本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 的 IAM 範例 AWS CLI
下列程式碼範例示範如何使用 AWS Command Line Interface 搭配 IAM 執行動作和實作常見案例。
*Actions* 是大型程式的程式碼摘錄,必須在內容中執行。雖然動作會告訴您如何呼叫個別服務函數,但您可以在其相關情境中查看內容中的動作。
每個範例均包含完整原始碼的連結,您可在連結中找到如何設定和執行內容中程式碼的相關指示。
**Topics**
+ [動作](#actions)
## 動作
### `add-client-id-to-open-id-connect-provider`
以下程式碼範例顯示如何使用 `add-client-id-to-open-id-connect-provider`。
**AWS CLI**
**若要將用戶端 ID (對象) 新增至 Open-ID Connect (OIDC) 提供者**
下列 `add-client-id-to-open-id-connect-provider` 命令會將用戶端 ID `my-application-ID` 新增至名為 `server.example.com` 的 OIDC 提供者。
```
aws iam add-client-id-to-open-id-connect-provider \
--client-id my-application-ID \
--open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com
```
此命令不會產生輸出。
若要建立 OIDC 提供者,請使用 `create-open-id-connect-provider` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Creating OpenID Connect (OIDC) identity providers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [AddClientIdToOpenIdConnectProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/add-client-id-to-open-id-connect-provider.html)。
### `add-role-to-instance-profile`
以下程式碼範例顯示如何使用 `add-role-to-instance-profile`。
**AWS CLI**
**若要將角色新增至執行個體設定檔**
下列 `add-role-to-instance-profile` 命令會將名為 `S3Access` 的角色新增至名為 `Webserver` 的執行個體設定檔。
```
aws iam add-role-to-instance-profile \
--role-name S3Access \
--instance-profile-name Webserver
```
此命令不會產生輸出。
若要建立執行個體設定檔,請使用 `create-instance-profile` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [AddRoleToInstanceProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/add-role-to-instance-profile.html)。
### `add-user-to-group`
以下程式碼範例顯示如何使用 `add-user-to-group`。
**AWS CLI**
**將使用者新增至 IAM 群組**
下列 `add-user-to-group` 命令會將名為 `Bob` 的 IAM 使用者新增至名為 `Admins` 的 IAM 群組。
```
aws iam add-user-to-group \
--user-name Bob \
--group-name Admins
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 IAM 使用者群組中新增和移除使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [AddUserToGroup](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/add-user-to-group.html)。
### `attach-group-policy`
以下程式碼範例顯示如何使用 `attach-group-policy`。
**AWS CLI**
**若要將受管政策連接至 IAM 群組**
下列`attach-group-policy`命令會將名為 的 AWS 受管政策連接至名為 `ReadOnlyAccess`的 IAM 群組`Finance`。
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
--group-name Finance
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [AttachGroupPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-group-policy.html)。
### `attach-role-policy`
以下程式碼範例顯示如何使用 `attach-role-policy`。
**AWS CLI**
**將受管政策連接至 IAM 角色**
下列`attach-role-policy`命令會將名為 的 AWS 受管政策連接至名為 `ReadOnlyAccess`的 IAM 角色`ReadOnlyRole`。
```
aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
--role-name ReadOnlyRole
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [AttachRolePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-role-policy.html)。
### `attach-user-policy`
以下程式碼範例顯示如何使用 `attach-user-policy`。
**AWS CLI**
**將受管政策連接至 IAM 使用者**
下列`attach-user-policy`命令會將名為 的 AWS 受管政策連接至名為 `AdministratorAccess`的 IAM 使用者`Alice`。
```
aws iam attach-user-policy \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
--user-name Alice
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [AttachUserPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html)。
### `change-password`
以下程式碼範例顯示如何使用 `change-password`。
**AWS CLI**
**若要變更您的 IAM 使用者的密碼**
若要變更 IAM 使用者的密碼,建議使用 `--cli-input-json` 參數來傳遞包含舊密碼和新密碼的 JSON 檔案。採用此方法時,可以使用含非英數字元的高保護性密碼。當您以命令列參數形式傳遞密碼時,使用含非英數字元的密碼可能會有困難。若要使用 `--cli-input-json` 參數,請先從使用含 `--generate-cli-skeleton` 參數的 `change-password` 命令開始,範例如下所示。
```
aws iam change-password \
--generate-cli-skeleton > change-password.json
```
先前的命令會建立名為 change-password.json 的 JSON 檔案,可用來填入舊密碼與新密碼。例如,此檔案可能如下所示:
```
{
"OldPassword": "3s0K_;xh4~8XXI",
"NewPassword": "]35d/{pB9Fo9wJ"
}
```
接下來,若要變更密碼,請再次使用 `change-password` 命令,這次傳遞 `--cli-input-json` 參數以指定 JSON 檔案。下列 `change-password` 命令會將 `--cli-input-json` 參數與名為 change-password.json 的 JSON 檔案搭配使用。
```
aws iam change-password \
--cli-input-json file://change-password.json
```
此命令不會產生輸出。
此命令只能由 IAM 使用者呼叫。如果使用 AWS 帳戶 (根) 登入資料呼叫此命令,則命令會傳回`InvalidUserType`錯誤。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 使用者如何變更自己的密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_user-change-own.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ChangePassword](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/change-password.html)。
### `create-access-key`
以下程式碼範例顯示如何使用 `create-access-key`。
**AWS CLI**
**為 IAM 使用者建立存取金鑰**
下列 `create-access-key` 命令會為名為 `Bob` 的 IAM 使用者建立存取金鑰 (存取金鑰 ID 與私密存取金鑰)。
```
aws iam create-access-key \
--user-name Bob
```
輸出:
```
{
"AccessKey": {
"UserName": "Bob",
"Status": "Active",
"CreateDate": "2015-03-09T18:39:23.411Z",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
}
}
```
請將私密存取金鑰存放在安全之處。遺失的金鑰無法復原,您必須建立新的存取金鑰。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateAccessKey](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-access-key.html)。
### `create-account-alias`
以下程式碼範例顯示如何使用 `create-account-alias`。
**AWS CLI**
**建立帳戶別名**
下列`create-account-alias`命令會`examplecorp`為您的 AWS 帳戶建立別名。
```
aws iam create-account-alias \
--account-alias examplecorp
```
此命令不會產生輸出。
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[AWS 您的帳戶 ID 及其別名](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateAccountAlias](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-account-alias.html)。
### `create-group`
以下程式碼範例顯示如何使用 `create-group`。
**AWS CLI**
**建立 IAM 群組**
下列 `create-group` 命令會建立名為 `Admins` 的 IAM 群組。
```
aws iam create-group \
--group-name Admins
```
輸出:
```
{
"Group": {
"Path": "/",
"CreateDate": "2015-03-09T20:30:24.940Z",
"GroupId": "AIDGPMS9RO4H3FEXAMPLE",
"Arn": "arn:aws:iam::123456789012:group/Admins",
"GroupName": "Admins"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM 使用者群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateGroup](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-group.html)。
### `create-instance-profile`
以下程式碼範例顯示如何使用 `create-instance-profile`。
**AWS CLI**
**建立執行個體設定檔**
下列 `create-instance-profile` 命令會建立名為 `Webserver` 的執行個體設定檔。
```
aws iam create-instance-profile \
--instance-profile-name Webserver
```
輸出:
```
{
"InstanceProfile": {
"InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
"Roles": [],
"CreateDate": "2015-03-09T20:33:19.626Z",
"InstanceProfileName": "Webserver",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
}
}
```
若要將角色新增至執行個體設定檔,請使用 `add-role-to-instance-profile` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateInstanceProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-instance-profile.html)。
### `create-login-profile`
以下程式碼範例顯示如何使用 `create-login-profile`。
**AWS CLI**
**為 IAM 使用者建立密碼**
若要為 IAM 使用者建立密碼,建議使用 `--cli-input-json` 參數傳遞包含密碼的 JSON 檔案。採用此方法時,可以建立含非英數字元的強式密碼。當您以命令列參數形式傳遞密碼時,建立含非英數字元的密碼可能會很困難。
若要使用 `--cli-input-json` 參數,請先使用 `create-login-profile` 命令搭配 `--generate-cli-skeleton` 參數,如下列範例中所示。
```
aws iam create-login-profile \
--generate-cli-skeleton > create-login-profile.json
```
先前的命令會建立名為 create-login-profile.json 的 JSON 檔案,可用來填入後續 `create-login-profile` 命令的資訊。例如:
```
{
"UserName": "Bob",
"Password": "&1-3a6u:RA0djs",
"PasswordResetRequired": true
}
```
接下來,若要為 IAM 使用者建立密碼,請再次使用 `create-login-profile` 命令,這次傳遞 `--cli-input-json` 參數來指定 JSON 檔案。下列 `create-login-profile` 命令會將 `--cli-input-json` 參數搭配名為 create-login-profile.json 的 JSON 檔案使用。
```
aws iam create-login-profile \
--cli-input-json file://create-login-profile.json
```
輸出:
```
{
"LoginProfile": {
"UserName": "Bob",
"CreateDate": "2015-03-10T20:55:40.274Z",
"PasswordResetRequired": true
}
}
```
如果新密碼違反帳戶密碼政策,則命令會傳回 `PasswordPolicyViolation` 錯誤。
若要為已有密碼的使用者變更密碼,請使用 `update-login-profile`。若要設定帳戶的密碼政策,請使用 `update-account-password-policy` 命令。
如果帳戶密碼政策允許,IAM 使用者可以使用 `change-password` 命令變更自己的密碼。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [CreateLoginProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)。
### `create-open-id-connect-provider`
以下程式碼範例顯示如何使用 `create-open-id-connect-provider`。
**AWS CLI**
**若要建立 IAM OpenID Connect (OIDC) 提供者**
若要建立 OpenID Connect (OIDC) 提供者,建議使用 `--cli-input-json` 參數來傳遞包含必要參數的 JSON 檔案。建立 OIDC 提供者時,必須傳遞提供者的 URL,且 URL 必須以 `https://` 開頭。以命令列參數形式傳遞 URL 可能會很困難,因為在某些命令列環境中,冒號 (:) 和正斜線 (/) 字元有特殊含義。使用 `--cli-input-json` 參數可以避開這個限制。
若要使用 `--cli-input-json` 參數,請先使用 `create-open-id-connect-provider` 命令搭配 `--generate-cli-skeleton` 參數,如下列範例中所示。
```
aws iam create-open-id-connect-provider \
--generate-cli-skeleton > create-open-id-connect-provider.json
```
上一個命令會建立名為 create-open-id-connect-provider.json 的 JSON 檔案,用來填入後續 `create-open-id-connect-provider` 命令的資訊。例如:
```
{
"Url": "https://server.example.com",
"ClientIDList": [
"example-application-ID"
],
"ThumbprintList": [
"c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
]
}
```
接下來,若要建立 OpenID Connect (OIDC) 提供者,請再次使用 `create-open-id-connect-provider` 命令,這次傳遞 `--cli-input-json` 參數來指定 JSON 檔案。下列 `create-open-id-connect-provider` 命令會將 `--cli-input-json` 參數與名為 create-open-id-connect-provider.json 的 JSON 檔案搭配使用。
```
aws iam create-open-id-connect-provider \
--cli-input-json file://create-open-id-connect-provider.json
```
輸出:
```
{
"OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}
```
如需有關 OIDC 提供者的詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 OpenID Connect (OIDC) 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html)。
如需如何取得 OIDC 提供者指紋的詳細資訊,請參閱*《AWS IAM 使用者指南》*中的[取得 OpenID Connect 身分提供者的指紋](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc_verify-thumbprint.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [CreateOpenIdConnectProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-open-id-connect-provider.html)。
### `create-policy-version`
以下程式碼範例顯示如何使用 `create-policy-version`。
**AWS CLI**
**建立新版本的受管政策**
此範例會建立新 `v2` 版的 IAM 政策 (其 ARN 為 `arn:aws:iam::123456789012:policy/MyPolicy`),並將該版本設為預設版本。
```
aws iam create-policy-version \
--policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
--policy-document file://NewPolicyVersion.json \
--set-as-default
```
輸出:
```
{
"PolicyVersion": {
"CreateDate": "2015-06-16T18:56:03.721Z",
"VersionId": "v2",
"IsDefaultVersion": true
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 政策的版本控制](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-versioning.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreatePolicyVersion](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-policy-version.html)。
### `create-policy`
以下程式碼範例顯示如何使用 `create-policy`。
**AWS CLI**
**範例 1:建立客戶管理政策**
下列命令會建立名為 `my-policy` 的客戶管理政策。檔案 `policy.json` 是目前資料夾中的 JSON 文件,在名為 `amzn-s3-demo-bucket` 的 Amazon S3 儲存貯體中授予 `shared` 資料夾的唯讀存取權限。
```
aws iam create-policy \
--policy-name my-policy \
--policy-document file://policy.json
```
policy.json 的內容:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/shared/*"
]
}
]
}
```
輸出:
```
{
"Policy": {
"PolicyName": "my-policy",
"CreateDate": "2015-06-01T19:31:18.620Z",
"AttachmentCount": 0,
"IsAttachable": true,
"PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
"DefaultVersionId": "v1",
"Path": "/",
"Arn": "arn:aws:iam::0123456789012:policy/my-policy",
"UpdateDate": "2015-06-01T19:31:18.620Z"
}
}
```
如需使用檔案做為字串參數輸入的詳細資訊,請參閱《[CLI AWS 使用者指南》中的指定 CLI 的參數值](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters.html)。 *AWS *
**範例 2:建立內含描述的客戶管理政策**
下列命令會建立名為 `my-policy` 的客戶管理政策,其中包含不可變的描述。
檔案 `policy.json` 是目前資料夾中的 JSON 文件,可針對名為 `amzn-s3-demo-bucket` 的 Amazon S3 儲存貯體,授予所有 Put、List 和 Get 動作的存取權限。
```
aws iam create-policy \
--policy-name my-policy \
--policy-document file://policy.json \
--description "This policy grants access to all Put, Get, and List actions for amzn-s3-demo-bucket"
```
policy.json 的內容:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket*",
"s3:PutBucket*",
"s3:GetBucket*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
輸出:
```
{
"Policy": {
"PolicyName": "my-policy",
"PolicyId": "ANPAWGSUGIDPEXAMPLE",
"Arn": "arn:aws:iam::123456789012:policy/my-policy",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2023-05-24T22:38:47+00:00",
"UpdateDate": "2023-05-24T22:38:47+00:00"
}
}
```
如需有關以身分為基礎之政策的詳細資訊,請參閱《AWS IAM 使用者指南》**中的[以身分為基礎和以資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。
**範例 3:建立內含標籤的客戶管理政策**
下列命令會建立名為 `my-policy` 的客戶管理政策,其中包含標籤。此範例使用具有下列 JSON 格式標籤的 `--tags` 參數:`'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'`。或者,`--tags` 旗標可以與速記格式的標籤一起使用:`'Key=Department,Value=Accounting Key=Location,Value=Seattle'`。
檔案 `policy.json` 是目前資料夾中的 JSON 文件,可針對名為 `amzn-s3-demo-bucket` 的 Amazon S3 儲存貯體,授予所有 Put、List 和 Get 動作的存取權限。
```
aws iam create-policy \
--policy-name my-policy \
--policy-document file://policy.json \
--tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
```
policy.json 的內容:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket*",
"s3:PutBucket*",
"s3:GetBucket*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
輸出:
```
{
"Policy": {
"PolicyName": "my-policy",
"PolicyId": "ANPAWGSUGIDPEXAMPLE",
"Arn": "arn:aws:iam::12345678012:policy/my-policy",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2023-05-24T23:16:39+00:00",
"UpdateDate": "2023-05-24T23:16:39+00:00",
"Tags": [
{
"Key": "Department",
"Value": "Accounting"
},
"Key": "Location",
"Value": "Seattle"
{
]
}
}
```
如需有關標記政策的詳細資訊,請參閱《AWS IAM 使用者指南》**中的[標記客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_customer-managed-policies.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreatePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-policy.html)。
### `create-role`
以下程式碼範例顯示如何使用 `create-role`。
**AWS CLI**
**範例 1:建立 IAM 角色**
下列 `create-role` 命令會建立名為 `Test-Role` 的角色,並將信任政策連接至該角色。
```
aws iam create-role \
--role-name Test-Role \
--assume-role-policy-document file://Test-Role-Trust-Policy.json
```
輸出:
```
{
"Role": {
"AssumeRolePolicyDocument": "",
"RoleId": "AKIAIOSFODNN7EXAMPLE",
"CreateDate": "2013-06-07T20:43:32.821Z",
"RoleName": "Test-Role",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:role/Test-Role"
}
}
```
在 *Test-Role-Trust-Policy.json* 檔案中,將信任政策定義為 JSON 文件。(檔案名稱和副檔名沒有意義。) 信任政策必須指定主體。
若要將許可政策連接至角色,請使用 `put-role-policy` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
**範例 2:建立具有指定最長工作階段持續時間的 IAM 角色**
下列 `create-role` 命令會建立名為 `Test-Role` 的角色,並設定 7200 秒 (2 小時) 的最長工作階段持續時間。
```
aws iam create-role \
--role-name Test-Role \
--assume-role-policy-document file://Test-Role-Trust-Policy.json \
--max-session-duration 7200
```
輸出:
```
{
"Role": {
"Path": "/",
"RoleName": "Test-Role",
"RoleId": "AKIAIOSFODNN7EXAMPLE",
"Arn": "arn:aws:iam::12345678012:role/Test-Role",
"CreateDate": "2023-05-24T23:50:25+00:00",
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::12345678012:root"
},
"Action": "sts:AssumeRole"
}
]
}
}
}
```
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[修改角色最大工作階段持續時間 (AWS API)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-api.html#roles-modify_max-session-duration-api)。
**範例 3:建立內含標籤的 IAM 角色**
下列命令會建立內含標籤的 IAM 角色 `Test-Role`。此範例使用具有下列 JSON 格式標記的 `--tags` 參數旗標:`'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'`。或者,`--tags` 旗標可以與速記格式的標籤一起使用:`'Key=Department,Value=Accounting Key=Location,Value=Seattle'`。
```
aws iam create-role \
--role-name Test-Role \
--assume-role-policy-document file://Test-Role-Trust-Policy.json \
--tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
```
輸出:
```
{
"Role": {
"Path": "/",
"RoleName": "Test-Role",
"RoleId": "AKIAIOSFODNN7EXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/Test-Role",
"CreateDate": "2023-05-25T23:29:41+00:00",
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "sts:AssumeRole"
}
]
},
"Tags": [
{
"Key": "Department",
"Value": "Accounting"
},
{
"Key": "Location",
"Value": "Seattle"
}
]
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[標記 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-role.html)。
### `create-saml-provider`
以下程式碼範例顯示如何使用 `create-saml-provider`。
**AWS CLI**
**建立 SAML 提供者**
此範例會在 IAM 中建立名為 `MySAMLProvider` 的新 SAML 提供者。它會由在檔案 `SAMLMetaData.xml` 中找到的 SAML 中繼資料文件進行描述。
```
aws iam create-saml-provider \
--saml-metadata-document file://SAMLMetaData.xml \
--name MySAMLProvider
```
輸出:
```
{
"SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateSAMLProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-saml-provider.html)。
### `create-service-linked-role`
以下程式碼範例顯示如何使用 `create-service-linked-role`。
**AWS CLI**
**建立服務連結角色**
下列`create-service-linked-role`範例會為指定的服務建立 AWS 服務連結角色,並連接指定的描述。
```
aws iam create-service-linked-role \
--aws-service-name lex.amazonaws.com \
--description "My service-linked role to support Lex"
```
輸出:
```
{
"Role": {
"Path": "/aws-service-role/lex.amazonaws.com/",
"RoleName": "AWSServiceRoleForLexBots",
"RoleId": "AROA1234567890EXAMPLE",
"Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
"CreateDate": "2019-04-17T20:34:14+00:00",
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Principal": {
"Service": [
"lex.amazonaws.com"
]
}
}
]
}
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateServiceLinkedRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html)。
### `create-service-specific-credential`
以下程式碼範例顯示如何使用 `create-service-specific-credential`。
**AWS CLI**
**為使用者建立一組特定服務的憑證**
下列 `create-service-specific-credential` 範例會建立使用者名稱和密碼,您可使用此憑證來僅存取已設定的服務。
```
aws iam create-service-specific-credential \
--user-name sofia \
--service-name codecommit.amazonaws.com
```
輸出:
```
{
"ServiceSpecificCredential": {
"CreateDate": "2019-04-18T20:45:36+00:00",
"ServiceName": "codecommit.amazonaws.com",
"ServiceUserName": "sofia-at-123456789012",
"ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
"ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
"UserName": "sofia",
"Status": "Active"
}
}
```
如需詳細資訊,請參閱《AWS CodeCommit 使用者指南》**中的[為與 CodeCommit 的 HTTPS 連線建立 Git 憑證](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html#setting-up-gc-iam)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateServiceSpecificCredential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html)。
### `create-user`
以下程式碼範例顯示如何使用 `create-user`。
**AWS CLI**
**範例 1:建立 IAM 使用者**
下列 `create-user` 命令會建立目前帳戶中名為 `Bob` 的 IAM 使用者。
```
aws iam create-user \
--user-name Bob
```
輸出:
```
{
"User": {
"UserName": "Bob",
"Path": "/",
"CreateDate": "2023-06-08T03:20:41.270Z",
"UserId": "AIDAIOSFODNN7EXAMPLE",
"Arn": "arn:aws:iam::123456789012:user/Bob"
}
}
```
如需詳細資訊,請參閱《[IAM 使用者指南》中的在 AWS 帳戶中建立](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *AWS IAM* 使用者。
**範例 2:在指定路徑建立 IAM 使用者**
下列 `create-user` 命令會在指定路徑建立名為 `Bob` 的 IAM 使用者。
```
aws iam create-user \
--user-name Bob \
--path /division_abc/subdivision_xyz/
```
輸出:
```
{
"User": {
"Path": "/division_abc/subdivision_xyz/",
"UserName": "Bob",
"UserId": "AIDAIOSFODNN7EXAMPLE",
"Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
"CreateDate": "2023-05-24T18:20:17+00:00"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 識別符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html)。
**範例 3:建立內含標籤的 IAM 使用者**
下列 `create-user` 命令會建立內含標籤、名為 `Bob` 的 IAM 使用者。此範例使用具有下列 JSON 格式標記的 `--tags` 參數旗標:`'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'`。或者,`--tags` 旗標可以與速記格式的標籤一起使用:`'Key=Department,Value=Accounting Key=Location,Value=Seattle'`。
```
aws iam create-user \
--user-name Bob \
--tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'
```
輸出:
```
{
"User": {
"Path": "/",
"UserName": "Bob",
"UserId": "AIDAIOSFODNN7EXAMPLE",
"Arn": "arn:aws:iam::12345678012:user/Bob",
"CreateDate": "2023-05-25T17:14:21+00:00",
"Tags": [
{
"Key": "Department",
"Value": "Accounting"
},
{
"Key": "Location",
"Value": "Seattle"
}
]
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[標記 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_users.html)。
**範例 3:建立具有設定許可界限的 IAM 使用者**
下列 `create-user` 命令會使用 AmazonS3FullAccess 許可界限,建立名為 `Bob` 的 IAM 使用者。
```
aws iam create-user \
--user-name Bob \
--permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess
```
輸出:
```
{
"User": {
"Path": "/",
"UserName": "Bob",
"UserId": "AIDAIOSFODNN7EXAMPLE",
"Arn": "arn:aws:iam::12345678012:user/Bob",
"CreateDate": "2023-05-24T17:50:53+00:00",
"PermissionsBoundary": {
"PermissionsBoundaryType": "Policy",
"PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
}
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateUser](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html)。
### `create-virtual-mfa-device`
以下程式碼範例顯示如何使用 `create-virtual-mfa-device`。
**AWS CLI**
**若要建立虛擬 MFA 裝置**
此範例會建立名為 `BobsMFADevice` 的新虛擬 MFA 裝置。它會建立包含名為 `QRCode.png` 的引導資訊的檔案,並將其放至 `C:/` 目錄中。此範例中使用的引導方法為 `QRCodePNG`。
```
aws iam create-virtual-mfa-device \
--virtual-mfa-device-name BobsMFADevice \
--outfile C:/QRCode.png \
--bootstrap-method QRCodePNG
```
輸出:
```
{
"VirtualMFADevice": {
"SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 AWS中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [CreateVirtualMfaDevice](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-virtual-mfa-device.html)。
### `deactivate-mfa-device`
以下程式碼範例顯示如何使用 `deactivate-mfa-device`。
**AWS CLI**
**若要停用 MFA 裝置**
此命令會使用與使用者 `Bob` 關聯的 ARN `arn:aws:iam::210987654321:mfa/BobsMFADevice` 停用虛擬 MFA 裝置。
```
aws iam deactivate-mfa-device \
--user-name Bob \
--serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 AWS中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeactivateMfaDevice](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)。
### `decode-authorization-message`
以下程式碼範例顯示如何使用 `decode-authorization-message`。
**AWS CLI**
**解碼授權失敗訊息**
下列 `decode-authorization-message` 範例會在嘗試在沒有必要許可的情況下啟動執行個體時,解碼 EC2 主控台傳回的訊息。
```
aws sts decode-authorization-message \
--encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk
```
輸出會格式化為 JSON 文字的單行字串,您可以使用任何 JSON 文字處理器剖析這個字串。
```
{
"DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}
```
如需詳細資訊,請參閱《*AWS re:Post*》中的[在 EC2 執行個體啟動期間收到 "UnauthorizedOperation" 錯誤後如何解碼授權失敗訊息](https://repost.aws/knowledge-center/ec2-not-auth-launch)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DecodeAuthorizationMessage](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/decode-authorization-message.html)。
### `delete-access-key`
以下程式碼範例顯示如何使用 `delete-access-key`。
**AWS CLI**
**刪除 IAM 使用者的存取金鑰**
下列 `delete-access-key` 命令會為名為 `Bob` 的 IAM 使用者刪除指定的存取金鑰 (存取金鑰 ID 與私密存取金鑰)。
```
aws iam delete-access-key \
--access-key-id AKIDPMS9RO4H3FEXAMPLE \
--user-name Bob
```
此命令不會產生輸出。
若要列出為 IAM 使用者定義的存取金鑰,請使用 `list-access-keys` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteAccessKey](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)。
### `delete-account-alias`
以下程式碼範例顯示如何使用 `delete-account-alias`。
**AWS CLI**
**刪除帳戶別名**
下列 `delete-account-alias` 命令會移除目前帳戶的別名 `mycompany`。
```
aws iam delete-account-alias \
--account-alias mycompany
```
此命令不會產生輸出。
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[AWS 您的帳戶 ID 及其別名](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteAccountAlias](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-account-alias.html)。
### `delete-account-password-policy`
以下程式碼範例顯示如何使用 `delete-account-password-policy`。
**AWS CLI**
**若要刪除目前的帳戶密碼政策**
下列 `delete-account-password-policy` 命令會移除目前帳戶的密碼政策。
```
aws iam delete-account-password-policy
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[設定 IAM 使用者的帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeleteAccountPasswordPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-account-password-policy.html)。
### `delete-group-policy`
以下程式碼範例顯示如何使用 `delete-group-policy`。
**AWS CLI**
**從 IAM 群組中刪除政策**
下列 `delete-group-policy` 命令會將名為 `ExamplePolicy` 的政策從名為 `Admins` 的群組中刪除。
```
aws iam delete-group-policy \
--group-name Admins \
--policy-name ExamplePolicy
```
此命令不會產生輸出。
若要查看連接至群組的政策,請使用 `list-group-policies` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteGroupPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-group-policy.html)。
### `delete-group`
以下程式碼範例顯示如何使用 `delete-group`。
**AWS CLI**
**刪除 IAM 群組**
下列 `delete-group` 命令會刪除名為 `MyTestGroup` 的 IAM 群組。
```
aws iam delete-group \
--group-name MyTestGroup
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[刪除 IAM 使用者群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)。
+ 如需 API 詳細資訊,請參閱**《AWS CLI 命令參考》中的 [DeleteGroup](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-group.html)。
### `delete-instance-profile`
以下程式碼範例顯示如何使用 `delete-instance-profile`。
**AWS CLI**
**刪除執行個體設定檔**
下列 `delete-instance-profile` 命令會刪除名為 `ExampleInstanceProfile` 的執行個體設定檔。
```
aws iam delete-instance-profile \
--instance-profile-name ExampleInstanceProfile
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteInstanceProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-instance-profile.html)。
### `delete-login-profile`
以下程式碼範例顯示如何使用 `delete-login-profile`。
**AWS CLI**
**若要為 IAM 使用者刪除密碼**
下列 `delete-login-profile` 命令會刪除名為 `Bob` 之 IAM 使用者的密碼。
```
aws iam delete-login-profile \
--user-name Bob
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeleteLoginProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)。
### `delete-open-id-connect-provider`
以下程式碼範例顯示如何使用 `delete-open-id-connect-provider`。
**AWS CLI**
**若要刪除 IAM OpenID Connect 身分提供者**
此範例會刪除連線至提供者 `example.oidcprovider.com` 的 IAM OIDC 提供者。
```
aws iam delete-open-id-connect-provider \
--open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Creating OpenID Connect (OIDC) identity providers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeleteOpenIdConnectProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-open-id-connect-provider.html)。
### `delete-policy-version`
以下程式碼範例顯示如何使用 `delete-policy-version`。
**AWS CLI**
**若要刪除受管政策的版本**
此範例會從 ARN 為 `arn:aws:iam::123456789012:policy/MySamplePolicy` 的政策中刪除標識為 `v2` 的版本。
```
aws iam delete-policy-version \
--policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
--version-id v2
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeletePolicyVersion](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-policy-version.html)。
### `delete-policy`
以下程式碼範例顯示如何使用 `delete-policy`。
**AWS CLI**
**刪除 IAM 政策**
此範例會刪除 ARN 為 `arn:aws:iam::123456789012:policy/MySamplePolicy` 的政策。
```
aws iam delete-policy \
--policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeletePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-policy.html)。
### `delete-role-permissions-boundary`
以下程式碼範例顯示如何使用 `delete-role-permissions-boundary`。
**AWS CLI**
**若要從 IAM 角色刪除許可界限**
下列 `delete-role-permissions-boundary` 範例將刪除指定 IAM 角色的許可界限。若要將許可界限套用至角色,請使用 `put-role-permissions-boundary` 命令。
```
aws iam delete-role-permissions-boundary \
--role-name lambda-application-role
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeleteRolePermissionsBoundary](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-role-permissions-boundary.html)。
### `delete-role-policy`
以下程式碼範例顯示如何使用 `delete-role-policy`。
**AWS CLI**
**從 IAM 角色中移除政策**
下列 `delete-role-policy` 命令會將名為 `ExamplePolicy` 的政策從名為 `Test-Role` 的角色中移除。
```
aws iam delete-role-policy \
--role-name Test-Role \
--policy-name ExamplePolicy
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteRolePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-role-policy.html)。
### `delete-role`
以下程式碼範例顯示如何使用 `delete-role`。
**AWS CLI**
**刪除 IAM 角色**
下列 `delete-role` 命令會將名為 `Test-Role` 的角色移除。
```
aws iam delete-role \
--role-name Test-Role
```
此命令不會產生輸出。
刪除角色之前,您必須先從任何執行個體設定檔 (`remove-role-from-instance-profile`) 移除該角色、分離任何受管政策 (`detach-role-policy`),並刪除任何連接至該角色的內嵌政策 (`delete-role-policy`)。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)和[使用執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-role.html)。
### `delete-saml-provider`
以下程式碼範例顯示如何使用 `delete-saml-provider`。
**AWS CLI**
**刪除 SAML 提供者**
此範例會刪除 ARN 為 `arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider` 的 IAM SAML 2.0 提供者。
```
aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteSAMLProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-saml-provider.html)。
### `delete-server-certificate`
以下程式碼範例顯示如何使用 `delete-server-certificate`。
**AWS CLI**
**從 AWS 您的帳戶刪除伺服器憑證**
下列`delete-server-certificate`命令會從 AWS 您的帳戶移除指定的伺服器憑證。
```
aws iam delete-server-certificate \
--server-certificate-name myUpdatedServerCertificate
```
此命令不會產生輸出。
若要列出您 AWS 帳戶中可用的伺服器憑證,請使用 `list-server-certificates`命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 IAM 中管理伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteServerCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-server-certificate.html)。
### `delete-service-linked-role`
以下程式碼範例顯示如何使用 `delete-service-linked-role`。
**AWS CLI**
**刪除服務連結角色**
下列 `delete-service-linked-role` 範例會刪除您不再需要的指定服務連結角色。刪除會以非同步方式發生。您可以使用 `get-service-linked-role-deletion-status` 命令,檢查刪除狀態並確認刪除的時間。
```
aws iam delete-service-linked-role \
--role-name AWSServiceRoleForLexBots
```
輸出:
```
{
"DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteServiceLinkedRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-linked-role.html)。
### `delete-service-specific-credential`
以下程式碼範例顯示如何使用 `delete-service-specific-credential`。
**AWS CLI**
**範例 1:刪除請求使用者的服務特定憑證**
下列 `delete-service-specific-credential` 範例會刪除提出請求之使用者的指定服務特定憑證。系統會在您建立憑證時提供 `service-specific-credential-id`,您可以使用 `list-service-specific-credentials` 命令來擷取此資訊。
```
aws iam delete-service-specific-credential \
--service-specific-credential-id ACCAEXAMPLE123EXAMPLE
```
此命令不會產生輸出。
**範例 2:刪除指定使用者的服務特定憑證**
下列 `delete-service-specific-credential` 範例會刪除指定使用者的指定服務特定憑證。系統會在您建立憑證時提供 `service-specific-credential-id`,您可以使用 `list-service-specific-credentials` 命令來擷取此資訊。
```
aws iam delete-service-specific-credential \
--user-name sofia \
--service-specific-credential-id ACCAEXAMPLE123EXAMPLE
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS CodeCommit 使用者指南》**中的[為與 CodeCommit 的 HTTPS 連線建立 Git 憑證](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html#setting-up-gc-iam)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteServiceSpecificCredential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-service-specific-credential.html)。
### `delete-signing-certificate`
以下程式碼範例顯示如何使用 `delete-signing-certificate`。
**AWS CLI**
**若要刪除 IAM 使用者的簽署憑證**
下列 `delete-signing-certificate` 命令將刪除名為 `Bob` 之 IAM 使用者的指定簽署憑證。
```
aws iam delete-signing-certificate \
--user-name Bob \
--certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE
```
此命令不會產生輸出。
若要取得簽署憑證的 ID,請使用 `list-signing-certificates` 命令。
如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的[管理簽署憑證](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-up-ami-tools.html#ami-tools-managing-certs)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeleteSigningCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)。
### `delete-ssh-public-key`
以下程式碼範例顯示如何使用 `delete-ssh-public-key`。
**AWS CLI**
**刪除與 IAM 使用者連接的 SSH 公有金鑰**
下列 `delete-ssh-public-key` 命令會刪除與 IAM 使用者 `sofia` 連接的指定 SSH 公有金鑰。
```
aws iam delete-ssh-public-key \
--user-name sofia \
--ssh-public-key-id APKA123456789EXAMPLE
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用 SSH 金鑰和 SSH 搭配 CodeCommit](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_ssh-keys.html#ssh-keys-code-commit)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteSshPublicKey](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-ssh-public-key.html)。
### `delete-user-permissions-boundary`
以下程式碼範例顯示如何使用 `delete-user-permissions-boundary`。
**AWS CLI**
**若要從 IAM 使用者刪除許可界限**
下列 `delete-user-permissions-boundary` 範例將刪除連接到名為 `intern` 之 IAM 使用者的許可界限。若要將許可界限套用至使用者,請使用 `put-user-permissions-boundary` 命令。
```
aws iam delete-user-permissions-boundary \
--user-name intern
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeleteUserPermissionsBoundary](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-user-permissions-boundary.html)。
### `delete-user-policy`
以下程式碼範例顯示如何使用 `delete-user-policy`。
**AWS CLI**
**從 IAM 使用者中移除政策**
下列 `delete-user-policy` 命令會將指定的政策從名為 `Bob` 的 IAM 使用者中移除。
```
aws iam delete-user-policy \
--user-name Bob \
--policy-name ExamplePolicy
```
此命令不會產生輸出。
若要取得 IAM 使用者的政策清單,請使用 `list-user-policies` 命令。
如需詳細資訊,請參閱《[IAM 使用者指南》中的在 AWS 帳戶中建立](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *AWS IAM* 使用者。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteUserPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-user-policy.html)。
### `delete-user`
以下程式碼範例顯示如何使用 `delete-user`。
**AWS CLI**
**刪除 IAM 使用者**
下列 `delete-user` 命令會將名為 `Bob` 的 IAM 使用者從目前帳戶中移除。
```
aws iam delete-user \
--user-name Bob
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[刪除 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DeleteUser](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-user.html)。
### `delete-virtual-mfa-device`
以下程式碼範例顯示如何使用 `delete-virtual-mfa-device`。
**AWS CLI**
**若要移除虛擬 MFA 裝置**
下列 `delete-virtual-mfa-device` 命令會從目前帳戶移除指定的 MFA 裝置。
```
aws iam delete-virtual-mfa-device \
--serial-number arn:aws:iam::123456789012:mfa/MFATest
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Deactivating MFA devices](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DeleteVirtualMfaDevice](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-virtual-mfa-device.html)。
### `detach-group-policy`
以下程式碼範例顯示如何使用 `detach-group-policy`。
**AWS CLI**
**從群組分離政策**
此範例會從名為 `Testers` 的群組中移除 ARN 為 `arn:aws:iam::123456789012:policy/TesterAccessPolicy` 的受管政策。
```
aws iam detach-group-policy \
--group-name Testers \
--policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DetachGroupPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/detach-group-policy.html)。
### `detach-role-policy`
以下程式碼範例顯示如何使用 `detach-role-policy`。
**AWS CLI**
**將政策與角色分離**
此範例會將具有 ARN `arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy` 的受管政策從名為 `FedTesterRole` 的角色中移除。
```
aws iam detach-role-policy \
--role-name FedTesterRole \
--policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DetachRolePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/detach-role-policy.html)。
### `detach-user-policy`
以下程式碼範例顯示如何使用 `detach-user-policy`。
**AWS CLI**
**將政策與使用者分離**
此範例會將具有 ARN `arn:aws:iam::123456789012:policy/TesterPolicy` 的受管政策從使用者 `Bob` 中移除。
```
aws iam detach-user-policy \
--user-name Bob \
--policy-arn arn:aws:iam::123456789012:policy/TesterPolicy
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DetachUserPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/detach-user-policy.html)。
### `disable-organizations-root-credentials-management`
以下程式碼範例顯示如何使用 `disable-organizations-root-credentials-management`。
**AWS CLI**
**在組織中停用 RootCredentialsManagement 功能**
下列 `disable-organizations-root-credentials-management` 命令會停用組織中成員帳戶間特殊權限根使用者憑證的管理。
```
aws iam disable-organizations-root-credentials-management
```
輸出:
```
{
"EnabledFeatures": [
"RootSessions"
]
"OrganizationId": "o-aa111bb222"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[集中成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DisableOrganizationsRootCredentialsManagement](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/disable-organizations-root-credentials-management.html)。
### `disable-organizations-root-sessions`
以下程式碼範例顯示如何使用 `disable-organizations-root-sessions`。
**AWS CLI**
**在組織中停用 RootSessions 功能**
下列 `disable-organizations-root-sessions` 命令會停用組織中成員帳戶間特殊權限任務的根使用者工作階段。
```
aws iam disable-organizations-root-sessions
```
輸出:
```
{
"EnabledFeatures": [
"RootCredentialsManagement"
]
"OrganizationId": "o-aa111bb222"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[集中成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [DisableOrganizationsRootSessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/disable-organizations-root-sessions.html)。
### `enable-mfa-device`
以下程式碼範例顯示如何使用 `enable-mfa-device`。
**AWS CLI**
**若要啟用 MFA 裝置**
使用 `create-virtual-mfa-device` 命令建立新的虛擬 MFA 裝置後,可以將 MFA 裝置指派給使用者。下列 `enable-mfa-device` 範例會將序號為 `arn:aws:iam::210987654321:mfa/BobsMFADevice` 的 MFA 裝置指派給使用者 `Bob`。命令也會依序包含來自虛擬 MFA 裝置的前兩個代碼, AWS 以將裝置與 同步。
```
aws iam enable-mfa-device \
--user-name Bob \
--serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
--authentication-code1 123456 \
--authentication-code2 789012
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[啟用虛擬多重要素驗證 (MFA) 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [EnableMfaDevice](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)。
### `enable-organizations-root-credentials-management`
以下程式碼範例顯示如何使用 `enable-organizations-root-credentials-management`。
**AWS CLI**
**在組織中啟用 RootCredentialsManagement 功能**
下列 `enable-organizations-root-credentials-management` 命令會啟用組織中成員帳戶間特殊權限根使用者憑證的管理。
```
aws iam enable-organizations-root-credentials-management
```
輸出:
```
{
"EnabledFeatures": [
"RootCredentialsManagement"
]
"OrganizationId": "o-aa111bb222"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[集中成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [EnableOrganizationsRootCredentialsManagement](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html)。
### `enable-organizations-root-sessions`
以下程式碼範例顯示如何使用 `enable-organizations-root-sessions`。
**AWS CLI**
**在組織中啟用 RootSessions 功能**
下列 `enable-organizations-root-sessions` 命令允許管理帳戶或委派管理員對組織中成員帳戶執行特殊權限任務。
```
aws iam enable-organizations-root-sessions
```
輸出:
```
{
"EnabledFeatures": [
"RootSessions"
]
"OrganizationId": "o-aa111bb222"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[集中成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [EnableOrganizationsRootSessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)。
### `generate-credential-report`
以下程式碼範例顯示如何使用 `generate-credential-report`。
**AWS CLI**
**產生憑證報告**
下列範例會嘗試產生 AWS 帳戶的登入資料報告。
```
aws iam generate-credential-report
```
輸出:
```
{
"State": "STARTED",
"Description": "No report exists. Starting a new report generation task"
}
```
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[取得 AWS 帳戶的登入資料報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GenerateCredentialReport](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/generate-credential-report.html)。
### `generate-organizations-access-report`
以下程式碼範例顯示如何使用 `generate-organizations-access-report`。
**AWS CLI**
**範例 1:為組織中的根產生存取報告**
下列 `generate-organizations-access-report` 範例會啟動背景任務,為組織中指定的根建立存取報告。您可以執行 `get-organizations-access-report` 命令,讓報告在建立後顯示出來。
```
aws iam generate-organizations-access-report \
--entity-path o-4fxmplt198/r-c3xb
```
輸出:
```
{
"JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}
```
**範例 2:為組織中的帳戶產生存取報告**
下列 `generate-organizations-access-report` 範例會啟動背景任務,以在組織 `o-4fxmplt198` 中建立帳戶 ID `123456789012` 的存取報告。您可以執行 `get-organizations-access-report` 命令,讓報告在建立後顯示出來。
```
aws iam generate-organizations-access-report \
--entity-path o-4fxmplt198/r-c3xb/123456789012
```
輸出:
```
{
"JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}
```
**範例 3:為組織中組織單位中的帳戶產生存取報告**
下列 `generate-organizations-access-report` 範例會啟動背景任務,為在組織 `o-4fxmplt198` 中組織單位 `ou-c3xb-lmu7j2yg` 中的帳戶 ID `234567890123` 建立存取報告。您可以執行 `get-organizations-access-report` 命令,讓報告在建立後顯示出來。
```
aws iam generate-organizations-access-report \
--entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123
```
輸出:
```
{
"JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}
```
若要取得組織中根和組織單位的詳細資訊,請使用 `organizations list-roots` 和 `organizations list-organizational-units-for-parent` 命令。
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[AWS 使用上次存取資訊在 中精簡許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GenerateOrganizationsAccessReport](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/generate-organizations-access-report.html)。
### `generate-service-last-accessed-details`
以下程式碼範例顯示如何使用 `generate-service-last-accessed-details`。
**AWS CLI**
**範例 1:產生自訂政策的服務存取報告**
下列 `generate-service-last-accessed-details` 範例會啟動背景任務以產生報告,列出 IAM 使用者以及採用名為 `intern-boundary` 之自訂政策的其他實體存取的服務。您可以執行 `get-service-last-accessed-details` 命令,讓報告在建立後顯示出來。
```
aws iam generate-service-last-accessed-details \
--arn arn:aws:iam::123456789012:policy/intern-boundary
```
輸出:
```
{
"JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}
```
**範例 2:產生 AWS 受管 AdministratorAccess 政策的服務存取報告**
下列`generate-service-last-accessed-details`範例會啟動背景任務,以產生報告,列出 IAM 使用者和其他實體使用 AWS 受管`AdministratorAccess`政策存取的服務。您可以執行 `get-service-last-accessed-details` 命令,讓報告在建立後顯示出來。
```
aws iam generate-service-last-accessed-details \
--arn arn:aws:iam::aws:policy/AdministratorAccess
```
輸出:
```
{
"JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}
```
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[AWS 使用上次存取資訊在 中精簡許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*i中的 [GenerateServiceLastAccessedDetails](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/generate-service-last-accessed-details.html)。
### `get-access-key-last-used`
以下程式碼範例顯示如何使用 `get-access-key-last-used`。
**AWS CLI**
**擷取最後一次使用指定存取金鑰之時機的相關資訊**
下列範例會擷取最後一次使用存取金鑰 `ABCDEXAMPLE` 之時機的相關資訊。
```
aws iam get-access-key-last-used \
--access-key-id ABCDEXAMPLE
```
輸出:
```
{
"UserName": "Bob",
"AccessKeyLastUsed": {
"Region": "us-east-1",
"ServiceName": "iam",
"LastUsedDate": "2015-06-16T22:45:00Z"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetAccessKeyLastUsed](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)。
### `get-account-authorization-details`
以下程式碼範例顯示如何使用 `get-account-authorization-details`。
**AWS CLI**
**列出 AWS 帳戶的 IAM 使用者、群組、角色和政策**
下列`get-account-authorization-details`命令會傳回 AWS 帳戶中所有 IAM 使用者、群組、角色和政策的相關資訊。
```
aws iam get-account-authorization-details
```
輸出:
```
{
"RoleDetailList": [
{
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
},
"RoleId": "AROA1234567890EXAMPLE",
"CreateDate": "2014-07-30T17:09:20Z",
"InstanceProfileList": [
{
"InstanceProfileId": "AIPA1234567890EXAMPLE",
"Roles": [
{
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
},
"RoleId": "AROA1234567890EXAMPLE",
"CreateDate": "2014-07-30T17:09:20Z",
"RoleName": "EC2role",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:role/EC2role"
}
],
"CreateDate": "2014-07-30T17:09:20Z",
"InstanceProfileName": "EC2role",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
}
],
"RoleName": "EC2role",
"Path": "/",
"AttachedManagedPolicies": [
{
"PolicyName": "AmazonS3FullAccess",
"PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
},
{
"PolicyName": "AmazonDynamoDBFullAccess",
"PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
}
],
"RoleLastUsed": {
"Region": "us-west-2",
"LastUsedDate": "2019-11-13T17:30:00Z"
},
"RolePolicyList": [],
"Arn": "arn:aws:iam::123456789012:role/EC2role"
}
],
"GroupDetailList": [
{
"GroupId": "AIDA1234567890EXAMPLE",
"AttachedManagedPolicies": {
"PolicyName": "AdministratorAccess",
"PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
},
"GroupName": "Admins",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:group/Admins",
"CreateDate": "2013-10-14T18:32:24Z",
"GroupPolicyList": []
},
{
"GroupId": "AIDA1234567890EXAMPLE",
"AttachedManagedPolicies": {
"PolicyName": "PowerUserAccess",
"PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
},
"GroupName": "Dev",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:group/Dev",
"CreateDate": "2013-10-14T18:33:55Z",
"GroupPolicyList": []
},
{
"GroupId": "AIDA1234567890EXAMPLE",
"AttachedManagedPolicies": [],
"GroupName": "Finance",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:group/Finance",
"CreateDate": "2013-10-14T18:57:48Z",
"GroupPolicyList": [
{
"PolicyName": "policygen-201310141157",
"PolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Action": "aws-portal:*",
"Sid": "Stmt1381777017000",
"Resource": "*",
"Effect": "Allow"
}
]
}
}
]
}
],
"UserDetailList": [
{
"UserName": "Alice",
"GroupList": [
"Admins"
],
"CreateDate": "2013-10-14T18:32:24Z",
"UserId": "AIDA1234567890EXAMPLE",
"UserPolicyList": [],
"Path": "/",
"AttachedManagedPolicies": [],
"Arn": "arn:aws:iam::123456789012:user/Alice"
},
{
"UserName": "Bob",
"GroupList": [
"Admins"
],
"CreateDate": "2013-10-14T18:32:25Z",
"UserId": "AIDA1234567890EXAMPLE",
"UserPolicyList": [
{
"PolicyName": "DenyBillingAndIAMPolicy",
"PolicyDocument": {
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
}
}
],
"Path": "/",
"AttachedManagedPolicies": [],
"Arn": "arn:aws:iam::123456789012:user/Bob"
},
{
"UserName": "Charlie",
"GroupList": [
"Dev"
],
"CreateDate": "2013-10-14T18:33:56Z",
"UserId": "AIDA1234567890EXAMPLE",
"UserPolicyList": [],
"Path": "/",
"AttachedManagedPolicies": [],
"Arn": "arn:aws:iam::123456789012:user/Charlie"
}
],
"Policies": [
{
"PolicyName": "create-update-delete-set-managed-policies",
"CreateDate": "2015-02-06T19:58:34Z",
"AttachmentCount": 1,
"IsAttachable": true,
"PolicyId": "ANPA1234567890EXAMPLE",
"DefaultVersionId": "v1",
"PolicyVersionList": [
{
"CreateDate": "2015-02-06T19:58:34Z",
"VersionId": "v1",
"Document": {
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:ListPolicies",
"iam:ListPolicyVersions",
"iam:SetDefaultPolicyVersion"
],
"Resource": "*"
}
},
"IsDefaultVersion": true
}
],
"Path": "/",
"Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
"UpdateDate": "2015-02-06T19:58:34Z"
},
{
"PolicyName": "S3-read-only-specific-bucket",
"CreateDate": "2015-01-21T21:39:41Z",
"AttachmentCount": 1,
"IsAttachable": true,
"PolicyId": "ANPA1234567890EXAMPLE",
"DefaultVersionId": "v1",
"PolicyVersionList": [
{
"CreateDate": "2015-01-21T21:39:41Z",
"VersionId": "v1",
"Document": {
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
},
"IsDefaultVersion": true
}
],
"Path": "/",
"Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
"UpdateDate": "2015-01-21T23:39:41Z"
},
{
"PolicyName": "AmazonEC2FullAccess",
"CreateDate": "2015-02-06T18:40:15Z",
"AttachmentCount": 1,
"IsAttachable": true,
"PolicyId": "ANPA1234567890EXAMPLE",
"DefaultVersionId": "v1",
"PolicyVersionList": [
{
"CreateDate": "2014-10-30T20:59:46Z",
"VersionId": "v1",
"Document": {
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudwatch:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "autoscaling:*",
"Resource": "*"
}
]
},
"IsDefaultVersion": true
}
],
"Path": "/",
"Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
"UpdateDate": "2015-02-06T18:40:15Z"
}
],
"Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
"IsTruncated": true
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [AWS 安全性稽核指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-audit-guide.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetAccountAuthorizationDetails](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-account-authorization-details.html)。
### `get-account-password-policy`
以下程式碼範例顯示如何使用 `get-account-password-policy`。
**AWS CLI**
**查看目前的帳戶密碼政策**
下列 `get-account-password-policy` 命令會顯示有關目前帳戶密碼政策的詳細資訊。
```
aws iam get-account-password-policy
```
輸出:
```
{
"PasswordPolicy": {
"AllowUsersToChangePassword": false,
"RequireLowercaseCharacters": false,
"RequireUppercaseCharacters": false,
"MinimumPasswordLength": 8,
"RequireNumbers": true,
"RequireSymbols": true
}
}
```
如果沒有為帳戶定義密碼政策,則該命令會傳回 `NoSuchEntity` 錯誤。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[設定 IAM 使用者的帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetAccountPasswordPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-account-password-policy.html)。
### `get-account-summary`
以下程式碼範例顯示如何使用 `get-account-summary`。
**AWS CLI**
**取得有關目前帳戶中 IAM 實體用量和 IAM 配額的資訊**
下列 `get-account-summary` 命令會傳回有關帳戶中目前 IAM 實體用量和目前 IAM 實體配額的資訊。
```
aws iam get-account-summary
```
輸出:
```
{
"SummaryMap": {
"UsersQuota": 5000,
"GroupsQuota": 100,
"InstanceProfiles": 6,
"SigningCertificatesPerUserQuota": 2,
"AccountAccessKeysPresent": 0,
"RolesQuota": 250,
"RolePolicySizeQuota": 10240,
"AccountSigningCertificatesPresent": 0,
"Users": 27,
"ServerCertificatesQuota": 20,
"ServerCertificates": 0,
"AssumeRolePolicySizeQuota": 2048,
"Groups": 7,
"MFADevicesInUse": 1,
"Roles": 3,
"AccountMFAEnabled": 1,
"MFADevices": 3,
"GroupsPerUserQuota": 10,
"GroupPolicySizeQuota": 5120,
"InstanceProfilesQuota": 100,
"AccessKeysPerUserQuota": 2,
"Providers": 0,
"UserPolicySizeQuota": 2048
}
}
```
如需實體限制的詳細資訊,請參閱《[IAM 使用者指南》中的 IAM 和 AWS STS 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。 *AWS *
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetAccountSummary](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-account-summary.html)。
### `get-context-keys-for-custom-policy`
以下程式碼範例顯示如何使用 `get-context-keys-for-custom-policy`。
**AWS CLI**
**範例 1:列出命令列上以參數形式提供的一個或多個自訂 JSON 政策引用的內容索引鍵**
下列 `get-context-keys-for-custom-policy` 命令會剖析提供的每個政策,並列出這些政策使用的內容索引鍵。使用此命令來識別您必須提供的內容索引鍵值,以成功使用政策模擬器命令 `simulate-custom-policy` 和 `simulate-custom-policy`。也可以使用 `get-context-keys-for-custom-policy` 命令,擷取 IAM 使用者或角色關聯之所有政策所使用的內容索引鍵清單。以 `file://` 開頭的參數會告訴命令讀取檔案的內容,並將其用作參數的值 (而不是檔案名稱本身)。
```
aws iam get-context-keys-for-custom-policy \
--policy-input-list '{"Version":"2012-10-17", "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
```
輸出:
```
{
"ContextKeyNames": [
"aws:username",
"aws:CurrentTime"
]
}
```
**範例 2:列出以檔案輸入形式提供的一個或多個自訂 JSON 政策引用的內容索引鍵**
下列 `get-context-keys-for-custom-policy` 命令與先前的範例相同,但政策是在檔案中提供,而不是以參數形式提供。由於該命令需要的是 JSON 字串清單,而非 JSON 結構清單,因此檔案的結構必須如下所示,但您可以將其摺疊為一個。
```
[
"Policy1",
"Policy2"
]
```
例如,包含上一個範例中的政策的檔案必須如下所示。必須在政策字串前面加上反斜線 '',以逸出政策字串中的每個內嵌雙引號。
```
[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]
```
然後可將此檔案提交至下列命令。
```
aws iam get-context-keys-for-custom-policy \
--policy-input-list file://policyfile.json
```
輸出:
```
{
"ContextKeyNames": [
"aws:username",
"aws:CurrentTime"
]
}
```
如需詳細資訊,請參閱《[IAM 使用者指南》中的使用 IAM 政策模擬器 (AWS CLI 和 AWS API)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html#policies-simulator-using-api)。 *AWS *
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetContextKeysForCustomPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-context-keys-for-custom-policy.html)。
### `get-context-keys-for-principal-policy`
以下程式碼範例顯示如何使用 `get-context-keys-for-principal-policy`。
**AWS CLI**
**若要列出與 IAM 主體關聯之所有政策引用的內容索引鍵**
下列 `get-context-keys-for-principal-policy` 命令會擷取連接至使用者 `saanvi` 及其所屬任何群組的所有政策。然後,它會剖析每個政策,並列出這些政策所使用的內容索引鍵。此命令可用於確定為成功使用 `simulate-custom-policy` 和 `simulate-principal-policy` 命令,您必須提供的內容索引鍵值。也可以使用 `get-context-keys-for-custom-policy` 命令來擷取任意 JSON 政策所使用的內容索引鍵清單。
```
aws iam get-context-keys-for-principal-policy \
--policy-source-arn arn:aws:iam::123456789012:user/saanvi
```
輸出:
```
{
"ContextKeyNames": [
"aws:username",
"aws:CurrentTime"
]
}
```
如需詳細資訊,請參閱《[IAM 使用者指南》中的使用 IAM 政策模擬器 (AWS CLI 和 AWS API)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html#policies-simulator-using-api)。 *AWS *
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetContextKeysForPrincipalPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-context-keys-for-principal-policy.html)。
### `get-credential-report`
以下程式碼範例顯示如何使用 `get-credential-report`。
**AWS CLI**
**取得憑證報告**
此範例會開啟傳回的報告,並以文字行陣列的形式將其輸出至管道。
```
aws iam get-credential-report
```
輸出:
```
{
"GeneratedTime": "2015-06-17T19:11:50Z",
"ReportFormat": "text/csv"
}
```
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[取得 AWS 帳戶的登入資料報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetCredentialReport](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-credential-report.html)。
### `get-group-policy`
以下程式碼範例顯示如何使用 `get-group-policy`。
**AWS CLI**
**若要取得連接到 IAM 群組的政策的相關資訊**
下列 `get-group-policy` 命令會取得連接到名為 `Test-Group` 的群組之指定政策的相關資訊。
```
aws iam get-group-policy \
--group-name Test-Group \
--policy-name S3-ReadOnly-Policy
```
輸出:
```
{
"GroupName": "Test-Group",
"PolicyDocument": {
"Statement": [
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": "*",
"Effect": "Allow"
}
]
},
"PolicyName": "S3-ReadOnly-Policy"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetGroupPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-group-policy.html)。
### `get-group`
以下程式碼範例顯示如何使用 `get-group`。
**AWS CLI**
**若要取得 IAM 群組**
此範例會傳回 IAM 群組 `Admins` 的詳細資訊。
```
aws iam get-group \
--group-name Admins
```
輸出:
```
{
"Group": {
"Path": "/",
"CreateDate": "2015-06-16T19:41:48Z",
"GroupId": "AIDGPMS9RO4H3FEXAMPLE",
"Arn": "arn:aws:iam::123456789012:group/Admins",
"GroupName": "Admins"
},
"Users": []
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 身分 (使用者、使用者群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetGroup](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-group.html)。
### `get-instance-profile`
以下程式碼範例顯示如何使用 `get-instance-profile`。
**AWS CLI**
**若要取得有關執行個體設定檔的資訊**
下列 `get-instance-profile` 命令會取得名為 `ExampleInstanceProfile` 之執行個體設定檔的相關資訊。
```
aws iam get-instance-profile \
--instance-profile-name ExampleInstanceProfile
```
輸出:
```
{
"InstanceProfile": {
"InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
"Roles": [
{
"AssumeRolePolicyDocument": "",
"RoleId": "AIDGPMS9RO4H3FEXAMPLE",
"CreateDate": "2013-01-09T06:33:26Z",
"RoleName": "Test-Role",
"Path": "/",
"Arn": "arn:aws:iam::336924118301:role/Test-Role"
}
],
"CreateDate": "2013-06-12T23:52:02Z",
"InstanceProfileName": "ExampleInstanceProfile",
"Path": "/",
"Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetInstanceProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-instance-profile.html)。
### `get-login-profile`
以下程式碼範例顯示如何使用 `get-login-profile`。
**AWS CLI**
**若要取得 IAM 使用者的密碼資訊**
下列 `get-login-profile` 命令會取得名為 `Bob` 之 IAM 使用者的密碼資訊。
```
aws iam get-login-profile \
--user-name Bob
```
輸出:
```
{
"LoginProfile": {
"UserName": "Bob",
"CreateDate": "2012-09-21T23:03:39Z"
}
}
```
`get-login-profile` 命令可用來驗證 IAM 使用者是否有密碼。如果沒有為使用者定義密碼,該命令會傳回錯誤:`NoSuchEntity`。
不能使用此命令檢視密碼。如果密碼遺失,可以重設使用者的密碼 (`update-login-profile`)。或者,可以刪除使用者的登入設定檔 (`delete-login-profile`),然後建立新檔 (`create-login-profile`)。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetLoginProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)。
### `get-mfa-device`
以下程式碼範例顯示如何使用 `get-mfa-device`。
**AWS CLI**
**擷取 FIDO 安全金鑰的相關資訊**
下列 `get-mfa-device` 命令範例會擷取指定 FIDO 安全金鑰的相關資訊。
```
aws iam get-mfa-device \
--serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE
```
輸出:
```
{
"UserName": "alice",
"SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
"EnableDate": "2023-09-19T01:49:18+00:00",
"Certifications": {
"FIDO": "L1"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 AWS中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetMfaDevice](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-mfa-device.html)。
### `get-open-id-connect-provider`
以下程式碼範例顯示如何使用 `get-open-id-connect-provider`。
**AWS CLI**
**若要傳回指定 OpenID Connect 提供者的相關資訊**
此範例會傳回 ARN 為 `arn:aws:iam::123456789012:oidc-provider/server.example.com` 的 OpenID Connect 提供者的詳細資訊。
```
aws iam get-open-id-connect-provider \
--open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com
```
輸出:
```
{
"Url": "server.example.com"
"CreateDate": "2015-06-16T19:41:48Z",
"ThumbprintList": [
"12345abcdefghijk67890lmnopqrst987example"
],
"ClientIDList": [
"example-application-ID"
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Creating OpenID Connect (OIDC) identity providers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetOpenIdConnectProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-open-id-connect-provider.html)。
### `get-organizations-access-report`
以下程式碼範例顯示如何使用 `get-organizations-access-report`。
**AWS CLI**
**若要擷取存取報告**
下列`get-organizations-access-report`範例顯示先前為 AWS Organizations 實體產生的存取報告。若要產生報告,請使用 `generate-organizations-access-report` 命令。
```
aws iam get-organizations-access-report \
--job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359
```
輸出:
```
{
"JobStatus": "COMPLETED",
"JobCreationDate": "2019-09-30T06:53:36.187Z",
"JobCompletionDate": "2019-09-30T06:53:37.547Z",
"NumberOfServicesAccessible": 188,
"NumberOfServicesNotAccessed": 171,
"AccessDetails": [
{
"ServiceName": "Alexa for Business",
"ServiceNamespace": "a4b",
"TotalAuthenticatedEntities": 0
},
...
}
```
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[AWS 使用上次存取資訊在 中精簡許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI API 參考*》中的 [GetOrganizationsAccessReport](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-organizations-access-report.html)。
### `get-policy-version`
以下程式碼範例顯示如何使用 `get-policy-version`。
**AWS CLI**
**擷取指定受管政策指定版本的相關資訊**
此範例會傳回 ARN 為 `arn:aws:iam::123456789012:policy/MyManagedPolicy` 之 v2 版本政策的政策文件。
```
aws iam get-policy-version \
--policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
--version-id v2
```
輸出:
```
{
"PolicyVersion": {
"Document": {
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*"
}
]
},
"VersionId": "v2",
"IsDefaultVersion": true,
"CreateDate": "2023-04-11T00:22:54+00:00"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetPolicyVersion](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-policy-version.html)。
### `get-policy`
以下程式碼範例顯示如何使用 `get-policy`。
**AWS CLI**
**擷取指定受管政策的相關資訊**
此範例會傳回 ARN 為 `arn:aws:iam::123456789012:policy/MySamplePolicy` 之受管政策的詳細資訊。
```
aws iam get-policy \
--policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy
```
輸出:
```
{
"Policy": {
"PolicyName": "MySamplePolicy",
"CreateDate": "2015-06-17T19:23;32Z",
"AttachmentCount": 0,
"IsAttachable": true,
"PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
"DefaultVersionId": "v1",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
"UpdateDate": "2015-06-17T19:23:32Z"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-policy.html)。
### `get-role-policy`
以下程式碼範例顯示如何使用 `get-role-policy`。
**AWS CLI**
**若要取得連接到 IAM 角色的政策的相關資訊**
下列 `get-role-policy` 命令會取得連接到名為 `Test-Role` 的角色之指定政策的相關資訊。
```
aws iam get-role-policy \
--role-name Test-Role \
--policy-name ExamplePolicy
```
輸出:
```
{
"RoleName": "Test-Role",
"PolicyDocument": {
"Statement": [
{
"Action": [
"s3:ListBucket",
"s3:Put*",
"s3:Get*",
"s3:*MultipartUpload*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "1"
}
]
}
"PolicyName": "ExamplePolicy"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetRolePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-role-policy.html)。
### `get-role`
以下程式碼範例顯示如何使用 `get-role`。
**AWS CLI**
**取得 IAM 角色的相關資訊**
下列 `get-role` 命令會取得名為 `Test-Role` 之角色的相關資訊。
```
aws iam get-role \
--role-name Test-Role
```
輸出:
```
{
"Role": {
"Description": "Test Role",
"AssumeRolePolicyDocument":"",
"MaxSessionDuration": 3600,
"RoleId": "AROA1234567890EXAMPLE",
"CreateDate": "2019-11-13T16:45:56Z",
"RoleName": "Test-Role",
"Path": "/",
"RoleLastUsed": {
"Region": "us-east-1",
"LastUsedDate": "2019-11-13T17:14:00Z"
},
"Arn": "arn:aws:iam::123456789012:role/Test-Role"
}
}
```
該命令會顯示連接至角色的信任政策。若要列出連接至角色的許可政策,請使用 `list-role-policies` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-role.html)。
### `get-saml-provider`
以下程式碼範例顯示如何使用 `get-saml-provider`。
**AWS CLI**
**若要擷取 SAML 提供者中繼資料文件**
此範例會擷取 ARM 為 `arn:aws:iam::123456789012:saml-provider/SAMLADFS` 的 SAML 2.0 提供者的詳細資訊。回應包含您從身分提供者取得以建立 AWS SAML 提供者實體的中繼資料文件,以及建立和過期日期。
```
aws iam get-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS
```
輸出:
```
{
"SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
"CreateDate": "2017-03-06T22:29:46+00:00",
"ValidUntil": "2117-03-06T22:29:46.433000+00:00",
"Tags": [
{
"Key": "DeptID",
"Value": "123456"
},
{
"Key": "Department",
"Value": "Accounting"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetSamlProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-saml-provider.html)。
### `get-server-certificate`
以下程式碼範例顯示如何使用 `get-server-certificate`。
**AWS CLI**
**取得您 AWS 帳戶中伺服器憑證的詳細資訊**
下列`get-server-certificate`命令會擷取您 AWS 帳戶中指定伺服器憑證的所有詳細資訊。
```
aws iam get-server-certificate \
--server-certificate-name myUpdatedServerCertificate
```
輸出:
```
{
"ServerCertificate": {
"ServerCertificateMetadata": {
"Path": "/",
"ServerCertificateName": "myUpdatedServerCertificate",
"ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
"Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
"UploadDate": "2019-04-22T21:13:44+00:00",
"Expiration": "2019-10-15T22:23:16+00:00"
},
"CertificateBody": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
"CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md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;TbNYiytVbZPQUQ5Yaxu2jXnimvw
3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
}
}
```
若要列出您 AWS 帳戶中可用的伺服器憑證,請使用 `list-server-certificates`命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 IAM 中管理伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetServerCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-server-certificate.html)。
### `get-service-last-accessed-details-with-entities`
以下程式碼範例顯示如何使用 `get-service-last-accessed-details-with-entities`。
**AWS CLI**
**若要擷取包含服務詳細資訊的服務存取報告**
下列 `get-service-last-accessed-details-with-entities` 範例會擷取包含 IAM 使用者和其他存取指定服務之實體詳細資訊的報告。若要產生報告,請使用 `generate-service-last-accessed-details` 命令。若要取得使用命名空間存取之服務的清單,請使用 `get-service-last-accessed-details`。
```
aws iam get-service-last-accessed-details-with-entities \
--job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
--service-namespace lambda
```
輸出:
```
{
"JobStatus": "COMPLETED",
"JobCreationDate": "2019-10-01T03:55:41.756Z",
"JobCompletionDate": "2019-10-01T03:55:42.533Z",
"EntityDetailsList": [
{
"EntityInfo": {
"Arn": "arn:aws:iam::123456789012:user/admin",
"Name": "admin",
"Type": "USER",
"Id": "AIDAIO2XMPLENQEXAMPLE",
"Path": "/"
},
"LastAuthenticated": "2019-09-30T23:02:00Z"
},
{
"EntityInfo": {
"Arn": "arn:aws:iam::123456789012:user/developer",
"Name": "developer",
"Type": "USER",
"Id": "AIDAIBEYXMPL2YEXAMPLE",
"Path": "/"
},
"LastAuthenticated": "2019-09-16T19:34:00Z"
}
]
}
```
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[AWS 使用上次存取資訊在 中精簡許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetServiceLastAccessedDetailsWithEntities](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-service-last-accessed-details-with-entities.html)。
### `get-service-last-accessed-details`
以下程式碼範例顯示如何使用 `get-service-last-accessed-details`。
**AWS CLI**
**若要擷取服務存取報告**
下列 `get-service-last-accessed-details` 範例將擷取先前產生的報告,其中有列出 IAM 實體存取的服務。若要產生報告,請使用 `generate-service-last-accessed-details` 命令。
```
aws iam get-service-last-accessed-details \
--job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc
```
輸出:
```
{
"JobStatus": "COMPLETED",
"JobCreationDate": "2019-10-01T03:50:35.929Z",
"ServicesLastAccessed": [
...
{
"ServiceName": "AWS Lambda",
"LastAuthenticated": "2019-09-30T23:02:00Z",
"ServiceNamespace": "lambda",
"LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
"TotalAuthenticatedEntities": 6
},
]
}
```
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[AWS 使用上次存取資訊在 中精簡許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetServiceLastAccessedDetails](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-service-last-accessed-details.html)。
### `get-service-linked-role-deletion-status`
以下程式碼範例顯示如何使用 `get-service-linked-role-deletion-status`。
**AWS CLI**
**檢查刪除服務連結角色的請求狀態**
下列 `get-service-linked-role-deletion-status` 範例會顯示刪除服務連結角色之先前請求的狀態。刪除操作會以非同步方式發生。提出請求時,就會取得您提供作為此命令參數的 `DeletionTaskId` 值。
```
aws iam get-service-linked-role-deletion-status \
--deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE
```
輸出:
```
{
"Status": "SUCCEEDED"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetServiceLinkedRoleDeletionStatus](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-service-linked-role-deletion-status.html)。
### `get-ssh-public-key`
以下程式碼範例顯示如何使用 `get-ssh-public-key`。
**AWS CLI**
**範例 1:以 SSH 編碼形式擷取與 IAM 使用者連接的 SSH 公有金鑰**
下列 `get-ssh-public-key` 命令會從 IAM 使用者 `sofia` 擷取指定的 SSH 公有金鑰。輸出為 SSH 編碼。
```
aws iam get-ssh-public-key \
--user-name sofia \
--ssh-public-key-id APKA123456789EXAMPLE \
--encoding SSH
```
輸出:
```
{
"SSHPublicKey": {
"UserName": "sofia",
"SSHPublicKeyId": "APKA123456789EXAMPLE",
"Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
"SSHPublicKeyBody": "ssh-rsa <>",
"Status": "Inactive",
"UploadDate": "2019-04-18T17:04:49+00:00"
}
}
```
**範例 2:以 PEM 編碼形式擷取與 IAM 使用者連接的 SSH 公有金鑰**
下列 `get-ssh-public-key` 命令會從 IAM 使用者 `sofia` 擷取指定的 SSH 公有金鑰。輸出為 PEM 編碼。
```
aws iam get-ssh-public-key \
--user-name sofia \
--ssh-public-key-id APKA123456789EXAMPLE \
--encoding PEM
```
輸出:
```
{
"SSHPublicKey": {
"UserName": "sofia",
"SSHPublicKeyId": "APKA123456789EXAMPLE",
"Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
"SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<>\n-----END PUBLIC KEY-----\n"",
"Status": "Inactive",
"UploadDate": "2019-04-18T17:04:49+00:00"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用 SSH 金鑰和 SSH 搭配 CodeCommit](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_ssh-keys.html#ssh-keys-code-commit)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetSshPublicKey](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-ssh-public-key.html)。
### `get-user-policy`
以下程式碼範例顯示如何使用 `get-user-policy`。
**AWS CLI**
**若要列出 IAM 使用者的政策詳細資訊**
下列 `get-user-policy` 命令會列出連接至名為 `Bob` 之 IAM 使用者的指定政策的詳細資訊。
```
aws iam get-user-policy \
--user-name Bob \
--policy-name ExamplePolicy
```
輸出:
```
{
"UserName": "Bob",
"PolicyName": "ExamplePolicy",
"PolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow"
}
]
}
}
```
若要取得 IAM 使用者的政策清單,請使用 `list-user-policies` 命令。
如需詳細資訊,請參閱「 IAM 使用者指南」*AWS *中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [GetUserPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user-policy.html)。
### `get-user`
以下程式碼範例顯示如何使用 `get-user`。
**AWS CLI**
**取得關於 IAM 使用者的資訊**
下列 `get-user` 命令會取得名為 `Paulo` 之 IAM 使用者的相關資訊。
```
aws iam get-user \
--user-name Paulo
```
輸出:
```
{
"User": {
"UserName": "Paulo",
"Path": "/",
"CreateDate": "2019-09-21T23:03:13Z",
"UserId": "AIDA123456789EXAMPLE",
"Arn": "arn:aws:iam::123456789012:user/Paulo"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [GetUser](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)。
### `list-access-keys`
以下程式碼範例顯示如何使用 `list-access-keys`。
**AWS CLI**
**列出 IAM 使用者的存取金鑰 ID**
下列 `list-access-keys` 命令會列出名為 `Bob` 之 IAM 使用者的存取金鑰 ID。
```
aws iam list-access-keys \
--user-name Bob
```
輸出:
```
{
"AccessKeyMetadata": [
{
"UserName": "Bob",
"Status": "Active",
"CreateDate": "2013-06-04T18:17:34Z",
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
},
{
"UserName": "Bob",
"Status": "Inactive",
"CreateDate": "2013-06-06T20:42:26Z",
"AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
}
]
}
```
您無法列出 IAM 使用者的私密存取金鑰。如果私密存取金鑰遺失,您必須使用 `create-access-keys` 命令建立新的存取金鑰。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListAccessKeys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)。
### `list-account-aliases`
以下程式碼範例顯示如何使用 `list-account-aliases`。
**AWS CLI**
**列出帳戶別名**
下列 `list-account-aliases` 命令會列出目前帳戶的別名。
```
aws iam list-account-aliases
```
輸出:
```
{
"AccountAliases": [
"mycompany"
]
}
```
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的[AWS 您的帳戶 ID 及其別名](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListAccountAliases](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-account-aliases.html)。
### `list-attached-group-policies`
以下程式碼範例顯示如何使用 `list-attached-group-policies`。
**AWS CLI**
**若要列出連接至指定群組所有受管政策**
此範例會傳回連接到`Admins` AWS 帳戶中名為 之 IAM 群組的受管政策的名稱和 ARNs。
```
aws iam list-attached-group-policies \
--group-name Admins
```
輸出:
```
{
"AttachedPolicies": [
{
"PolicyName": "AdministratorAccess",
"PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
},
{
"PolicyName": "SecurityAudit",
"PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
}
],
"IsTruncated": false
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListAttachedGroupPolicies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-attached-group-policies.html)。
### `list-attached-role-policies`
以下程式碼範例顯示如何使用 `list-attached-role-policies`。
**AWS CLI**
**列出連接至指定角色的所有受管政策**
此命令會傳回連接到`SecurityAuditRole` AWS 帳戶中名為 之 IAM 角色的受管政策的名稱和 ARNs。
```
aws iam list-attached-role-policies \
--role-name SecurityAuditRole
```
輸出:
```
{
"AttachedPolicies": [
{
"PolicyName": "SecurityAudit",
"PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
}
],
"IsTruncated": false
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListAttachedRolePolicies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-attached-role-policies.html)。
### `list-attached-user-policies`
以下程式碼範例顯示如何使用 `list-attached-user-policies`。
**AWS CLI**
**若要列出連接至指定使用者的所有受管政策**
此命令會傳回 AWS 帳戶中名為 之 IAM 使用者`Bob`之受管政策的名稱和 ARNs。
```
aws iam list-attached-user-policies \
--user-name Bob
```
輸出:
```
{
"AttachedPolicies": [
{
"PolicyName": "AdministratorAccess",
"PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
},
{
"PolicyName": "SecurityAudit",
"PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
}
],
"IsTruncated": false
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListAttachedUserPolicies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-attached-user-policies.html)。
### `list-entities-for-policy`
以下程式碼範例顯示如何使用 `list-entities-for-policy`。
**AWS CLI**
**若要列出指定受管政策所連接的所有使用者、群組和角色**
此範例會傳回已連接政策 `arn:aws:iam::123456789012:policy/TestPolicy` 的 IAM 群組、角色和使用者的清單。
```
aws iam list-entities-for-policy \
--policy-arn arn:aws:iam::123456789012:policy/TestPolicy
```
輸出:
```
{
"PolicyGroups": [
{
"GroupName": "Admins",
"GroupId": "AGPACKCEVSQ6C2EXAMPLE"
}
],
"PolicyUsers": [
{
"UserName": "Alice",
"UserId": "AIDACKCEVSQ6C2EXAMPLE"
}
],
"PolicyRoles": [
{
"RoleName": "DevRole",
"RoleId": "AROADBQP57FF2AEXAMPLE"
}
],
"IsTruncated": false
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListEntitiesForPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-entities-for-policy.html)。
### `list-group-policies`
以下程式碼範例顯示如何使用 `list-group-policies`。
**AWS CLI**
**若要列出連接至指定群組的所有內嵌政策**
下列 `list-group-policies` 命令會列出連接至目前帳戶中名為 `Admins` 之 IAM 群組的內嵌政策名稱。
```
aws iam list-group-policies \
--group-name Admins
```
輸出:
```
{
"PolicyNames": [
"AdminRoot",
"ExamplePolicy"
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListGroupPolicies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-group-policies.html)。
### `list-groups-for-user`
以下程式碼範例顯示如何使用 `list-groups-for-user`。
**AWS CLI**
**若要列出 IAM 使用者所屬的群組**
下列 `list-groups-for-user` 命令顯示名為 `Bob` 之 IAM 使用者所屬的群組。
```
aws iam list-groups-for-user \
--user-name Bob
```
輸出:
```
{
"Groups": [
{
"Path": "/",
"CreateDate": "2013-05-06T01:18:08Z",
"GroupId": "AKIAIOSFODNN7EXAMPLE",
"Arn": "arn:aws:iam::123456789012:group/Admin",
"GroupName": "Admin"
},
{
"Path": "/",
"CreateDate": "2013-05-06T01:37:28Z",
"GroupId": "AKIAI44QH8DHBEXAMPLE",
"Arn": "arn:aws:iam::123456789012:group/s3-Users",
"GroupName": "s3-Users"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListGroupsForUser](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-groups-for-user.html)。
### `list-groups`
以下程式碼範例顯示如何使用 `list-groups`。
**AWS CLI**
**列出目前帳戶的 IAM 群組**
下列 `list-groups` 命令會列出目前帳戶中的 IAM 群組。
```
aws iam list-groups
```
輸出:
```
{
"Groups": [
{
"Path": "/",
"CreateDate": "2013-06-04T20:27:27.972Z",
"GroupId": "AIDACKCEVSQ6C2EXAMPLE",
"Arn": "arn:aws:iam::123456789012:group/Admins",
"GroupName": "Admins"
},
{
"Path": "/",
"CreateDate": "2013-04-16T20:30:42Z",
"GroupId": "AIDGPMS9RO4H3FEXAMPLE",
"Arn": "arn:aws:iam::123456789012:group/S3-Admins",
"GroupName": "S3-Admins"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListGroups](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-groups.html)。
### `list-instance-profile-tags`
以下程式碼範例顯示如何使用 `list-instance-profile-tags`。
**AWS CLI**
**列出連接到執行個體設定檔的標籤**
下列 `list-instance-profile-tags` 命令會擷取與指定執行個體設定檔關聯的標籤清單。
```
aws iam list-instance-profile-tags \
--instance-profile-name deployment-role
```
輸出:
```
{
"Tags": [
{
"Key": "DeptID",
"Value": "123456"
},
{
"Key": "Department",
"Value": "Accounting"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListInstanceProfileTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-instance-profile-tags.html)。
### `list-instance-profiles-for-role`
以下程式碼範例顯示如何使用 `list-instance-profiles-for-role`。
**AWS CLI**
**若要列出 IAM 角色的執行個體設定檔**
下列 `list-instance-profiles-for-role` 命令會列出與角色 `Test-Role` 關聯的執行個體設定檔。
```
aws iam list-instance-profiles-for-role \
--role-name Test-Role
```
輸出:
```
{
"InstanceProfiles": [
{
"InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
"Roles": [
{
"AssumeRolePolicyDocument": "",
"RoleId": "AIDACKCEVSQ6C2EXAMPLE",
"CreateDate": "2013-06-07T20:42:15Z",
"RoleName": "Test-Role",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:role/Test-Role"
}
],
"CreateDate": "2013-06-07T21:05:24Z",
"InstanceProfileName": "ExampleInstanceProfile",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListInstanceProfilesForRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-instance-profiles-for-role.html)。
### `list-instance-profiles`
以下程式碼範例顯示如何使用 `list-instance-profiles`。
**AWS CLI**
**若要列出帳戶的執行個體設定檔**
下列 `list-instance-profiles` 命令列出與目前帳戶關聯的執行個體設定檔。
```
aws iam list-instance-profiles
```
輸出:
```
{
"InstanceProfiles": [
{
"Path": "/",
"InstanceProfileName": "example-dev-role",
"InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
"CreateDate": "2023-09-21T18:17:41+00:00",
"Roles": [
{
"Path": "/",
"RoleName": "example-dev-role",
"RoleId": "AROAJ52OTH4H7LEXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/example-dev-role",
"CreateDate": "2023-09-21T18:17:40+00:00",
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
}
]
},
{
"Path": "/",
"InstanceProfileName": "example-s3-role",
"InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
"CreateDate": "2023-09-21T18:18:50+00:00",
"Roles": [
{
"Path": "/",
"RoleName": "example-s3-role",
"RoleId": "AROAINUBC5O7XLEXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/example-s3-role",
"CreateDate": "2023-09-21T18:18:49+00:00",
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
}
]
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListInstanceProfiles](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-instance-profiles.html)。
### `list-mfa-device-tags`
以下程式碼範例顯示如何使用 `list-mfa-device-tags`。
**AWS CLI**
**列出與 MFA 裝置連接的標籤**
下列 `list-mfa-device-tags` 命令會擷取與指定 MFA 裝置關聯的標籤之清單。
```
aws iam list-mfa-device-tags \
--serial-number arn:aws:iam::123456789012:mfa/alice
```
輸出:
```
{
"Tags": [
{
"Key": "DeptID",
"Value": "123456"
},
{
"Key": "Department",
"Value": "Accounting"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListMfaDeviceTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-device-tags.html)。
### `list-mfa-devices`
以下程式碼範例顯示如何使用 `list-mfa-devices`。
**AWS CLI**
**若要列出指定使用者的所有 MFA 裝置**
此範例會傳回指派給 IAM 使用者 `Bob` 之 MFA 裝置的詳細資訊。
```
aws iam list-mfa-devices \
--user-name Bob
```
輸出:
```
{
"MFADevices": [
{
"UserName": "Bob",
"SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
"EnableDate": "2019-10-28T20:37:09+00:00"
},
{
"UserName": "Bob",
"SerialNumber": "GAKT12345678",
"EnableDate": "2023-02-18T21:44:42+00:00"
},
{
"UserName": "Bob",
"SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
"EnableDate": "2023-09-19T02:25:35+00:00"
},
{
"UserName": "Bob",
"SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
"EnableDate": "2023-09-19T01:49:18+00:00"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 AWS中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListMfaDevices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)。
### `list-open-id-connect-provider-tags`
以下程式碼範例顯示如何使用 `list-open-id-connect-provider-tags`。
**AWS CLI**
**列出與 OpenID Connect (OIDC) 相容身分提供者連接的標籤**
下列 `list-open-id-connect-provider-tags` 命令會擷取與指定 OIDC 身分提供者關聯的標籤清單。
```
aws iam list-open-id-connect-provider-tags \
--open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com
```
輸出:
```
{
"Tags": [
{
"Key": "DeptID",
"Value": "123456"
},
{
"Key": "Department",
"Value": "Accounting"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListOpenIdConnectProviderTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-open-id-connect-provider-tags.html)。
### `list-open-id-connect-providers`
以下程式碼範例顯示如何使用 `list-open-id-connect-providers`。
**AWS CLI**
**列出 AWS 帳戶中 OpenID Connect 供應商的相關資訊**
此範例會傳回目前 AWS 帳戶中定義之所有 OpenID Connect 供應商的 ARNS 清單。
```
aws iam list-open-id-connect-providers
```
輸出:
```
{
"OpenIDConnectProviderList": [
{
"Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Creating OpenID Connect (OIDC) identity providers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListOpenIdConnectProviders](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-open-id-connect-providers.html)。
### `list-organizations-features`
以下程式碼範例顯示如何使用 `list-organizations-features`。
**AWS CLI**
**列出為組織啟用的集中式根存取功能**
下列 `list-organizations-features` 命令列出為組織啟用的集中式根存取功能。
```
aws iam list-organizations-features
```
輸出:
```
{
"EnabledFeatures": [
"RootCredentialsManagement",
"RootSessions"
]
"OrganizationId": "o-aa111bb222"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[集中管理成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListOrganizationsFeatures](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-organizations-features.html)。
### `list-policies-granting-service-access`
以下程式碼範例顯示如何使用 `list-policies-granting-service-access`。
**AWS CLI**
**列出政策,這些政策會授予主體指定服務的存取權**
下列`list-policies-granting-service-access`範例會擷取授予 IAM 使用者 AWS CodeCommit 服務`sofia`存取權的政策清單。
```
aws iam list-policies-granting-service-access \
--arn arn:aws:iam::123456789012:user/sofia \
--service-namespaces codecommit
```
輸出:
```
{
"PoliciesGrantingServiceAccess": [
{
"ServiceNamespace": "codecommit",
"Policies": [
{
"PolicyName": "Grant-Sofia-Access-To-CodeCommit",
"PolicyType": "INLINE",
"EntityType": "USER",
"EntityName": "sofia"
}
]
}
],
"IsTruncated": false
}
```
如需詳細資訊,請參閱《[IAM 使用者指南》中的搭配使用 IAM 與 CodeCommit:Git 登入資料、SSH 金鑰和 AWS 存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_ssh-keys.html)。 *AWS *
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListPoliciesGrantingServiceAccess](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-policies-granting-service-access.html)。
### `list-policies`
以下程式碼範例顯示如何使用 `list-policies`。
**AWS CLI**
**列出可供您 AWS 帳戶使用的受管政策**
此範例會傳回目前 AWS 帳戶中可用的前兩個受管政策的集合。
```
aws iam list-policies \
--max-items 3
```
輸出:
```
{
"Policies": [
{
"PolicyName": "AWSCloudTrailAccessPolicy",
"PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
"Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2019-09-04T17:43:42+00:00",
"UpdateDate": "2019-09-04T17:43:42+00:00"
},
{
"PolicyName": "AdministratorAccess",
"PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
"Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 6,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2015-02-06T18:39:46+00:00",
"UpdateDate": "2015-02-06T18:39:46+00:00"
},
{
"PolicyName": "PowerUserAccess",
"PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
"Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
"Path": "/",
"DefaultVersionId": "v5",
"AttachmentCount": 1,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2015-02-06T18:39:47+00:00",
"UpdateDate": "2023-07-06T22:04:00+00:00"
}
],
"NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListPolicies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-policies.html)。
### `list-policy-tags`
以下程式碼範例顯示如何使用 `list-policy-tags`。
**AWS CLI**
**列出與受管政策連接的標籤**
下列 `list-policy-tags` 命令會擷取與指定受管政策關聯的標籤清單。
```
aws iam list-policy-tags \
--policy-arn arn:aws:iam::123456789012:policy/billing-access
```
輸出:
```
{
"Tags": [
{
"Key": "DeptID",
"Value": "123456"
},
{
"Key": "Department",
"Value": "Accounting"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListPolicyTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-policy-tags.html)。
### `list-policy-versions`
以下程式碼範例顯示如何使用 `list-policy-versions`。
**AWS CLI**
**若要列出指定受管政策的版本相關資訊**
此範例會傳回 ARN 為 `arn:aws:iam::123456789012:policy/MySamplePolicy` 之政策的可用版本清單。
```
aws iam list-policy-versions \
--policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy
```
輸出:
```
{
"IsTruncated": false,
"Versions": [
{
"VersionId": "v2",
"IsDefaultVersion": true,
"CreateDate": "2015-06-02T23:19:44Z"
},
{
"VersionId": "v1",
"IsDefaultVersion": false,
"CreateDate": "2015-06-02T22:30:47Z"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListPolicyVersions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-policy-versions.html)。
### `list-role-policies`
以下程式碼範例顯示如何使用 `list-role-policies`。
**AWS CLI**
**列出連接至 IAM 角色的政策**
下列 `list-role-policies` 命令會列出指定 IAM 角色的許可政策名稱。
```
aws iam list-role-policies \
--role-name Test-Role
```
輸出:
```
{
"PolicyNames": [
"ExamplePolicy"
]
}
```
若要查看連接至角色的信任政策,請使用 `get-role` 命令。若要查看許可政策的詳細資訊,請使用 `get-role-policy` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListRolePolicies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-role-policies.html)。
### `list-role-tags`
以下程式碼範例顯示如何使用 `list-role-tags`。
**AWS CLI**
**若要列出連接至角色的標籤**
下列 `list-role-tags` 命令會擷取與指定角色關聯的標籤之清單。
```
aws iam list-role-tags \
--role-name production-role
```
輸出:
```
{
"Tags": [
{
"Key": "Department",
"Value": "Accounting"
},
{
"Key": "DeptID",
"Value": "12345"
}
],
"IsTruncated": false
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListRoleTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-role-tags.html)。
### `list-roles`
以下程式碼範例顯示如何使用 `list-roles`。
**AWS CLI**
**列出目前帳戶的 IAM 角色**
下列 `list-roles` 命令會列出目前帳戶的 IAM 角色。
```
aws iam list-roles
```
輸出:
```
{
"Roles": [
{
"Path": "/",
"RoleName": "ExampleRole",
"RoleId": "AROAJ52OTH4H7LEXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/ExampleRole",
"CreateDate": "2017-09-12T19:23:36+00:00",
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
},
"MaxSessionDuration": 3600
},
{
"Path": "/example_path/",
"RoleName": "ExampleRoleWithPath",
"RoleId": "AROAI4QRP7UFT7EXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
"CreateDate": "2023-09-21T20:29:38+00:00",
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
},
"MaxSessionDuration": 3600
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListRoles](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-roles.html)。
### `list-saml-provider-tags`
以下程式碼範例顯示如何使用 `list-saml-provider-tags`。
**AWS CLI**
**列出與 SAML 提供者連接的標籤**
下列 `list-saml-provider-tags` 命令會擷取與指定 SAML 提供者關聯的標籤清單。
```
aws iam list-saml-provider-tags \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS
```
輸出:
```
{
"Tags": [
{
"Key": "DeptID",
"Value": "123456"
},
{
"Key": "Department",
"Value": "Accounting"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListSamlProviderTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-saml-provider-tags.html)。
### `list-saml-providers`
以下程式碼範例顯示如何使用 `list-saml-providers`。
**AWS CLI**
**列出 AWS 帳戶中的 SAML 供應商**
此範例會擷取目前 AWS 帳戶中建立的 SAML 2.0 供應商清單。
```
aws iam list-saml-providers
```
輸出:
```
{
"SAMLProviderList": [
{
"Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
"ValidUntil": "2015-06-05T22:45:14Z",
"CreateDate": "2015-06-05T22:45:14Z"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListSAMLProviders](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-saml-providers.html)。
### `list-server-certificate-tags`
以下程式碼範例顯示如何使用 `list-server-certificate-tags`。
**AWS CLI**
**列出與伺服器憑證連接的標籤**
下列 `list-server-certificate-tags` 命令會擷取與指定伺服器憑證關聯的標籤清單。
```
aws iam list-server-certificate-tags \
--server-certificate-name ExampleCertificate
```
輸出:
```
{
"Tags": [
{
"Key": "DeptID",
"Value": "123456"
},
{
"Key": "Department",
"Value": "Accounting"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListServerCertificateTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-server-certificate-tags.html)。
### `list-server-certificates`
以下程式碼範例顯示如何使用 `list-server-certificates`。
**AWS CLI**
**列出您 AWS 帳戶中的伺服器憑證**
下列`list-server-certificates`命令會列出您 AWS 帳戶中存放和可使用的所有伺服器憑證。
```
aws iam list-server-certificates
```
輸出:
```
{
"ServerCertificateMetadataList": [
{
"Path": "/",
"ServerCertificateName": "myUpdatedServerCertificate",
"ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
"Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
"UploadDate": "2019-04-22T21:13:44+00:00",
"Expiration": "2019-10-15T22:23:16+00:00"
},
{
"Path": "/cloudfront/",
"ServerCertificateName": "MyTestCert",
"ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
"Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
"UploadDate": "2015-04-21T18:14:16+00:00",
"Expiration": "2018-01-14T17:52:36+00:00"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 IAM 中管理伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListServerCertificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-server-certificates.html)。
### `list-service-specific-credential`
以下程式碼範例顯示如何使用 `list-service-specific-credential`。
**AWS CLI**
**範例 1:列出使用者的服務特定憑證**
下列 `list-service-specific-credentials` 範例顯示指派給指定使用者的所有服務特定憑證。回應中不包含密碼。
```
aws iam list-service-specific-credentials \
--user-name sofia
```
輸出:
```
{
"ServiceSpecificCredential": {
"CreateDate": "2019-04-18T20:45:36+00:00",
"ServiceName": "codecommit.amazonaws.com",
"ServiceUserName": "sofia-at-123456789012",
"ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
"UserName": "sofia",
"Status": "Active"
}
}
```
**範例 2:列出篩選至指定服務之使用者的服務特定憑證**
下列 `list-service-specific-credentials` 範例顯示指派給提出請求之使用者的服務特定憑證。清單會經過篩選,只包含指定服務的憑證。回應中不包含密碼。
```
aws iam list-service-specific-credentials \
--service-name codecommit.amazonaws.com
```
輸出:
```
{
"ServiceSpecificCredential": {
"CreateDate": "2019-04-18T20:45:36+00:00",
"ServiceName": "codecommit.amazonaws.com",
"ServiceUserName": "sofia-at-123456789012",
"ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
"UserName": "sofia",
"Status": "Active"
}
}
```
如需詳細資訊,請參閱《AWS CodeCommit 使用者指南》**中的[為與 CodeCommit 的 HTTPS 連線建立 Git 憑證](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html#setting-up-gc-iam)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListServiceSpecificCredential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credential.html)。
### `list-service-specific-credentials`
以下程式碼範例顯示如何使用 `list-service-specific-credentials`。
**AWS CLI**
**擷取憑證清單**
下列`list-service-specific-credentials`範例列出針對名為 之使用者的 AWS CodeCommit 儲存庫的 HTTPS 存取所產生的登入資料`developer`。
```
aws iam list-service-specific-credentials \
--user-name developer \
--service-name codecommit.amazonaws.com
```
輸出:
```
{
"ServiceSpecificCredentials": [
{
"UserName": "developer",
"Status": "Inactive",
"ServiceUserName": "developer-at-123456789012",
"CreateDate": "2019-10-01T04:31:41Z",
"ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
"ServiceName": "codecommit.amazonaws.com"
},
{
"UserName": "developer",
"Status": "Active",
"ServiceUserName": "developer+1-at-123456789012",
"CreateDate": "2019-10-01T04:31:45Z",
"ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
"ServiceName": "codecommit.amazonaws.com"
}
]
}
```
如需詳細資訊,請參閱《AWS CodeCommit 使用者指南》**中的[為與 CodeCommit 的 HTTPS 連線建立 Git 憑證](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html#setting-up-gc-iam)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListServiceSpecificCredentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)。
### `list-signing-certificates`
以下程式碼範例顯示如何使用 `list-signing-certificates`。
**AWS CLI**
**若要列出 IAM 使用者的簽署憑證**
下列 `list-signing-certificates` 命令列出名為 `Bob` 之 IAM 使用者的簽署憑證。
```
aws iam list-signing-certificates \
--user-name Bob
```
輸出:
```
{
"Certificates": [
{
"UserName": "Bob",
"Status": "Inactive",
"CertificateBody": "-----BEGIN CERTIFICATE----------END CERTIFICATE-----",
"CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
"UploadDate": "2013-06-06T21:40:08Z"
}
]
}
```
如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的[管理簽署憑證](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-up-ami-tools.html#ami-tools-managing-certs)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListSigningCertificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)。
### `list-ssh-public-keys`
以下程式碼範例顯示如何使用 `list-ssh-public-keys`。
**AWS CLI**
**列出與 IAM 使用者連接的 SSH 公有金鑰**
下列 `list-ssh-public-keys` 範例列出與 IAM 使用者 `sofia` 連接的 SSH 公有金鑰。
```
aws iam list-ssh-public-keys \
--user-name sofia
```
輸出:
```
{
"SSHPublicKeys": [
{
"UserName": "sofia",
"SSHPublicKeyId": "APKA1234567890EXAMPLE",
"Status": "Inactive",
"UploadDate": "2019-04-18T17:04:49+00:00"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用 SSH 金鑰和 SSH 搭配 CodeCommit](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_ssh-keys.html#ssh-keys-code-commit)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListSshPublicKeys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-ssh-public-keys.html)。
### `list-user-policies`
以下程式碼範例顯示如何使用 `list-user-policies`。
**AWS CLI**
**列出 IAM 使用者的政策**
下列 `list-user-policies` 命令會列出連接至名為 `Bob` 之 IAM 使用者的政策。
```
aws iam list-user-policies \
--user-name Bob
```
輸出:
```
{
"PolicyNames": [
"ExamplePolicy",
"TestPolicy"
]
}
```
如需詳細資訊,請參閱《[IAM 使用者指南》中的在 AWS 帳戶中建立](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *AWS IAM* 使用者。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListUserPolicies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-user-policies.html)。
### `list-user-tags`
以下程式碼範例顯示如何使用 `list-user-tags`。
**AWS CLI**
**若要列出連接至使用者的標籤**
下列 `list-user-tags` 命令會擷取與指定 IAM 使用者關聯的標籤之清單。
```
aws iam list-user-tags \
--user-name alice
```
輸出:
```
{
"Tags": [
{
"Key": "Department",
"Value": "Accounting"
},
{
"Key": "DeptID",
"Value": "12345"
}
],
"IsTruncated": false
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ListUserTags](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-user-tags.html)。
### `list-users`
以下程式碼範例顯示如何使用 `list-users`。
**AWS CLI**
**列出 IAM 使用者**
下列 `list-users` 命令會列出目前帳戶中的 IAM 使用者。
```
aws iam list-users
```
輸出:
```
{
"Users": [
{
"UserName": "Adele",
"Path": "/",
"CreateDate": "2013-03-07T05:14:48Z",
"UserId": "AKIAI44QH8DHBEXAMPLE",
"Arn": "arn:aws:iam::123456789012:user/Adele"
},
{
"UserName": "Bob",
"Path": "/",
"CreateDate": "2012-09-21T23:03:13Z",
"UserId": "AKIAIOSFODNN7EXAMPLE",
"Arn": "arn:aws:iam::123456789012:user/Bob"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[列出 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_manage_list)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListUsers](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-users.html)。
### `list-virtual-mfa-devices`
以下程式碼範例顯示如何使用 `list-virtual-mfa-devices`。
**AWS CLI**
**若要列出虛擬 MFA 裝置**
下列 `list-virtual-mfa-devices` 命令會列出已為目前帳戶設定的虛擬 MFA 裝置。
```
aws iam list-virtual-mfa-devices
```
輸出:
```
{
"VirtualMFADevices": [
{
"SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
},
{
"SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[啟用虛擬多重要素驗證 (MFA) 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ListVirtualMfaDevices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html)。
### `put-group-policy`
以下程式碼範例顯示如何使用 `put-group-policy`。
**AWS CLI**
**將政策新增至群組**
下列 `put-group-policy` 命令會將政策新增至名為 `Admins` 的 IAM 群組。
```
aws iam put-group-policy \
--group-name Admins \
--policy-document file://AdminPolicy.json \
--policy-name AdminRoot
```
此命令不會產生輸出。
會在 *AdminPolicy.json* 檔案中將此政策定義為 JSON 文件。(檔案名稱和副檔名沒有意義。)
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [PutGroupPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/put-group-policy.html)。
### `put-role-permissions-boundary`
以下程式碼範例顯示如何使用 `put-role-permissions-boundary`。
**AWS CLI**
**範例 1:根據自訂政策將許可界限套用至 IAM 角色**
下列 `put-role-permissions-boundary` 範例會將名為 `intern-boundary` 的自訂政策套用為指定 IAM 角色的許可界限。
```
aws iam put-role-permissions-boundary \
--permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
--role-name lambda-application-role
```
此命令不會產生輸出。
**範例 2:根據 AWS 受管政策將許可界限套用至 IAM 角色**
下列`put-role-permissions-boundary`範例會將 AWS 受管`PowerUserAccess`政策套用為指定 IAM 角色的許可界限。
```
aws iam put-role-permissions-boundary \
--permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
--role-name x-account-admin
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [PutRolePermissionsBoundary](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/put-role-permissions-boundary.html)。
### `put-role-policy`
以下程式碼範例顯示如何使用 `put-role-policy`。
**AWS CLI**
**將許可政策連接至 IAM 角色**
下列 `put-role-policy` 命令會將許可政策連接到名為 `Test-Role` 的角色。
```
aws iam put-role-policy \
--role-name Test-Role \
--policy-name ExamplePolicy \
--policy-document file://AdminPolicy.json
```
此命令不會產生輸出。
會在 *AdminPolicy.json* 檔案中將此政策定義為 JSON 文件。(檔案名稱和副檔名沒有意義。)
若要將信任政策連接至角色,請使用 `update-assume-role-policy` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [PutRolePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/put-role-policy.html)。
### `put-user-permissions-boundary`
以下程式碼範例顯示如何使用 `put-user-permissions-boundary`。
**AWS CLI**
**範例 1:根據自訂政策將許可界限套用至 IAM 使用者**
下列 `put-user-permissions-boundary` 範例會將名為 `intern-boundary` 的自訂政策套用為指定 IAM 使用者的許可界限。
```
aws iam put-user-permissions-boundary \
--permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
--user-name intern
```
此命令不會產生輸出。
**範例 2:根據 AWS 受管政策將許可界限套用至 IAM 使用者**
下列`put-user-permissions-boundary`範例會套用名為 的 AWS 受管污染,`PowerUserAccess`做為指定 IAM 使用者的許可界限。
```
aws iam put-user-permissions-boundary \
--permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
--user-name developer
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [PutUserPermissionsBoundary](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/put-user-permissions-boundary.html)。
### `put-user-policy`
以下程式碼範例顯示如何使用 `put-user-policy`。
**AWS CLI**
**將政策連接至 IAM 使用者**
下列 `put-user-policy` 命令會將政策連接至名為 `Bob` 的 IAM 使用者。
```
aws iam put-user-policy \
--user-name Bob \
--policy-name ExamplePolicy \
--policy-document file://AdminPolicy.json
```
此命令不會產生輸出。
會在 *AdminPolicy.json* 檔案中將此政策定義為 JSON 文件。(檔案名稱和副檔名沒有意義。)
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [PutUserPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/put-user-policy.html)。
### `remove-client-id-from-open-id-connect-provider`
以下程式碼範例顯示如何使用 `remove-client-id-from-open-id-connect-provider`。
**AWS CLI**
**若要從已向指定 IAM OpenID Connect 提供者註冊的用戶端 ID 清單中移除指定的用戶端 ID**
此範例會從與 ARN 為 `arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com` 的 IAM OIDC 提供者關聯的用戶端 ID 清單中移除用戶端 ID `My-TestApp-3`。
```
aws iam remove-client-id-from-open-id-connect-provider
--client-id My-TestApp-3 \
--open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Creating OpenID Connect (OIDC) identity providers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [RemoveClientIdFromOpenIdConnectProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/remove-client-id-from-open-id-connect-provider.html)。
### `remove-role-from-instance-profile`
以下程式碼範例顯示如何使用 `remove-role-from-instance-profile`。
**AWS CLI**
**若要從執行個體設定檔中移除角色**
下列 `remove-role-from-instance-profile` 命令會將名為 `Test-Role` 的角色從名為 `ExampleInstanceProfile` 的執行個體設定檔中移除。
```
aws iam remove-role-from-instance-profile \
--instance-profile-name ExampleInstanceProfile \
--role-name Test-Role
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [RemoveRoleFromInstanceProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/remove-role-from-instance-profile.html)。
### `remove-user-from-group`
以下程式碼範例顯示如何使用 `remove-user-from-group`。
**AWS CLI**
**從 IAM 群組移除使用者**
下列 `remove-user-from-group` 命令會將名為 `Bob` 的使用者從名為 `Admins` 的 IAM 群組中移除。
```
aws iam remove-user-from-group \
--user-name Bob \
--group-name Admins
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 IAM 使用者群組中新增和移除使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [RemoveUserFromGroup](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/remove-user-from-group.html)。
### `reset-service-specific-credential`
以下程式碼範例顯示如何使用 `reset-service-specific-credential`。
**AWS CLI**
**範例 1:重設服務特定憑證的密碼,此憑證與提出請求的使用者相連接**
下列 `reset-service-specific-credential` 範例會為指定服務特定憑證產生新的密碼編譯強式密碼,此憑證與提出請求的使用者相連接。
```
aws iam reset-service-specific-credential \
--service-specific-credential-id ACCAEXAMPLE123EXAMPLE
```
輸出:
```
{
"ServiceSpecificCredential": {
"CreateDate": "2019-04-18T20:45:36+00:00",
"ServiceName": "codecommit.amazonaws.com",
"ServiceUserName": "sofia-at-123456789012",
"ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
"ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
"UserName": "sofia",
"Status": "Active"
}
}
```
**範例 2:為連接至指定使用者的服務特定憑證重設密碼**
下列 `reset-service-specific-credential` 範例會為服務特定憑證產生新的密碼編譯強式密碼,此憑證與指定的使用者相連接。
```
aws iam reset-service-specific-credential \
--user-name sofia \
--service-specific-credential-id ACCAEXAMPLE123EXAMPLE
```
輸出:
```
{
"ServiceSpecificCredential": {
"CreateDate": "2019-04-18T20:45:36+00:00",
"ServiceName": "codecommit.amazonaws.com",
"ServiceUserName": "sofia-at-123456789012",
"ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
"ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
"UserName": "sofia",
"Status": "Active"
}
}
```
如需詳細資訊,請參閱《AWS CodeCommit 使用者指南》**中的[為與 CodeCommit 的 HTTPS 連線建立 Git 憑證](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html#setting-up-gc-iam)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [ResetServiceSpecificCredential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/reset-service-specific-credential.html)。
### `resync-mfa-device`
以下程式碼範例顯示如何使用 `resync-mfa-device`。
**AWS CLI**
**若要同步 MFA 裝置**
下列 `resync-mfa-device` 範例會將與 IAM 使用者 `Bob` 關聯且 ARN 為 `arn:aws:iam::123456789012:mfa/BobsMFADevice` 的 MFA 裝置,與提供兩個驗證碼的身分驗證器程式同步。
```
aws iam resync-mfa-device \
--user-name Bob \
--serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
--authentication-code1 123456 \
--authentication-code2 987654
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 AWS中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [ResyncMfaDevice](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/resync-mfa-device.html)。
### `set-default-policy-version`
以下程式碼範例顯示如何使用 `set-default-policy-version`。
**AWS CLI**
**若要將指定政策的指定版本設定為政策的預設版本。**
此範例會將 ARN 為 `arn:aws:iam::123456789012:policy/MyPolicy` 的政策的 `v2` 版本設定為預設的作用中版本。
```
aws iam set-default-policy-version \
--policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
--version-id v2
```
如需詳細資訊,請參閱「 IAM 使用者指南」*AWS *中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [SetDefaultPolicyVersion](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/set-default-policy-version.html)。
### `set-security-token-service-preferences`
以下程式碼範例顯示如何使用 `set-security-token-service-preferences`。
**AWS CLI**
**設定全域端點字符版本**
下列 `set-security-token-service-preferences` 範例會將 Amazon STS 設定為在您向全域端點進行身分驗證時使用版本 2 字符。
```
aws iam set-security-token-service-preferences \
--global-endpoint-token-version v2Token
```
此命令不會產生輸出。
如需詳細資訊,請參閱《*AWS IAM 使用者指南*》中的在 [AWS 區域中管理 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [SetSecurityTokenServicePreferences](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/set-security-token-service-preferences.html)。
### `simulate-custom-policy`
以下程式碼範例顯示如何使用 `simulate-custom-policy`。
**AWS CLI**
**範例 1:模擬與 IAM 使用者或角色相關聯的所有 IAM 政策效果**
以下 `simulate-custom-policy` 說明如何同時提供政策和定義變數值與模擬 API 呼叫,以查看其是否允許或拒絕該動作。下列範例示範僅在指定日期和時間後才啟用資料庫存取的政策。模擬成功,因為模擬的動作和指定的 `aws:CurrentTime` 變數都符合政策的要求。
```
aws iam simulate-custom-policy \
--policy-input-list '{"Version":"2012-10-17", "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
--action-names dynamodb:CreateBackup \
--context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"
```
輸出:
```
{
"EvaluationResults": [
{
"EvalActionName": "dynamodb:CreateBackup",
"EvalResourceName": "*",
"EvalDecision": "allowed",
"MatchedStatements": [
{
"SourcePolicyId": "PolicyInputList.1",
"StartPosition": {
"Line": 1,
"Column": 38
},
"EndPosition": {
"Line": 1,
"Column": 167
}
}
],
"MissingContextValues": []
}
]
}
```
**範例 2:模擬政策禁止的命令**
下列 `simulate-custom-policy` 範例示範此政策禁止之命令的模擬結果。在此範例中,提供的日期早於政策條件所需的日期。
```
aws iam simulate-custom-policy \
--policy-input-list '{"Version":"2012-10-17", "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
--action-names dynamodb:CreateBackup \
--context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"
```
輸出:
```
{
"EvaluationResults": [
{
"EvalActionName": "dynamodb:CreateBackup",
"EvalResourceName": "*",
"EvalDecision": "implicitDeny",
"MatchedStatements": [],
"MissingContextValues": []
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [SimulateCustomPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/simulate-custom-policy.html)。
### `simulate-principal-policy`
以下程式碼範例顯示如何使用 `simulate-principal-policy`。
**AWS CLI**
**範例 1:模擬任意 IAM 政策的效果**
以下 `simulate-principal-policy` 說明如何模擬呼叫 API 動作的使用者,並判斷與該使用者相關聯的政策是否允許或拒絕該動作。在下列範例中,使用者具有僅允許 `codecommit:ListRepositories` 動作的政策。
```
aws iam simulate-principal-policy \
--policy-source-arn arn:aws:iam::123456789012:user/alejandro \
--action-names codecommit:ListRepositories
```
輸出:
```
{
"EvaluationResults": [
{
"EvalActionName": "codecommit:ListRepositories",
"EvalResourceName": "*",
"EvalDecision": "allowed",
"MatchedStatements": [
{
"SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
"StartPosition": {
"Line": 3,
"Column": 19
},
"EndPosition": {
"Line": 9,
"Column": 10
}
}
],
"MissingContextValues": []
}
]
}
```
**範例 2:模擬禁止命令的效果**
下列 `simulate-custom-policy` 範例示範其中一個使用者政策所禁止之命令的模擬結果。在下列範例中,使用者有一個政策,僅允許在特定日期和時間後存取 DynamoDB 資料庫。此模擬會讓使用者嘗試使用早於政策條件允許的 `aws:CurrentTime` 值來存取資料庫。
```
aws iam simulate-principal-policy \
--policy-source-arn arn:aws:iam::123456789012:user/alejandro \
--action-names dynamodb:CreateBackup \
--context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"
```
輸出:
```
{
"EvaluationResults": [
{
"EvalActionName": "dynamodb:CreateBackup",
"EvalResourceName": "*",
"EvalDecision": "implicitDeny",
"MatchedStatements": [],
"MissingContextValues": []
}
]
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [SimulatePrincipalPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/simulate-principal-policy.html)。
### `tag-instance-profile`
以下程式碼範例顯示如何使用 `tag-instance-profile`。
**AWS CLI**
**若要將標籤新增至執行個體設定檔**
下列 `tag-instance-profile` 命令會將含部門名稱的標籤新增至指定執行個體設定檔。
```
aws iam tag-instance-profile \
--instance-profile-name deployment-role \
--tags '[{"Key": "Department", "Value": "Accounting"}]'
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [TagInstanceProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/tag-instance-profile.html)。
### `tag-mfa-device`
以下程式碼範例顯示如何使用 `tag-mfa-device`。
**AWS CLI**
**將標籤新增至 MFA 裝置**
下列 `tag-mfa-device` 命令會將含部門名稱的標籤新增至 MFA 裝置。
```
aws iam tag-mfa-device \
--serial-number arn:aws:iam::123456789012:mfa/alice \
--tags '[{"Key": "Department", "Value": "Accounting"}]'
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [TagMfaDevice](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/tag-mfa-device.html)。
### `tag-open-id-connect-provider`
以下程式碼範例顯示如何使用 `tag-open-id-connect-provider`。
**AWS CLI**
**將標籤新增至與 OpenID Connect (OIDC) 相容的身分提供者**
下列 `tag-open-id-connect-provider` 命令會將含部門名稱的標籤新增至指定 OIDC 身分提供者。
```
aws iam tag-open-id-connect-provider \
--open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
--tags '[{"Key": "Department", "Value": "Accounting"}]'
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [TagOpenIdConnectProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/tag-open-id-connect-provider.html)。
### `tag-policy`
以下程式碼範例顯示如何使用 `tag-policy`。
**AWS CLI**
**將標籤新增至客戶管理政策**
下列 `tag-policy` 命令會將含部門名稱的標籤新增至指定客戶管理政策。
```
aws iam tag-policy \
--policy-arn arn:aws:iam::123456789012:policy/billing-access \
--tags '[{"Key": "Department", "Value": "Accounting"}]'
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [TagPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/tag-policy.html)。
### `tag-role`
以下程式碼範例顯示如何使用 `tag-role`。
**AWS CLI**
**若要將標籤新增至角色**
下列 `tag-role` 命令會將含部門名稱的標籤新增至指定角色。
```
aws iam tag-role --role-name my-role \
--tags '{"Key": "Department", "Value": "Accounting"}'
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [TagRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/tag-role.html)。
### `tag-saml-provider`
以下程式碼範例顯示如何使用 `tag-saml-provider`。
**AWS CLI**
**將標籤新增至 SAML 提供者**
下列 `tag-saml-provider` 命令會將含部門名稱的標籤新增至指定 SAML 提供者。
```
aws iam tag-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
--tags '[{"Key": "Department", "Value": "Accounting"}]'
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [TagSamlProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/tag-saml-provider.html)。
### `tag-server-certificate`
以下程式碼範例顯示如何使用 `tag-server-certificate`。
**AWS CLI**
**將標籤新增至伺服器憑證**
下列 `tag-saml-provider` 命令會將含部門名稱的標籤新增至指定伺服器憑證。
```
aws iam tag-server-certificate \
--server-certificate-name ExampleCertificate \
--tags '[{"Key": "Department", "Value": "Accounting"}]'
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [TagServerCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/tag-server-certificate.html)。
### `tag-user`
以下程式碼範例顯示如何使用 `tag-user`。
**AWS CLI**
**若要將標籤新增至使用者**
下列 `tag-user` 命令將含關聯部門的標籤新增至指定使用者。
```
aws iam tag-user \
--user-name alice \
--tags '{"Key": "Department", "Value": "Accounting"}'
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [TagUser](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/tag-user.html)。
### `untag-instance-profile`
以下程式碼範例顯示如何使用 `untag-instance-profile`。
**AWS CLI**
**若要從執行個體設定檔中移除標籤**
下列 `untag-instance-profile` 命令會從指定的執行個體設定檔移除任何金鑰名稱為 'Department' 的標籤。
```
aws iam untag-instance-profile \
--instance-profile-name deployment-role \
--tag-keys Department
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UntagInstanceProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/untag-instance-profile.html)。
### `untag-mfa-device`
以下程式碼範例顯示如何使用 `untag-mfa-device`。
**AWS CLI**
**將標籤從 MFA 裝置中移除**
下列 `untag-mfa-device` 命令會從指定的 MFA 裝置移除任何金鑰名稱為 'Department' 的標籤。
```
aws iam untag-mfa-device \
--serial-number arn:aws:iam::123456789012:mfa/alice \
--tag-keys Department
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UntagMfaDevice](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/untag-mfa-device.html)。
### `untag-open-id-connect-provider`
以下程式碼範例顯示如何使用 `untag-open-id-connect-provider`。
**AWS CLI**
**從 OIDC 身分提供者移除標籤**
下列 `untag-open-id-connect-provider` 命令會從指定的 OIDC 身分提供者移除任何金鑰名稱為 'Department' 的標籤。
```
aws iam untag-open-id-connect-provider \
--open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
--tag-keys Department
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UntagOpenIdConnectProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/untag-open-id-connect-provider.html)。
### `untag-policy`
以下程式碼範例顯示如何使用 `untag-policy`。
**AWS CLI**
**從客戶管理政策移除標籤**
下列 `untag-policy` 命令會從指定的客戶管理政策移除任何金鑰名稱為 'Department' 的標籤。
```
aws iam untag-policy \
--policy-arn arn:aws:iam::452925170507:policy/billing-access \
--tag-keys Department
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UntagPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/untag-policy.html)。
### `untag-role`
以下程式碼範例顯示如何使用 `untag-role`。
**AWS CLI**
**若要從角色中移除標籤**
下列 `untag-role` 命令會從指定的角色移除任何金鑰名稱為「Department」的標籤。
```
aws iam untag-role \
--role-name my-role \
--tag-keys Department
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UntagRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/untag-role.html)。
### `untag-saml-provider`
以下程式碼範例顯示如何使用 `untag-saml-provider`。
**AWS CLI**
**從 SAML 提供者移除標籤**
下列 `untag-saml-provider` 命令會從指定的執行個體設定檔移除任何金鑰名稱為 'Department' 的標籤。
```
aws iam untag-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
--tag-keys Department
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UntagSamlProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/untag-saml-provider.html)。
### `untag-server-certificate`
以下程式碼範例顯示如何使用 `untag-server-certificate`。
**AWS CLI**
**將標籤從伺服器憑證中移除**
下列 `untag-server-certificate` 命令會從指定的伺服器憑證移除任何金鑰名稱為 'Department' 的標籤。
```
aws iam untag-server-certificate \
--server-certificate-name ExampleCertificate \
--tag-keys Department
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UntagServerCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/untag-server-certificate.html)。
### `untag-user`
以下程式碼範例顯示如何使用 `untag-user`。
**AWS CLI**
**若要從使用者中移除標籤**
下列 `untag-user` 命令會從指定的使用者移除任何金鑰名稱為「Department」的標籤。
```
aws iam untag-user \
--user-name alice \
--tag-keys Department
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UntagUser](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/untag-user.html)。
### `update-access-key`
以下程式碼範例顯示如何使用 `update-access-key`。
**AWS CLI**
**啟用或停用 IAM 使用者的存取金鑰**
下列 `update-access-key` 命令會為名為 `Bob` 的 IAM 使用者停用指定的存取金鑰 (存取金鑰 ID 與私密存取金鑰)。
```
aws iam update-access-key \
--access-key-id AKIAIOSFODNN7EXAMPLE \
--status Inactive \
--user-name Bob
```
此命令不會產生輸出。
停用金鑰表示它無法用於程式設計存取 AWS。但是,金鑰仍然可用,並且可以重新啟用。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UpdateAccessKey](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-access-key.html)。
### `update-account-password-policy`
以下程式碼範例顯示如何使用 `update-account-password-policy`。
**AWS CLI**
**若要設定或變更目前的帳戶密碼政策**
下列 `update-account-password-policy` 命令會設定密碼政策,要求密碼最小長度為 8 個字元,且必須包含一個或多個數字。
```
aws iam update-account-password-policy \
--minimum-password-length 8 \
--require-numbers
```
此命令不會產生輸出。
變更帳戶的密碼政策會影響為帳戶中的 IAM 使用者建立的任何新密碼。密碼政策變更不影響現有密碼。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[設定 IAM 使用者的帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateAccountPasswordPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-account-password-policy.html)。
### `update-assume-role-policy`
以下程式碼範例顯示如何使用 `update-assume-role-policy`。
**AWS CLI**
**若要更新 IAM 角色的信任政策**
下列 `update-assume-role-policy` 命令會更新名為 `Test-Role` 之角色的信任政策。
```
aws iam update-assume-role-policy \
--role-name Test-Role \
--policy-document file://Test-Role-Trust-Policy.json
```
此命令不會產生輸出。
在 *Test-Role-Trust-Policy.json* 檔案中,將信任政策定義為 JSON 文件。(檔案名稱和副檔名沒有意義。) 信任政策必須指定主體。
若要更新角色的許可政策,請使用 `put-role-policy` 命令。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateAssumeRolePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-assume-role-policy.html)。
### `update-group`
以下程式碼範例顯示如何使用 `update-group`。
**AWS CLI**
**若要重新命名 IAM 群組**
下列 `update-group` 命令會將 IAM 群組 `Test` 的名稱變更為 `Test-1`。
```
aws iam update-group \
--group-name Test \
--new-group-name Test-1
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[重新命名 IAM 使用者群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_rename.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateGroup](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-group.html)。
### `update-login-profile`
以下程式碼範例顯示如何使用 `update-login-profile`。
**AWS CLI**
**若要更新 IAM 使用者的密碼**
下列 `update-login-profile` 命令會為名為 `Bob` 的 IAM 使用者建立新的密碼。
```
aws iam update-login-profile \
--user-name Bob \
--password
```
此命令不會產生輸出。
若要設定帳戶的密碼政策,請使用 `update-account-password-policy` 命令。如果新密碼違反帳戶密碼政策,則命令會傳回 `PasswordPolicyViolation` 錯誤。
如果帳戶密碼政策允許,IAM 使用者可以使用 `change-password` 命令變更自己的密碼。
將密碼存放於安全處。密碼一旦遺失,便無法復原,您必須使用 `create-login-profile` 命令建立新密碼。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[管理 IAM 使用者的密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateLoginProfile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-login-profile.html)。
### `update-open-id-connect-provider-thumbprint`
以下程式碼範例顯示如何使用 `update-open-id-connect-provider-thumbprint`。
**AWS CLI**
**若要以新清單取代現有的伺服器憑證指紋清單**
此範例會更新 ARN 為 `arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com` 之 OIDC 提供者的憑證指紋清單,以使用新指紋。
```
aws iam update-open-id-connect-provider-thumbprint \
--open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
--thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3
```
此命令不會產生輸出。
如需詳細資訊,請參閱 *AWS IAM User Guide* 中的 [Creating OpenID Connect (OIDC) identity providers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateOpenIdConnectProviderThumbprint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-open-id-connect-provider-thumbprint.html)。
### `update-role-description`
以下程式碼範例顯示如何使用 `update-role-description`。
**AWS CLI**
**變更 IAM 角色的描述**
下列 `update-role` 命令會將 IAM 角色的描述從 `production-role` 變更為 `Main production role`。
```
aws iam update-role-description \
--role-name production-role \
--description 'Main production role'
```
輸出:
```
{
"Role": {
"Path": "/",
"RoleName": "production-role",
"RoleId": "AROA1234567890EXAMPLE",
"Arn": "arn:aws:iam::123456789012:role/production-role",
"CreateDate": "2017-12-06T17:16:37+00:00",
"AssumeRolePolicyDocument": {
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
},
"Description": "Main production role"
}
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateRoleDescription](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-role-description.html)。
### `update-role`
以下程式碼範例顯示如何使用 `update-role`。
**AWS CLI**
**若要變更 IAM 角色的描述或工作階段持續時間**
下列 `update-role` 命令會將 IAM 角色 `production-role` 的描述變更為 `Main production role`,並將工作階段持續時間上限設定為 12 小時。
```
aws iam update-role \
--role-name production-role \
--description 'Main production role' \
--max-session-duration 43200
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-role.html)。
### `update-saml-provider`
以下程式碼範例顯示如何使用 `update-saml-provider`。
**AWS CLI**
**若要更新現有 SAML 提供者的中繼資料文件**
此範例會更新 IAM 中 ARN 為 `arn:aws:iam::123456789012:saml-provider/SAMLADFS`、使用檔案 `SAMLMetaData.xml` 中的新 SAML 中繼資料文件的 SAML 提供者。
```
aws iam update-saml-provider \
--saml-metadata-document file://SAMLMetaData.xml \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS
```
輸出:
```
{
"SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}
```
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[建立 IAM SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateSamlProvider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html)。
### `update-server-certificate`
以下程式碼範例顯示如何使用 `update-server-certificate`。
**AWS CLI**
**變更 AWS 帳戶中伺服器憑證的路徑或名稱**
下列 `update-server-certificate` 命令會將憑證名稱從 `myServerCertificate` 變更為 `myUpdatedServerCertificate`。該命令也會將路徑變更為 `/cloudfront/`,這樣 Amazon CloudFront 服務就可以存取該路徑。此命令不會產生輸出。您可以透過執行 `list-server-certificates` 命令來查看更新的結果。
```
aws-iam update-server-certificate \
--server-certificate-name myServerCertificate \
--new-server-certificate-name myUpdatedServerCertificate \
--new-path /cloudfront/
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[在 IAM 中管理伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UpdateServerCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-server-certificate.html)。
### `update-service-specific-credential`
以下程式碼範例顯示如何使用 `update-service-specific-credential`。
**AWS CLI**
**範例 1:更新請求使用者服務特定憑證的狀態**
下列 `update-service-specific-credential` 範例會變更向 `Inactive` 提出請求之使用者所指定憑證的狀態。
```
aws iam update-service-specific-credential \
--service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
--status Inactive
```
此命令不會產生輸出。
**範例 2:更新指定使用者服務特定憑證的狀態**
下列 `update-service-specific-credential` 範例會將指定使用者的憑證狀態變更為非作用中。
```
aws iam update-service-specific-credential \
--user-name sofia \
--service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
--status Inactive
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS CodeCommit 使用者指南》**中的[為與 CodeCommit 的 HTTPS 連線建立 Git 憑證](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html#setting-up-gc-iam)
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UpdateServiceSpecificCredential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html)。
### `update-signing-certificate`
以下程式碼範例顯示如何使用 `update-signing-certificate`。
**AWS CLI**
**若要啟用或停用 IAM 使用者的簽署憑證**
下列 `update-signing-certificate` 命令將停用名為 `Bob` 之 IAM 使用者的指定簽署憑證。
```
aws iam update-signing-certificate \
--certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
--status Inactive \
--user-name Bob
```
若要取得簽署憑證的 ID,請使用 `list-signing-certificates` 命令。
如需詳細資訊,請參閱《Amazon EC2 使用者指南》**中的[管理簽署憑證](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-up-ami-tools.html#ami-tools-managing-certs)。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UpdateSigningCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-signing-certificate.html)。
### `update-ssh-public-key`
以下程式碼範例顯示如何使用 `update-ssh-public-key`。
**AWS CLI**
**變更 SSH 公有金鑰的狀態**
下列 `update-ssh-public-key` 命令會將指定公有金鑰的狀態變更為 `Inactive`。
```
aws iam update-ssh-public-key \
--user-name sofia \
--ssh-public-key-id APKA1234567890EXAMPLE \
--status Inactive
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[使用 SSH 金鑰和 SSH 搭配 CodeCommit](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_ssh-keys.html#ssh-keys-code-commit)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UpdateSshPublicKey](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-ssh-public-key.html)。
### `update-user`
以下程式碼範例顯示如何使用 `update-user`。
**AWS CLI**
**變更 IAM 使用者的名稱**
下列 `update-user` 命令會將 IAM 使用者名稱從 `Bob` 變更為 `Robert`。
```
aws iam update-user \
--user-name Bob \
--new-user-name Robert
```
此命令不會產生輸出。
如需詳細資訊,請參閱《AWS IAM 使用者指南》**中的[重新命名 IAM 使用者群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_rename.html)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UpdateUser](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-user.html)。
### `upload-server-certificate`
以下程式碼範例顯示如何使用 `upload-server-certificate`。
**AWS CLI**
**將伺服器憑證上傳至 AWS 您的帳戶**
下列 **upload-server-certificate** 命令會將伺服器憑證上傳至 AWS 您的帳戶。在此範例中,憑證位於檔案 `public_key_cert_file.pem` 中,相關聯的私密金鑰位於檔案 `my_private_key.pem` 中,而憑證授權機構 (CA) 提供的憑證鏈結位於 `my_certificate_chain_file.pem` 檔案中。檔案上傳完成後,其就會以 *myServerCertificate* 名稱提供使用。以 `file://` 開頭的參數會告訴命令讀取檔案的內容,並將其用作參數值 (而不是檔案名稱本身)。
```
aws iam upload-server-certificate \
--server-certificate-name myServerCertificate \
--certificate-body file://public_key_cert_file.pem \
--private-key file://my_private_key.pem \
--certificate-chain file://my_certificate_chain_file.pem
```
輸出:
```
{
"ServerCertificateMetadata": {
"Path": "/",
"ServerCertificateName": "myServerCertificate",
"ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
"Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
"UploadDate": "2019-04-22T21:13:44+00:00",
"Expiration": "2019-10-15T22:23:16+00:00"
}
}
```
如需詳細資訊,請參閱《使用 IAM 指南》**中的「建立、上傳和刪除伺服器憑證」。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UploadServrCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/upload-server-certificate.html)。
### `upload-signing-certificate`
以下程式碼範例顯示如何使用 `upload-signing-certificate`。
**AWS CLI**
**若要上傳 IAM 使用者的簽署憑證**
下列 `upload-signing-certificate` 命令會上傳名為 `Bob` 之 IAM 使用者的簽署憑證。
```
aws iam upload-signing-certificate \
--user-name Bob \
--certificate-body file://certificate.pem
```
輸出:
```
{
"Certificate": {
"UserName": "Bob",
"Status": "Active",
"CertificateBody": "-----BEGIN CERTIFICATE----------END CERTIFICATE-----",
"CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
"UploadDate": "2013-06-06T21:40:08.121Z"
}
}
```
憑證位於名為 *certificate.pem* 的 PEM 格式的檔案中。
如需詳細資訊,請參閱《IAM 使用指南》**中的「建立和上傳使用者簽署憑證」。
+ 如需 API 詳細資訊,請參閱《*AWS CLI 命令參考*》中的 [UploadSigningCertificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/upload-signing-certificate.html)。
### `upload-ssh-public-key`
以下程式碼範例顯示如何使用 `upload-ssh-public-key`。
**AWS CLI**
**上傳 SSH 公有金鑰並將其與使用者建立關聯**
下列 `upload-ssh-public-key` 命令會上傳檔案 `sshkey.pub` 中找到的公有金鑰,並將其連接至使用者 `sofia`。
```
aws iam upload-ssh-public-key \
--user-name sofia \
--ssh-public-key-body file://sshkey.pub
```
輸出:
```
{
"SSHPublicKey": {
"UserName": "sofia",
"SSHPublicKeyId": "APKA1234567890EXAMPLE",
"Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
"SSHPublicKeyBody": "ssh-rsa <>",
"Status": "Active",
"UploadDate": "2019-04-18T17:04:49+00:00"
}
}
```
如需如何以適合此命令的格式產生金鑰的詳細資訊,請參閱《AWS CodeCommit 使用者指南》**中的 [SSH 和 Linux、macOS 或 Unix:為 Git 和 CodeCommit 設定公有和私有金鑰](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-ssh-unixes.html#setting-up-ssh-unixes-keys)或 [SSH 和 Windows:為 Git 和 CodeCommit 設定公有和私有金鑰](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-ssh-windows.html#setting-up-ssh-windows-keys-windows)。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [UploadSshPublicKey](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/upload-ssh-public-key.html)。