文件 AWS SDK AWS 範例 SDK 儲存庫中有更多可用的
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 的 IAM 範例 AWS CLI
下列程式碼範例示範如何使用 AWS Command Line Interface 搭配 IAM 來執行動作和實作常見案例。
Actions 是大型程式的程式碼摘錄,必須在內容中執行。雖然 動作會示範如何呼叫個別服務函數,但您可以在其相關案例中查看內容中的動作。
每個範例都包含完整原始程式碼的連結,您可以在其中找到如何在內容中設定和執行程式碼的指示。
主題
動作
下列程式碼範例示範如何使用 add-client-id-to-open-id-connect-provider。
- AWS CLI
-
將用戶端 ID (受眾) 新增至 Open-ID Connect (OIDC) 供應商
下列
add-client-id-to-open-id-connect-provider命令會將用戶端 ID 新增至名為my-application-ID的 OIDC 提供者server.example.com。aws iam add-client-id-to-open-id-connect-provider \ --client-idmy-application-ID\ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/server.example.com此命令不會產生輸出。
若要建立 OIDC 提供者,請使用
create-open-id-connect-provider命令。如需詳細資訊,請參閱 OIDC 使用者指南中的建立 OpenID Connect (Word) 身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 AddClientIdToOpenIdConnectProvider
。
-
下列程式碼範例示範如何使用 add-role-to-instance-profile。
- AWS CLI
-
將角色新增至執行個體設定檔
下列
add-role-to-instance-profile命令會將名為 的角色新增至名為S3Access的執行個體設定檔Webserver。aws iam add-role-to-instance-profile \ --role-nameS3Access\ --instance-profile-nameWebserver此命令不會產生輸出。
若要建立執行個體設定檔,請使用
create-instance-profile命令。如需詳細資訊,請參閱 IAM 使用者指南中的使用 Word 角色將許可授予在 Amazon EC2 執行個體上執行的應用程式。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 AddRoleToInstanceProfile
。
-
下列程式碼範例示範如何使用 add-user-to-group。
- AWS CLI
-
將使用者新增至 IAM 群組
下列
add-user-to-group命令會將名為 的 IAM 使用者新增至名為Bob的 IAM 群組Admins。aws iam add-user-to-group \ --user-nameBob\ --group-nameAdmins此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的在 Word 使用者群組中新增和移除使用者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 AddUserToGroup
。
-
下列程式碼範例示範如何使用 attach-group-policy。
- AWS CLI
-
將受管政策連接至 IAM 群組
下列
attach-group-policy命令會將名為 的 AWS 受管政策連接至名為ReadOnlyAccess的 IAM 群組Finance。aws iam attach-group-policy \ --policy-arnarn:aws:iam::aws:policy/ReadOnlyAccess\ --group-nameFinance此命令不會產生輸出。
如需詳細資訊,請參閱 AWS IAM 使用者指南中的受管政策和內嵌政策。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 AttachGroupPolicy
。
-
下列程式碼範例示範如何使用 attach-role-policy。
- AWS CLI
-
將受管政策連接至 IAM 角色
下列
attach-role-policy命令會將名為 的 AWS 受管政策連接至名為ReadOnlyAccess的 IAM 角色ReadOnlyRole。aws iam attach-role-policy \ --policy-arnarn:aws:iam::aws:policy/ReadOnlyAccess\ --role-nameReadOnlyRole此命令不會產生輸出。
如需詳細資訊,請參閱 AWS IAM 使用者指南中的 受管政策和內嵌政策。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 AttachRolePolicy
。
-
下列程式碼範例示範如何使用 attach-user-policy。
- AWS CLI
-
將受管政策連接至 IAM 使用者
下列
attach-user-policy命令會將名為 的 AWS 受管政策連接至名為AdministratorAccess的 IAM 使用者Alice。aws iam attach-user-policy \ --policy-arnarn:aws:iam::aws:policy/AdministratorAccess\ --user-nameAlice此命令不會產生輸出。
如需詳細資訊,請參閱 AWS IAM 使用者指南中的 受管政策和內嵌政策。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 AttachUserPolicy
。
-
下列程式碼範例示範如何使用 change-password。
- AWS CLI
-
變更 IAM 使用者的密碼
若要變更 IAM 使用者的密碼,我們建議您使用
--cli-input-json參數傳遞包含舊密碼和新密碼的 JSON 檔案。使用此方法,您可以使用具有非英數字元的強式密碼。當您將密碼傳遞為命令列參數時,可能很難使用具有非英數字元的密碼。若要使用--cli-input-json參數,請先使用change-password命令搭配--generate-cli-skeleton參數,如下列範例所示。aws iam change-password \ --generate-cli-skeleton>change-password.json上一個命令會建立名為 change-password.json 的 JSON 檔案,可用來填入舊密碼和新密碼。例如,檔案可能如下所示。
{ "OldPassword": "3s0K_;xh4~8XXI", "NewPassword": "]35d/{pB9Fo9wJ" }接下來,若要變更您的密碼,請再次使用
change-password命令,這次傳遞--cli-input-json參數以指定您的 JSON 檔案。下列change-password命令會將--cli-input-json參數與名為 change-password.json 的 JSON 檔案搭配使用。aws iam change-password \ --cli-input-jsonfile://change-password.json此命令不會產生輸出。
此命令只能由 IAM 使用者呼叫。如果使用 AWS 帳戶 (根) 憑證呼叫此命令,則命令會傳回
InvalidUserType錯誤。如需詳細資訊,請參閱 IAM 使用者指南中的 Word 使用者如何變更自己的密碼。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ChangePassword
。
-
下列程式碼範例示範如何使用 create-access-key。
- AWS CLI
-
為 IAM 使用者建立存取金鑰
下列
create-access-key命令會為名為 的 IAM 使用者建立存取金鑰 (存取金鑰 ID 和秘密存取金鑰)Bob。aws iam create-access-key \ --user-nameBob輸出:
{ "AccessKey": { "UserName": "Bob", "Status": "Active", "CreateDate": "2015-03-09T18:39:23.411Z", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" } }請將私密存取金鑰存放在安全之處。遺失的金鑰無法復原,您必須建立新的存取金鑰。
如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的存取金鑰。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateAccessKey
。
-
下列程式碼範例示範如何使用 create-account-alias。
- AWS CLI
-
建立帳戶別名
下列
create-account-alias命令examplecorp會為您的 AWS 帳戶建立別名。aws iam create-account-alias \ --account-aliasexamplecorp此命令不會產生輸出。
如需詳細資訊,請參閱 Word 使用者指南中的AWS 您的帳戶 ID 及其別名。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateAccountAlias
。
-
下列程式碼範例示範如何使用 create-group。
- AWS CLI
-
建立 IAM 群組
下列
create-group命令會建立名為 的 IAM 群組Admins。aws iam create-group \ --group-nameAdmins輸出:
{ "Group": { "Path": "/", "CreateDate": "2015-03-09T20:30:24.940Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }如需詳細資訊,請參閱 IAM 使用者指南中的建立 AWS IAM 使用者群組。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateGroup
。
-
下列程式碼範例示範如何使用 create-instance-profile。
- AWS CLI
-
建立執行個體設定檔
下列
create-instance-profile命令會建立名為Webserver的執行個體設定檔。aws iam create-instance-profile \ --instance-profile-nameWebserver輸出:
{ "InstanceProfile": { "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE", "Roles": [], "CreateDate": "2015-03-09T20:33:19.626Z", "InstanceProfileName": "Webserver", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver" } }若要將角色新增至執行個體設定檔,請使用
add-role-to-instance-profile命令。如需詳細資訊,請參閱 IAM 使用者指南中的使用 Word 角色將許可授予在 Amazon EC2 執行個體上執行的應用程式。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateInstanceProfile
。
-
下列程式碼範例示範如何使用 create-login-profile。
- AWS CLI
-
為 IAM 使用者建立密碼
若要為 IAM 使用者建立密碼,建議使用
--cli-input-json參數傳遞包含密碼的 JSON 檔案。使用此方法,您可以建立具有非英數字元的強式密碼。當您以命令列參數形式傳遞密碼時,可能很難建立具有非英數字元的密碼。若要使用
--cli-input-json參數,請先使用create-login-profile命令搭配--generate-cli-skeleton參數,如下列範例所示。aws iam create-login-profile \ --generate-cli-skeleton>create-login-profile.json上一個命令會建立名為 create-login-profile.json 的 JSON 檔案,您可以用來填寫後續
create-login-profile命令的資訊。例如:{ "UserName": "Bob", "Password": "&1-3a6u:RA0djs", "PasswordResetRequired": true }接下來,若要為 IAM 使用者建立密碼,請再次使用
create-login-profile命令,這次傳遞--cli-input-json參數以指定您的 JSON 檔案。下列create-login-profile命令會將--cli-input-json參數與名為 create-login-profile.json 的 JSON 檔案搭配使用。aws iam create-login-profile \ --cli-input-jsonfile://create-login-profile.json輸出:
{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2015-03-10T20:55:40.274Z", "PasswordResetRequired": true } }如果新密碼違反帳戶密碼政策,命令會傳回
PasswordPolicyViolation錯誤。若要變更已有密碼的使用者的密碼,請使用
update-login-profile。若要設定帳戶的密碼政策,請使用update-account-password-policy命令。如果帳戶密碼政策允許,IAM 使用者可以使用
change-password命令變更自己的密碼。如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的密碼。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateLoginProfile
。
-
下列程式碼範例示範如何使用 create-open-id-connect-provider。
- AWS CLI
-
建立 OpenID Connect (OIDC) 供應商
若要建立 OpenID Connect (OIDC) 供應商,建議使用
--cli-input-json參數傳遞包含必要參數的 JSON 檔案。建立 OIDC 提供者時,您必須傳遞提供者的 URL,且 URL 必須以 開頭https://。將 URL 作為命令列參數傳遞可能很困難,因為在某些命令列環境中,冒號 (:) 和正斜線 (/) 字元具有特殊意義。使用--cli-input-json參數會繞過此限制。若要使用
--cli-input-json參數,請先使用create-open-id-connect-provider命令搭配--generate-cli-skeleton參數,如下列範例所示。aws iam create-open-id-connect-provider \ --generate-cli-skeleton>create-open-id-connect-provider.json上一個命令會建立名為 create-open-id-connect-provider.json 的 JSON 檔案,您可以用來填入後續
create-open-id-connect-provider命令的資訊。例如:{ "Url": "https://server.example.com", "ClientIDList": [ "example-application-ID" ], "ThumbprintList": [ "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE" ] }接下來,若要建立 OpenID Connect (OIDC) 供應商,請再次使用
create-open-id-connect-provider命令,這次傳遞--cli-input-json參數來指定您的 JSON 檔案。下列create-open-id-connect-provider命令會將--cli-input-json參數與名為JSON-provider.json 的 create-open-id-connect 檔案搭配使用。aws iam create-open-id-connect-provider \ --cli-input-jsonfile://create-open-id-connect-provider.json輸出:
{ "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com" }如需 OIDC 提供者的詳細資訊,請參閱 Word 使用者指南中的建立 OpenID Connect (WordOIDC) 身分提供者。 AWS IAM
如需取得 OIDC 供應商指紋的詳細資訊,請參閱 Word 使用者指南中的取得 OpenID Connect Identity Provider 的指紋。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateOpenIdConnectProvider
。
-
下列程式碼範例示範如何使用 create-policy-version。
- AWS CLI
-
建立新版本的受管政策
此範例會建立新的 IAM 政策
v2版本,其 ARN 為arn:aws:iam::123456789012:policy/MyPolicy,並使其成為預設版本。aws iam create-policy-version \ --policy-arnarn:aws:iam::123456789012:policy/MyPolicy\ --policy-documentfile://NewPolicyVersion.json\ --set-as-default輸出:
{ "PolicyVersion": { "CreateDate": "2015-06-16T18:56:03.721Z", "VersionId": "v2", "IsDefaultVersion": true } }如需詳細資訊,請參閱 IAM 使用者指南中的版本控制 Word 政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreatePolicyVersion
。
-
下列程式碼範例示範如何使用 create-policy。
- AWS CLI
-
範例 1:建立客戶管理政策
下列命令會建立名為
my-policy的客戶管理政策。aws iam create-policy \ --policy-namemy-policy\ --policy-documentfile://policy檔案
policy是目前資料夾中的 JSON 文件,可授予名為 的 Amazon S3 儲存貯體中shared資料夾的唯讀存取權my-bucket。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket/shared/*" ] } ] }輸出:
{ "Policy": { "PolicyName": "my-policy", "CreateDate": "2015-06-01T19:31:18.620Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "ZXR6A36LTYANPAI7NJ5UV", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::0123456789012:policy/my-policy", "UpdateDate": "2015-06-01T19:31:18.620Z" } }如需使用檔案作為字串參數輸入的詳細資訊,請參閱 AWS CLI 使用者指南中的指定 Word 的參數值。 AWS CLI
範例 2:建立內含描述的客戶管理政策
下列命令會建立名為
my-policy的客戶管理政策,其中包含不可變的描述:aws iam create-policy \ --policy-namemy-policy\ --policy-documentfile://policy.json\ --description"This policy grants access to all Put, Get, and List actions for my-bucket"檔案
policy.json是目前資料夾中的 JSON 文件,可授予所有 Put、List 和 Get 動作的存取權,該 Amazon S3 儲存貯體的名稱為my-bucket。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }輸出:
{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T22:38:47+00:00", "UpdateDate": "2023-05-24T22:38:47+00:00" } }如需有關以身分為基礎的政策的詳細資訊,請參閱 AWS IAM 使用者指南中的身分型政策和資源型政策。
範例 3:建立內含標籤的客戶管理政策
下列命令會建立名為
my-policy的客戶管理政策,其中包含標籤。此範例使用--tags參數旗標搭配下列 JSON 格式標籤:'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'。或者,--tags旗標可以與速記格式的標籤一起使用:'Key=Department,Value=Accounting Key=Location,Value=Seattle'。aws iam create-policy \ --policy-namemy-policy\ --policy-documentfile://policy.json\ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'檔案
policy.json是目前資料夾中的 JSON 文件,可授予所有 Put、List 和 Get 動作的存取權,該 Amazon S3 儲存貯體的名稱為my-bucket。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }輸出:
{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::12345678012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T23:16:39+00:00", "UpdateDate": "2023-05-24T23:16:39+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, "Key": "Location", "Value": "Seattle" { ] } }如需標記政策的詳細資訊,請參閱 AWS IAM 使用者指南中的標記客戶受管政策。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreatePolicy
。
-
下列程式碼範例示範如何使用 create-role。
- AWS CLI
-
範例 1:建立 IAM 角色
下列
create-role命令會建立名為Test-Role的角色,並將信任政策連接至該角色。aws iam create-role \ --role-nameTest-Role\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json輸出:
{ "Role": { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AKIAIOSFODNN7EXAMPLE", "CreateDate": "2013-06-07T20:43:32.821Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }信任政策在 Test-Role-Trust-Policy.json 檔案中定義為 JSON 文件。(檔案名稱和副檔名沒有意義。) 信任政策必須指定主體。
若要將許可政策連接至角色,請使用
put-role-policy命令。如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word 角色。 AWS IAM
範例 2:建立具有指定工作階段持續時間上限的 IAM 角色
下列
create-role命令會建立名為Test-Role的角色,並設定 7200 秒 (2 小時) 的最長工作階段持續時間。aws iam create-role \ --role-nameTest-Role\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json\ --max-session-duration7200輸出:
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:role/Test-Role", "CreateDate": "2023-05-24T23:50:25+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678012:root" }, "Action": "sts:AssumeRole" } ] } } }如需詳細資訊,請參閱 AWS API 使用者指南中的修改角色最長工作階段持續時間 (Word)。 AWS IAM
範例 3:使用標籤建立 IAM 角色
下列命令會使用
Test-Role標籤建立 IAM 角色。此範例使用--tags參數旗標搭配下列 JSON 格式標籤:'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'。或者,--tags旗標可以與速記格式的標籤一起使用:'Key=Department,Value=Accounting Key=Location,Value=Seattle'。aws iam create-role \ --role-nameTest-Role\ --assume-role-policy-documentfile://Test-Role-Trust-Policy.json\ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'輸出:
{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/Test-Role", "CreateDate": "2023-05-25T23:29:41+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }, "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 角色。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateRole
。
-
下列程式碼範例示範如何使用 create-saml-provider。
- AWS CLI
-
建立 SAML 供應商
此範例會在名為 的 SAML 中建立新的 IAM 供應商
MySAMLProvider。它由檔案 中的 SAML 中繼資料文件描述SAMLMetaData.xml。aws iam create-saml-provider \ --saml-metadata-documentfile://SAMLMetaData.xml\ --nameMySAMLProvider輸出:
{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider" }如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word SAML身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱AWS CLI 命令參考中的 CreateSAMLProvider
。
-
下列程式碼範例示範如何使用 create-service-linked-role。
- AWS CLI
-
建立服務連結角色
下列
create-service-linked-role範例會為指定的服務建立 AWS 服務連結角色,並附加指定的描述。aws iam create-service-linked-role \ --aws-service-namelex.amazonaws.com\ --description"My service-linked role to support Lex"輸出:
{ "Role": { "Path": "/aws-service-role/lex.amazonaws.com/", "RoleName": "AWSServiceRoleForLexBots", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots", "CreateDate": "2019-04-17T20:34:14+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "lex.amazonaws.com" ] } } ] } } }如需詳細資訊,請參閱 AWS IAM 使用者指南中的使用服務連結角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateServiceLinkedRole
。
-
下列程式碼範例示範如何使用 create-service-specific-credential。
- AWS CLI
-
為使用者建立一組服務特定的憑證
下列
create-service-specific-credential範例會建立使用者名稱和密碼,可用來僅存取已設定的服務。aws iam create-service-specific-credential \ --user-namesofia\ --service-namecodecommit.amazonaws.com輸出:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }如需詳細資訊,請參閱 HTTPS 使用者指南中的為 CodeCommit 連線建立 Git 憑證。 AWS CodeCommit
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateServiceSpecificCredential
。
-
下列程式碼範例示範如何使用 create-user。
- AWS CLI
-
範例 1:建立 IAM 使用者
下列
create-user命令會在目前帳戶中建立名為Bob的 IAM 使用者。aws iam create-user \ --user-nameBob輸出:
{ "User": { "UserName": "Bob", "Path": "/", "CreateDate": "2023-06-08T03:20:41.270Z", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } }如需詳細資訊,請參閱 IAM 使用者指南中的在 AWS 帳戶中建立 Word 使用者。 AWS IAM
範例 2:在指定的路徑建立 IAM 使用者
下列
create-user命令會在指定的路徑建立名為Bob的 IAM 使用者。aws iam create-user \ --user-nameBob\ --path/division_abc/subdivision_xyz/輸出:
{ "User": { "Path": "/division_abc/subdivision_xyz/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob", "CreateDate": "2023-05-24T18:20:17+00:00" } }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 識別符。 AWS IAM
範例 3:使用標籤建立 IAM 使用者
下列
create-user命令會建立名為Bob且具有標籤的 IAM 使用者。此範例使用--tags參數旗標搭配下列 JSON 格式標籤:'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'。或者,--tags旗標可以與速記格式的標籤一起使用:'Key=Department,Value=Accounting Key=Location,Value=Seattle'。aws iam create-user \ --user-nameBob\ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'輸出:
{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-25T17:14:21+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 使用者。 AWS IAM
範例 3:建立具有設定許可界限的 IAM 使用者
下列
create-user命令會建立名為 的 IAM 使用者,Bob其具有 AmazonS3FullAccess 的許可界限。aws iam create-user \ --user-nameBob\ --permissions-boundaryarn:aws:iam::aws:policy/AmazonS3FullAccess輸出:
{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-24T17:50:53+00:00", "PermissionsBoundary": { "PermissionsBoundaryType": "Policy", "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" } } }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 實體的許可界限。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateUser
。
-
下列程式碼範例示範如何使用 create-virtual-mfa-device。
- AWS CLI
-
建立虛擬 MFA 裝置
此範例會建立新的虛擬 MFA 裝置,名為
BobsMFADevice。它建立的檔案包含名為 的引導資訊,QRCode.png並將其放置在C:/目錄中。此範例中使用的引導方法是QRCodePNG。aws iam create-virtual-mfa-device \ --virtual-mfa-device-nameBobsMFADevice\ --outfileC:/QRCode.png\ --bootstrap-methodQRCodePNG輸出:
{ "VirtualMFADevice": { "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice" }如需詳細資訊,請參閱 MFA 使用者指南中的使用多重要素驗證 (Word) AWS。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 CreateVirtualMfaDevice
。
-
下列程式碼範例示範如何使用 deactivate-mfa-device。
- AWS CLI
-
若要停用 MFA 裝置
此命令會使用與使用者
arn:aws:iam::210987654321:mfa/BobsMFADevice相關聯的 ARN 停用虛擬 Word MFA 裝置Bob。aws iam deactivate-mfa-device \ --user-nameBob\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice此命令不會產生輸出。
如需詳細資訊,請參閱 MFA 使用者指南中的使用多重要素驗證 (Word) AWS。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeactivateMfaDevice
。
-
下列程式碼範例示範如何使用 decode-authorization-message。
- AWS CLI
-
若要解碼授權失敗訊息
下列
decode-authorization-message範例會解碼 EC2 主控台在嘗試在沒有必要許可的情況下啟動執行個體時傳回的訊息。aws sts decode-authorization-message \ --encoded-messagelxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk輸出會格式化為單行字串的 JSON 文字,您可以使用任何 JSON 文字處理器進行剖析。
{ "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}" }如需詳細資訊,請參閱 AWS re:Post 中的如何在 EC2 執行個體啟動期間收到「UnauthorizedOperation」錯誤後解碼授權失敗訊息?
。 -
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DecodeAuthorizationMessage
。
-
下列程式碼範例示範如何使用 delete-access-key。
- AWS CLI
-
刪除 IAM 使用者的存取金鑰
下列
delete-access-key命令會刪除名為 之 IAM 使用者的指定存取金鑰 (存取金鑰 ID 和秘密存取金鑰)Bob。aws iam delete-access-key \ --access-key-idAKIDPMS9RO4H3FEXAMPLE\ --user-nameBob此命令不會產生輸出。
若要列出為 IAM 使用者定義的存取金鑰,請使用
list-access-keys命令。如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的存取金鑰。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteAccessKey
。
-
下列程式碼範例示範如何使用 delete-account-alias。
- AWS CLI
-
刪除帳戶別名
下列
delete-account-alias命令會移除目前帳戶的別名mycompany。aws iam delete-account-alias \ --account-aliasmycompany此命令不會產生輸出。
如需詳細資訊,請參閱 Word 使用者指南中的AWS 您的帳戶 ID 及其別名。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteAccountAlias
。
-
下列程式碼範例示範如何使用 delete-account-password-policy。
- AWS CLI
-
若要刪除目前的帳戶密碼政策
下列
delete-account-password-policy命令會移除目前帳戶的密碼政策。aws iam delete-account-password-policy此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的為 Word 使用者設定帳戶密碼政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteAccountPasswordPolicy
。
-
下列程式碼範例示範如何使用 delete-group-policy。
- AWS CLI
-
從 IAM 群組刪除政策
下列
delete-group-policy命令會將名為ExamplePolicy的政策從名為Admins的群組中刪除。aws iam delete-group-policy \ --group-nameAdmins\ --policy-nameExamplePolicy此命令不會產生輸出。
若要查看連接至群組的政策,請使用
list-group-policies命令。如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteGroupPolicy
。
-
下列程式碼範例示範如何使用 delete-group。
- AWS CLI
-
若要刪除 IAM 群組
下列
delete-group命令會刪除名為 的 IAM 群組MyTestGroup。aws iam delete-group \ --group-nameMyTestGroup此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的刪除 AWS IAM 使用者群組。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteGroup
。
-
下列程式碼範例示範如何使用 delete-instance-profile。
- AWS CLI
-
刪除執行個體設定檔
下列
delete-instance-profile命令會刪除名為ExampleInstanceProfile的執行個體設定檔。aws iam delete-instance-profile \ --instance-profile-nameExampleInstanceProfile此命令不會產生輸出。
如需詳細資訊,請參閱 AWS IAM 使用者指南中的使用執行個體設定檔。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteInstanceProfile
。
-
下列程式碼範例示範如何使用 delete-login-profile。
- AWS CLI
-
刪除 IAM 使用者的密碼
下列
delete-login-profile命令會刪除名為 之 IAM 使用者的密碼Bob。aws iam delete-login-profile \ --user-nameBob此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的密碼。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteLoginProfile
。
-
下列程式碼範例示範如何使用 delete-open-id-connect-provider。
- AWS CLI
-
若要刪除 IAM OpenID Connect 身分提供者
此範例會刪除連線至OIDC提供者 的 IAM 提供者
example.oidcprovider.com。aws iam delete-open-id-connect-provider \ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com此命令不會產生輸出。
如需詳細資訊,請參閱 OIDC 使用者指南中的建立 OpenID Connect (Word) 身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteOpenIdConnectProvider
。
-
下列程式碼範例示範如何使用 delete-policy-version。
- AWS CLI
-
刪除受管政策的版本
此範例會從 ARN 為 的政策中刪除識別為
v2的版本arn:aws:iam::123456789012:policy/MySamplePolicy。aws iam delete-policy-version \ --policy-arnarn:aws:iam::123456789012:policy/MyPolicy\ --version-idv2此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeletePolicyVersion
。
-
下列程式碼範例示範如何使用 delete-policy。
- AWS CLI
-
若要刪除 IAM 政策
此範例會刪除 ARN 為 的政策
arn:aws:iam::123456789012:policy/MySamplePolicy。aws iam delete-policy \ --policy-arnarn:aws:iam::123456789012:policy/MySamplePolicy此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeletePolicy
。
-
下列程式碼範例示範如何使用 delete-role-permissions-boundary。
- AWS CLI
-
從 IAM 角色刪除許可界限
下列
delete-role-permissions-boundary範例會刪除指定 IAM 角色的許可界限。若要將許可界限套用至角色,請使用put-role-permissions-boundary命令。aws iam delete-role-permissions-boundary \ --role-namelambda-application-role此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteRolePermissionsBoundary
。
-
下列程式碼範例示範如何使用 delete-role-policy。
- AWS CLI
-
從 IAM 角色移除政策
下列
delete-role-policy命令會將名為ExamplePolicy的政策從名為Test-Role的角色中移除。aws iam delete-role-policy \ --role-nameTest-Role\ --policy-nameExamplePolicy此命令不會產生輸出。
如需詳細資訊,請參閱 AWS IAM 使用者指南中的修改角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteRolePolicy
。
-
下列程式碼範例示範如何使用 delete-role。
- AWS CLI
-
若要刪除 IAM 角色
下列
delete-role命令會將名為Test-Role的角色移除。aws iam delete-role \ --role-nameTest-Role此命令不會產生輸出。
刪除角色之前,您必須先從任何執行個體設定檔 (
remove-role-from-instance-profile) 移除該角色、分離任何受管政策 (detach-role-policy),並刪除任何連接至該角色的內嵌政策 (delete-role-policy)。如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word 角色和使用執行個體設定檔。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteRole
。
-
下列程式碼範例示範如何使用 delete-saml-provider。
- AWS CLI
-
刪除 SAML 供應商
此範例會刪除 IAM SAML 為 的 ARN 2
arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.0 供應商。aws iam delete-saml-provider \ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/SAMLADFSProvider此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word SAML身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteSAMLProvider
。
-
下列程式碼範例示範如何使用 delete-server-certificate。
- AWS CLI
-
從 AWS 您的帳戶刪除伺服器憑證
下列
delete-server-certificate命令會從 AWS 您的帳戶中移除指定的伺服器憑證。aws iam delete-server-certificate \ --server-certificate-namemyUpdatedServerCertificate此命令不會產生輸出。
若要列出您 AWS 帳戶中可用的伺服器憑證,請使用
list-server-certificates命令。如需詳細資訊,請參閱 IAM 使用者指南中的在 Word 中管理伺服器憑證。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteServerCertificate
。
-
下列程式碼範例示範如何使用 delete-service-linked-role。
- AWS CLI
-
刪除服務連結角色
下列
delete-service-linked-role範例會刪除您不再需要的指定服務連結角色。刪除會以非同步方式發生。您可以使用get-service-linked-role-deletion-status命令,檢查刪除狀態並確認刪除的時間。aws iam delete-service-linked-role \ --role-nameAWSServiceRoleForLexBots輸出:
{ "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE" }如需詳細資訊,請參閱 AWS IAM 使用者指南中的使用服務連結角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteServiceLinkedRole
。
-
下列程式碼範例示範如何使用 delete-service-specific-credential。
- AWS CLI
-
範例 1:刪除請求使用者的服務特定憑證
下列
delete-service-specific-credential範例會刪除提出請求之使用者的指定服務特定憑證。service-specific-credential-id會在您建立憑證時提供,您可以使用list-service-specific-credentials命令來擷取憑證。aws iam delete-service-specific-credential \ --service-specific-credential-idACCAEXAMPLE123EXAMPLE此命令不會產生輸出。
範例 2:刪除指定使用者的服務特定憑證
下列
delete-service-specific-credential範例會刪除指定使用者的指定服務特定憑證。service-specific-credential-id會在您建立憑證時提供,您可以使用list-service-specific-credentials命令來擷取憑證。aws iam delete-service-specific-credential \ --user-namesofia\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE此命令不會產生輸出。
如需詳細資訊,請參閱 HTTPS 使用者指南中的為 CodeCommit 連線建立 Git 憑證。 AWS CodeCommit
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteServiceSpecificCredential
。
-
下列程式碼範例示範如何使用 delete-signing-certificate。
- AWS CLI
-
刪除 IAM 使用者的簽署憑證
下列
delete-signing-certificate命令會刪除名為 之 IAM 使用者的指定簽署憑證Bob。aws iam delete-signing-certificate \ --user-nameBob\ --certificate-idTA7SMP42TDN5Z26OBPJE7EXAMPLE此命令不會產生輸出。
若要取得簽署憑證的 ID,請使用
list-signing-certificates命令。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的管理簽署憑證。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteSigningCertificate
。
-
下列程式碼範例示範如何使用 delete-ssh-public-key。
- AWS CLI
-
刪除連接至 SSH 使用者的 IAM 公有金鑰
下列
delete-ssh-public-key命令會刪除連接至 SSH 使用者 的指定 IAM 公有金鑰sofia。aws iam delete-ssh-public-key \ --user-namesofia\ --ssh-public-key-idAPKA123456789EXAMPLE此命令不會產生輸出。
如需詳細資訊,請參閱 SSH 使用者指南中的使用 SSH 金鑰和 Word with CodeCommit。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteSshPublicKey
。
-
下列程式碼範例示範如何使用 delete-user-permissions-boundary。
- AWS CLI
-
從 IAM 使用者刪除許可界限
下列
delete-user-permissions-boundary範例會刪除連接至名為 之 IAM 使用者的許可界限intern。若要將許可界限套用至使用者,請使用put-user-permissions-boundary命令。aws iam delete-user-permissions-boundary \ --user-nameintern此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteUserPermissionsBoundary
。
-
下列程式碼範例示範如何使用 delete-user-policy。
- AWS CLI
-
從 IAM 使用者移除政策
下列
delete-user-policy命令會從名為 的 IAM 使用者中移除指定的政策Bob。aws iam delete-user-policy \ --user-nameBob\ --policy-nameExamplePolicy此命令不會產生輸出。
若要取得 IAM 使用者的政策清單,請使用
list-user-policies命令。如需詳細資訊,請參閱 IAM 使用者指南中的在 AWS 帳戶中建立 Word 使用者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteUserPolicy
。
-
下列程式碼範例示範如何使用 delete-user。
- AWS CLI
-
若要刪除 IAM 使用者
下列
delete-user命令會從目前帳戶移除名為 的 IAMBob使用者。aws iam delete-user \ --user-nameBob此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的刪除 AWS IAM 使用者。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteUser
。
-
下列程式碼範例示範如何使用 delete-virtual-mfa-device。
- AWS CLI
-
若要移除虛擬 MFA 裝置
下列
delete-virtual-mfa-device命令會從目前帳戶移除指定的 MFA 裝置。aws iam delete-virtual-mfa-device \ --serial-numberarn:aws:iam::123456789012:mfa/MFATest此命令不會產生輸出。
如需詳細資訊,請參閱 MFA 使用者指南中的停用 Word 裝置。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DeleteVirtualMfaDevice
。
-
下列程式碼範例示範如何使用 detach-group-policy。
- AWS CLI
-
從群組分離政策
此範例會從名為
arn:aws:iam::123456789012:policy/TesterAccessPolicy的群組中移除具有 ARN 的受管政策Testers。aws iam detach-group-policy \ --group-nameTesters\ --policy-arnarn:aws:iam::123456789012:policy/TesterAccessPolicy此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的管理 AWS IAM 使用者群組。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DetachGroupPolicy
。
-
下列程式碼範例示範如何使用 detach-role-policy。
- AWS CLI
-
將政策與角色分離
此範例會從名為
arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy的角色中移除具有 ARN 的受管政策FedTesterRole。aws iam detach-role-policy \ --role-nameFedTesterRole\ --policy-arnarn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy此命令不會產生輸出。
如需詳細資訊,請參閱 AWS IAM 使用者指南中的修改角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DetachRolePolicy
。
-
下列程式碼範例示範如何使用 detach-user-policy。
- AWS CLI
-
將政策與使用者分離
此範例會從使用者 移除具有 ARN
arn:aws:iam::123456789012:policy/TesterPolicy的受管政策Bob。aws iam detach-user-policy \ --user-nameBob\ --policy-arnarn:aws:iam::123456789012:policy/TesterPolicy此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的變更 Word 使用者的許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 DetachUserPolicy
。
-
下列程式碼範例示範如何使用 enable-mfa-device。
- AWS CLI
-
若要啟用 MFA 裝置
使用
create-virtual-mfa-device命令建立新的虛擬 MFA 裝置後,您可以將 MFA 裝置指派給使用者。下列enable-mfa-device範例會將具有序號的 MFA 裝置指派給arn:aws:iam::210987654321:mfa/BobsMFADevice使用者Bob。命令也會 AWS 依序包含來自虛擬 MFA 裝置的前兩個程式碼,以將裝置與 同步。aws iam enable-mfa-device \ --user-nameBob\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice\ --authentication-code1123456\ --authentication-code2789012此命令不會產生輸出。
如需詳細資訊,請參閱 MFA 使用者指南中的啟用虛擬多重要素驗證 (Word) 裝置。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 EnableMfaDevice
。
-
下列程式碼範例示範如何使用 generate-credential-report。
- AWS CLI
-
產生憑證報告
下列範例會嘗試產生 AWS 帳戶的憑證報告。
aws iam generate-credential-report輸出:
{ "State": "STARTED", "Description": "No report exists. Starting a new report generation task" }如需詳細資訊,請參閱 AWS IAM 使用者指南中的取得 AWS 帳戶的憑證報告。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GenerateCredentialReport
。
-
下列程式碼範例示範如何使用 generate-organizations-access-report。
- AWS CLI
-
範例 1:為組織中的根產生存取報告
下列
generate-organizations-access-report範例會啟動背景任務,以建立組織中指定根的存取報告。您可以在建立報告後執行get-organizations-access-report命令來顯示報告。aws iam generate-organizations-access-report \ --entity-patho-4fxmplt198/r-c3xb輸出:
{ "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359" }範例 2:為組織中的帳戶產生存取報告
