iam create-user --user-name MyUser
{
    "User": {
        "UserName": "MyUser",
        "Path": "/",
        "CreateDate": "2018-12-14T03:13:02.581Z",
        "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/MyUser"
    }
}

  3. 使用 add-user-to-group 命令將使用者新增到該群組。

    $ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup

  4. 如果要確認 MyIamGroup 群組是否包含 MyUser,請使用 get-group 命令。

    $ aws iam get-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    },
    "Users": [
        {
            "UserName": "MyUser",
            "Path": "/",
            "CreateDate": "2018-12-14T03:13:02Z",
            "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/MyUser"
        }
    ],
    "IsTruncated": "false"
}

將IAM受管政策連接至使用者

此範例中的政策可提供使用者「進階使用者存取」。

將IAM受管政策連接至使用者

  1. 決定要附加的政策的 Amazon Resource Name (ARN)。下列命令使用 list-policies 尋找名為 ARN的政策的 PowerUserAccess。然後,它會將 存放在環境變數ARN中。

    $ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text)       ~
$ echo $POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess

  2. 若要連接政策,請使用 attach-user-policy命令,並參考擁有政策 的環境變數ARN。

    $ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN

  3. 執行 list-attached-user-policies 命令,確認該政策已連接至使用者。

    $ aws iam list-attached-user-policies --user-name MyUser
{
    "AttachedPolicies": [
        {
            "PolicyName": "PowerUserAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
        }
    ]
}

如需詳細資訊,請參閱存取管理資源。本主題提供許可和政策概觀的連結,以及存取 Amazon S3、Amazon EC2和其他 服務的政策範例連結。

設定IAM使用者的初始密碼

以下命令使用 create-login-profile 來為指定的使用者設定初始密碼。當使用者首次登入時,使用者需要將密碼變更為只有該使用者知道的內容。

$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required
{
    "LoginProfile": {
        "UserName": "MyUser",
        "CreateDate": "2018-12-14T17:27:18Z",
        "PasswordResetRequired": true
    }
}

您可使用 update-login-profile 命令來變更使用者的密碼。

$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword

為IAM使用者建立存取金鑰

您可以使用 create-access-key 命令來為使用者建立存取金鑰。存取金鑰是一組安全憑證,包含存取金鑰 ID 和私密金鑰。

一位使用者一次只能建立兩個存取金鑰。若您嘗試建立第三組,命令會傳回 LimitExceeded 錯誤。

$ aws iam create-access-key --user-name MyUser
{
    "AccessKey": {
        "UserName": "MyUser",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "Status": "Active",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "CreateDate": "2018-12-14T17:34:16Z"
    }
}

使用 delete-access-key 命令來為使用者刪除存取金鑰。使用存取金鑰 ID 來指定要刪除哪一個存取金鑰。

$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE