**本文件 AWS CLI 僅適用於 第 1 版。**
我們已宣布即將end-of-support。 AWS CLI 我們建議您遷移至 第 2 AWS CLI 版。如需日期、其他詳細資訊和如何遷移的資訊,請參閱 [公告](https://aws.amazon.com/blogs/developer/cli-v1-maintenance-mode-announcement/)。如需 第 2 版的相關文件 AWS CLI,請參閱 第 [2 版使用者指南](https://docs.aws.amazon.com/cli/latest/userguide/)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 AWS CLI 中使用 IAM
| AWS Identity and Access Management 簡介 |
| --- |
| |
您可以使用 AWS Command Line Interface (AWS CLI) 來存取 AWS Identity and Access Management (IAM) 的功能。若要列出 IAM 的 AWS CLI 命令,請使用下列命令。
```
aws iam help
```
本主題顯示執行 IAM 常見任務的 AWS CLI 命令範例。
在執行任何命令前,請先設定您的預設憑證。如需詳細資訊,請參閱 [設定 AWS CLI 的設定。](cli-chap-configure.md)。
如需 IAM 服務的詳細資訊,請參閱《[AWS Identity and Access Management 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)》。
**Topics**
+ [建立 IAM 使用者與群組](#cli-services-iam-new-user-group)
+ [將 IAM 受管政策連接至使用者](#cli-services-iam-policy)
+ [為 IAM 使用者設定初始密碼](#cli-services-iam-set-pw)
+ [為 IAM 使用者建立存取金鑰](#cli-services-iam-create-creds)
## 建立 IAM 使用者與群組
**建立群組並在其中新增使用者**
1. 使用 [https://docs.aws.amazon.com/cli/v1/reference/iam/create-group.html](https://docs.aws.amazon.com/cli/v1/reference/iam/create-group.html) 命令來建立群組。
```
$ aws iam create-group --group-name MyIamGroup
{
"Group": {
"GroupName": "MyIamGroup",
"CreateDate": "2018-12-14T03:03:52.834Z",
"GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
"Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
"Path": "/"
}
}
```
1. 使用 [https://docs.aws.amazon.com/cli/v1/reference/iam/create-user.html](https://docs.aws.amazon.com/cli/v1/reference/iam/create-user.html) 命令來建立使用者。
```
$ aws iam create-user --user-name MyUser
{
"User": {
"UserName": "MyUser",
"Path": "/",
"CreateDate": "2018-12-14T03:13:02.581Z",
"UserId": "AIDAJY2PE5XUZ4EXAMPLE",
"Arn": "arn:aws:iam::123456789012:user/MyUser"
}
}
```
1. 使用 [https://docs.aws.amazon.com/cli/v1/reference/iam/add-user-to-group.html](https://docs.aws.amazon.com/cli/v1/reference/iam/add-user-to-group.html) 命令將使用者新增到該群組。
```
$ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup
```
1. 如果要確認 `MyIamGroup` 群組是否包含 `MyUser`,請使用 [https://docs.aws.amazon.com/cli/v1/reference/iam/get-group.html](https://docs.aws.amazon.com/cli/v1/reference/iam/get-group.html) 命令。
```
$ aws iam get-group --group-name MyIamGroup
{
"Group": {
"GroupName": "MyIamGroup",
"CreateDate": "2018-12-14T03:03:52Z",
"GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
"Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
"Path": "/"
},
"Users": [
{
"UserName": "MyUser",
"Path": "/",
"CreateDate": "2018-12-14T03:13:02Z",
"UserId": "AIDAJY2PE5XUZ4EXAMPLE",
"Arn": "arn:aws:iam::123456789012:user/MyUser"
}
],
"IsTruncated": "false"
}
```
## 將 IAM 受管政策連接至使用者
此範例中的政策可提供使用者「進階使用者存取」。
**將 IAM 受管政策連接至使用者**
1. 決定要連接到政策的 Amazon 資源名稱 (ARN)。以下命令使用 `list-policies` 來尋找名稱為 `PowerUserAccess` 之政策的 ARN。接著,將 ARN 存放在環境變數中。
```
$ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text) ~
$ echo $POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess
```
1. 若要連接政策,請使用 [https://docs.aws.amazon.com/cli/v1/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/v1/reference/iam/attach-user-policy.html)[https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html) 命令並參考保留政策 ARN 的環境變數。
```
$ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN
```
1. 執行 [https://docs.aws.amazon.com/cli/v1/reference/iam/list-attached-user-policies.html](https://docs.aws.amazon.com/cli/v1/reference/iam/list-attached-user-policies.html) 命令,確認該政策已連接至使用者。
```
$ aws iam list-attached-user-policies --user-name MyUser
{
"AttachedPolicies": [
{
"PolicyName": "PowerUserAccess",
"PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
}
]
}
```
如需詳細資訊,請參閱[存取管理資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-additional-resources.html)。此主題提供許可與政策概觀的連結,以及用於存取 Amazon S3、Amazon EC2 和其他服務的政策範例連結。
## 為 IAM 使用者設定初始密碼
以下命令使用 `[create-login-profile](https://docs.aws.amazon.com/cli/v1/reference/iam/create-login-profile.html)` 來為指定的使用者設定初始密碼。當使用者首次登入時,使用者需要將密碼變更為只有該使用者知道的內容。
```
$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required
{
"LoginProfile": {
"UserName": "MyUser",
"CreateDate": "2018-12-14T17:27:18Z",
"PasswordResetRequired": true
}
}
```
您可使用 `update-login-profile` 命令來*變更*使用者的密碼。
```
$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword
```
## 為 IAM 使用者建立存取金鑰
您可以使用 [https://docs.aws.amazon.com/cli/v1/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/v1/reference/iam/create-access-key.html) 命令來為使用者建立存取金鑰。存取金鑰是一組安全憑證,包含存取金鑰 ID 和私密金鑰。
一位使用者一次只能建立兩個存取金鑰。若您嘗試建立第三組,命令會傳回 `LimitExceeded` 錯誤。
```
$ aws iam create-access-key --user-name MyUser
{
"AccessKey": {
"UserName": "MyUser",
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
"Status": "Active",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"CreateDate": "2018-12-14T17:34:16Z"
}
}
```
使用 [https://docs.aws.amazon.com/cli/v1/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/v1/reference/iam/delete-access-key.html) 命令來為使用者刪除存取金鑰。使用存取金鑰 ID 來指定要刪除哪一個存取金鑰。
```
$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE
```