下列
generate-organizations-access-report範例會啟動背景任務,以在組織123456789012中建立帳戶 ID 的存取報告o-4fxmplt198。您可以在建立報告後執行get-organizations-access-report命令來顯示報告。aws iam generate-organizations-access-report \ --entity-patho-4fxmplt198/r-c3xb/123456789012輸出:
{ "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2" }範例 3:為組織中的組織單位中的帳戶產生存取報告
下列
generate-organizations-access-report範例會啟動背景任務,以在組織ou-c3xb-lmu7j2yg的組織單位234567890123中建立帳戶 ID 的存取報告o-4fxmplt198。您可以在建立報告後執行get-organizations-access-report命令來顯示報告。aws iam generate-organizations-access-report \ --entity-patho-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123輸出:
{ "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af" }若要取得組織中根和組織單位的詳細資訊,請使用
organizations list-roots和organizations list-organizational-units-for-parent命令。如需詳細資訊,請參閱 AWS IAM 使用者指南中的AWS 使用上次存取資訊的精簡許可。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GenerateOrganizationsAccessReport
。
-
下列程式碼範例示範如何使用 generate-service-last-accessed-details。
- AWS CLI
-
範例 1:為自訂政策產生服務存取報告
下列
generate-service-last-accessed-details範例會啟動背景任務,以產生報告,列出 IAM 使用者和其他實體存取的服務,其自訂政策名為intern-boundary。您可以在建立報告後執行get-service-last-accessed-details命令來顯示報告。aws iam generate-service-last-accessed-details \ --arnarn:aws:iam::123456789012:policy/intern-boundary輸出:
{ "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc" }範例 2:為 AWS Managed AdministratorAccess 政策產生服務存取報告
下列
generate-service-last-accessed-details範例會啟動背景任務,以產生報告,列出 IAM 使用者和其他實體使用 AWS 受管AdministratorAccess政策存取的服務。您可以在建立報告後執行get-service-last-accessed-details命令來顯示報告。aws iam generate-service-last-accessed-details \ --arnarn:aws:iam::aws:policy/AdministratorAccess輸出:
{ "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916" }如需詳細資訊,請參閱 AWS IAM 使用者指南中的AWS 使用上次存取資訊的精簡許可。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GenerateServiceLastAccessedDetails
。
-
下列程式碼範例示範如何使用 get-access-key-last-used。
- AWS CLI
-
擷取最後一次使用指定存取金鑰之時機的相關資訊
下列範例會擷取最後一次使用存取金鑰
ABCDEXAMPLE之時機的相關資訊。aws iam get-access-key-last-used \ --access-key-idABCDEXAMPLE輸出:
{ "UserName": "Bob", "AccessKeyLastUsed": { "Region": "us-east-1", "ServiceName": "iam", "LastUsedDate": "2015-06-16T22:45:00Z" } }如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的存取金鑰。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetAccessKeyLastUsed
。
-
下列程式碼範例示範如何使用 get-account-authorization-details。
- AWS CLI
-
列出 AWS 帳戶 IAM 使用者、群組、角色和政策
下列
get-account-authorization-details命令會傳回 AWS 帳戶中所有 IAM 使用者、群組、角色和政策的相關資訊。aws iam get-account-authorization-details輸出:
{ "RoleDetailList": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileList": [ { "InstanceProfileId": "AIPA1234567890EXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "RoleName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role" } ], "RoleName": "EC2role", "Path": "/", "AttachedManagedPolicies": [ { "PolicyName": "AmazonS3FullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" }, { "PolicyName": "AmazonDynamoDBFullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess" } ], "RoleLastUsed": { "Region": "us-west-2", "LastUsedDate": "2019-11-13T17:30:00Z" }, "RolePolicyList": [], "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "GroupDetailList": [ { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, "GroupName": "Admins", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Admins", "CreateDate": "2013-10-14T18:32:24Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" }, "GroupName": "Dev", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Dev", "CreateDate": "2013-10-14T18:33:55Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": [], "GroupName": "Finance", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Finance", "CreateDate": "2013-10-14T18:57:48Z", "GroupPolicyList": [ { "PolicyName": "policygen-201310141157", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "aws-portal:*", "Sid": "Stmt1381777017000", "Resource": "*", "Effect": "Allow" } ] } } ] } ], "UserDetailList": [ { "UserName": "Alice", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:24Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Alice" }, { "UserName": "Bob", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:25Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [ { "PolicyName": "DenyBillingAndIAMPolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } } } ], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Bob" }, { "UserName": "Charlie", "GroupList": [ "Dev" ], "CreateDate": "2013-10-14T18:33:56Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Charlie" } ], "Policies": [ { "PolicyName": "create-update-delete-set-managed-policies", "CreateDate": "2015-02-06T19:58:34Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-02-06T19:58:34Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies", "UpdateDate": "2015-02-06T19:58:34Z" }, { "PolicyName": "S3-read-only-specific-bucket", "CreateDate": "2015-01-21T21:39:41Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-01-21T21:39:41Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::example-bucket", "arn:aws:s3:::example-bucket/*" ] } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket", "UpdateDate": "2015-01-21T23:39:41Z" }, { "PolicyName": "AmazonEC2FullAccess", "CreateDate": "2015-02-06T18:40:15Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2014-10-30T20:59:46Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:*", "Resource": "*" }, { "Effect": "Allow", "Action": "cloudwatch:*", "Resource": "*" }, { "Effect": "Allow", "Action": "autoscaling:*", "Resource": "*" } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess", "UpdateDate": "2015-02-06T18:40:15Z" } ], "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE", "IsTruncated": true }如需詳細資訊,請參閱 Word 使用者指南中的AWS 安全稽核指南。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetAccountAuthorizationDetails
。
-
下列程式碼範例示範如何使用 get-account-password-policy。
- AWS CLI
-
查看目前的帳戶密碼政策
下列
get-account-password-policy命令會顯示有關目前帳戶密碼政策的詳細資訊。aws iam get-account-password-policy輸出:
{ "PasswordPolicy": { "AllowUsersToChangePassword": false, "RequireLowercaseCharacters": false, "RequireUppercaseCharacters": false, "MinimumPasswordLength": 8, "RequireNumbers": true, "RequireSymbols": true } }如果沒有為帳戶定義密碼政策,則該命令會傳回
NoSuchEntity錯誤。如需詳細資訊,請參閱 IAM 使用者指南中的為 Word 使用者設定帳戶密碼政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetAccountPasswordPolicy
。
-
下列程式碼範例示範如何使用 get-account-summary。
- AWS CLI
-
取得目前帳戶中 IAM 實體用量和 IAM 配額的相關資訊
下列
get-account-summary命令會傳回帳戶中目前 IAM 實體用量和目前 IAM 實體配額的相關資訊。aws iam get-account-summary輸出:
{ "SummaryMap": { "UsersQuota": 5000, "GroupsQuota": 100, "InstanceProfiles": 6, "SigningCertificatesPerUserQuota": 2, "AccountAccessKeysPresent": 0, "RolesQuota": 250, "RolePolicySizeQuota": 10240, "AccountSigningCertificatesPresent": 0, "Users": 27, "ServerCertificatesQuota": 20, "ServerCertificates": 0, "AssumeRolePolicySizeQuota": 2048, "Groups": 7, "MFADevicesInUse": 1, "Roles": 3, "AccountMFAEnabled": 1, "MFADevices": 3, "GroupsPerUserQuota": 10, "GroupPolicySizeQuota": 5120, "InstanceProfilesQuota": 100, "AccessKeysPerUserQuota": 2, "Providers": 0, "UserPolicySizeQuota": 2048 } }如需實體限制的詳細資訊,請參閱 IAM 使用者指南中的 Word 和 Word AWS STS 配額。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetAccountSummary
。
-
下列程式碼範例示範如何使用 get-context-keys-for-custom-policy。
- AWS CLI
-
範例 1:列出由一或多個自訂 JSON 政策所參考的內容索引鍵,該政策提供做為命令列上的參數
下列
get-context-keys-for-custom-policy命令會剖析每個提供的政策,並列出這些政策所使用的內容索引鍵。使用此命令來識別您必須提供的內容索引鍵值,才能成功使用政策模擬器命令simulate-custom-policy和simulate-custom-policy。您也可以使用get-context-keys-for-custom-policy命令來擷取 IAM 使用者或角色關聯的所有政策所使用的內容索引鍵清單。以file://開頭的參數值指示命令讀取檔案,並使用 內容作為 參數的值,而非檔案名稱本身。aws iam get-context-keys-for-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'輸出:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }範例 2:列出一個或多個以檔案輸入形式提供的自訂 JSON 政策所參考的內容索引鍵
下列
get-context-keys-for-custom-policy命令與上一個範例相同,但政策是在 檔案中提供,而不是作為 參數。由於 命令預期會出現字串的 JSON 清單,而不是 JSON 結構的清單,因此檔案必須如下所示,但您可以將其收合為一個。[ "Policy1", "Policy2" ]例如,包含上一個範例政策的檔案必須如下所示。您必須在政策字串前面加上反斜線 '',以逸出政策字串中的每個內嵌雙引號。
[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]此檔案接著可以提交至下列命令。
aws iam get-context-keys-for-custom-policy \ --policy-input-listfile://policyfile.json輸出:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }如需詳細資訊,請參閱 IAM 使用者指南中的使用 Word 政策模擬器 (AWS CLI 和 AWS API)。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetContextKeysForCustomPolicy
。
-
下列程式碼範例示範如何使用 get-context-keys-for-principal-policy。
- AWS CLI
-
列出與 IAM 主體相關聯的所有政策所參考的內容索引鍵
下列
get-context-keys-for-principal-policy命令會擷取連接至使用者的所有政策,saanvi以及她所屬的任何群組。然後,它會剖析每個 ,並列出這些政策所使用的內容索引鍵。使用此命令來識別您必須提供的內容索引鍵值,才能成功使用simulate-custom-policy和simulate-principal-policy命令。您也可以使用get-context-keys-for-custom-policy命令來擷取任意 JSON 政策所使用的內容索引鍵清單。aws iam get-context-keys-for-principal-policy \ --policy-source-arnarn:aws:iam::123456789012:user/saanvi輸出:
{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }如需詳細資訊,請參閱 IAM 使用者指南中的使用 Word 政策模擬器 (AWS CLI 和 AWS API)。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetContextKeysForPrincipalPolicy
。
-
下列程式碼範例示範如何使用 get-credential-report。
- AWS CLI
-
取得憑證報告
此範例會開啟傳回的報告,並以文字行陣列的形式將其輸出至管道。
aws iam get-credential-report輸出:
{ "GeneratedTime": "2015-06-17T19:11:50Z", "ReportFormat": "text/csv" }如需詳細資訊,請參閱 AWS IAM 使用者指南中的取得 AWS 帳戶的憑證報告。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetCredentialReport
。
-
下列程式碼範例示範如何使用 get-group-policy。
- AWS CLI
-
若要取得連接至 IAM 群組的政策相關資訊
下列
get-group-policy命令會取得連接至名為 之群組的指定政策的相關資訊Test-Group。aws iam get-group-policy \ --group-nameTest-Group\ --policy-nameS3-ReadOnly-Policy輸出:
{ "GroupName": "Test-Group", "PolicyDocument": { "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*", "Effect": "Allow" } ] }, "PolicyName": "S3-ReadOnly-Policy" }如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetGroupPolicy
。
-
下列程式碼範例示範如何使用 get-group。
- AWS CLI
-
若要取得 IAM 群組
此範例會傳回 IAM 群組 的詳細資訊
Admins。aws iam get-group \ --group-nameAdmins輸出:
{ "Group": { "Path": "/", "CreateDate": "2015-06-16T19:41:48Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, "Users": [] }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 身分 (使用者、使用者群組和角色)。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetGroup
。
-
下列程式碼範例示範如何使用 get-instance-profile。
- AWS CLI
-
取得執行個體設定檔的相關資訊
下列
get-instance-profile命令會取得名為 之執行個體設定檔的相關資訊ExampleInstanceProfile。aws iam get-instance-profile \ --instance-profile-nameExampleInstanceProfile輸出:
{ "InstanceProfile": { "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDGPMS9RO4H3FEXAMPLE", "CreateDate": "2013-01-09T06:33:26Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::336924118301:role/Test-Role" } ], "CreateDate": "2013-06-12T23:52:02Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile" } }如需詳細資訊,請參閱 AWS IAM 使用者指南中的使用執行個體設定檔。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetInstanceProfile
。
-
下列程式碼範例示範如何使用 get-login-profile。
- AWS CLI
-
取得 IAM 使用者的密碼資訊
下列
get-login-profile命令會取得名為 之 IAM 使用者的密碼相關資訊Bob。aws iam get-login-profile \ --user-nameBob輸出:
{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2012-09-21T23:03:39Z" } }get-login-profile命令可用來驗證 IAM 使用者是否具有密碼。如果未為使用者定義密碼,命令會傳回NoSuchEntity錯誤。您無法使用此命令檢視密碼。如果密碼遺失,您可以為使用者重設密碼 (
update-login-profile)。或者,您可以刪除使用者的登入設定檔 (delete-login-profile),然後建立新的設定檔 (create-login-profile)。如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的密碼。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetLoginProfile
。
-
下列程式碼範例示範如何使用 get-mfa-device。
- AWS CLI
-
擷取 FIDO 安全金鑰的相關資訊
下列
get-mfa-device命令範例會擷取指定 FIDO 安全金鑰的相關資訊。aws iam get-mfa-device \ --serial-numberarn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE輸出:
{ "UserName": "alice", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00", "Certifications": { "FIDO": "L1" } }如需詳細資訊,請參閱 MFA 使用者指南中的使用多重要素驗證 (Word) AWS。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetMfaDevice
。
-
下列程式碼範例示範如何使用 get-open-id-connect-provider。
- AWS CLI
-
傳回指定 OpenID Connect 供應商的相關資訊
此範例會傳回 ARN 為 的 OpenID Connect 提供者詳細資訊
arn:aws:iam::123456789012:oidc-provider/server.example.com。aws iam get-open-id-connect-provider \ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/server.example.com輸出:
{ "Url": "server.example.com" "CreateDate": "2015-06-16T19:41:48Z", "ThumbprintList": [ "12345abcdefghijk67890lmnopqrst987example" ], "ClientIDList": [ "example-application-ID" ] }如需詳細資訊,請參閱 OIDC 使用者指南中的建立 OpenID Connect (Word) 身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetOpenIdConnectProvider
。
-
下列程式碼範例示範如何使用 get-organizations-access-report。
- AWS CLI
-
擷取存取報告
下列
get-organizations-access-report範例顯示先前為 AWS Organizations 實體產生的存取報告。若要產生報告,請使用generate-organizations-access-report命令。aws iam get-organizations-access-report \ --job-ida8b6c06f-aaa4-8xmp-28bc-81da71836359輸出:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-09-30T06:53:36.187Z", "JobCompletionDate": "2019-09-30T06:53:37.547Z", "NumberOfServicesAccessible": 188, "NumberOfServicesNotAccessed": 171, "AccessDetails": [ { "ServiceName": "Alexa for Business", "ServiceNamespace": "a4b", "TotalAuthenticatedEntities": 0 }, ... }如需詳細資訊,請參閱 AWS IAM 使用者指南中的AWS 使用上次存取資訊的精簡許可。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetOrganizationsAccessReport
。
-
下列程式碼範例示範如何使用 get-policy-version。
- AWS CLI
-
擷取指定受管政策指定版本的相關資訊
此範例會傳回 ARN 為 之政策 v2 版本的政策文件
arn:aws:iam::123456789012:policy/MyManagedPolicy。aws iam get-policy-version \ --policy-arnarn:aws:iam::123456789012:policy/MyPolicy\ --version-idv2輸出:
{ "PolicyVersion": { "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } ] }, "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2023-04-11T00:22:54+00:00" } }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetPolicyVersion
。
-
下列程式碼範例示範如何使用 get-policy。
- AWS CLI
-
擷取指定受管政策的相關資訊
此範例會傳回 ARN 為 的受管政策詳細資訊
arn:aws:iam::123456789012:policy/MySamplePolicy。aws iam get-policy \ --policy-arnarn:aws:iam::123456789012:policy/MySamplePolicy輸出:
{ "Policy": { "PolicyName": "MySamplePolicy", "CreateDate": "2015-06-17T19:23;32Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy", "UpdateDate": "2015-06-17T19:23:32Z" } }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetPolicy
。
-
下列程式碼範例示範如何使用 get-role-policy。
- AWS CLI
-
取得附加至 IAM 角色的政策相關資訊
下列
get-role-policy命令會取得連接至名為 之角色的指定政策的相關資訊Test-Role。aws iam get-role-policy \ --role-nameTest-Role\ --policy-nameExamplePolicy輸出:
{ "RoleName": "Test-Role", "PolicyDocument": { "Statement": [ { "Action": [ "s3:ListBucket", "s3:Put*", "s3:Get*", "s3:*MultipartUpload*" ], "Resource": "*", "Effect": "Allow", "Sid": "1" } ] } "PolicyName": "ExamplePolicy" }如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word 角色。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetRolePolicy
。
-
下列程式碼範例示範如何使用 get-role。
- AWS CLI
-
取得 IAM 角色的相關資訊
下列
get-role命令會取得名為Test-Role之角色的相關資訊。aws iam get-role \ --role-nameTest-Role輸出:
{ "Role": { "Description": "Test Role", "AssumeRolePolicyDocument":"<URL-encoded-JSON>", "MaxSessionDuration": 3600, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2019-11-13T16:45:56Z", "RoleName": "Test-Role", "Path": "/", "RoleLastUsed": { "Region": "us-east-1", "LastUsedDate": "2019-11-13T17:14:00Z" }, "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }該命令會顯示連接至角色的信任政策。若要列出連接至角色的許可政策,請使用
list-role-policies命令。如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word 角色。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetRole
。
-
下列程式碼範例示範如何使用 get-saml-provider。
- AWS CLI
-
擷取 SAML 提供者中繼資料
此範例會擷取 SAML 為 之 ARM 2.0 供應商的詳細資訊
arn:aws:iam::123456789012:saml-provider/SAMLADFS。回應包含您從身分提供者取得以建立 AWS SAML 提供者實體的中繼資料文件,以及建立和過期日期。aws iam get-saml-provider \ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/SAMLADFS輸出:
{ "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...", "CreateDate": "2017-03-06T22:29:46+00:00", "ValidUntil": "2117-03-06T22:29:46.433000+00:00", "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word SAML身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetSamlProvider
。
-
下列程式碼範例示範如何使用 get-server-certificate。
- AWS CLI
-
若要取得 AWS 帳戶中伺服器憑證的詳細資訊
下列
get-server-certificate命令會擷取您 AWS 帳戶中指定伺服器憑證的所有詳細資訊。aws iam get-server-certificate \ --server-certificate-namemyUpdatedServerCertificate輸出:
{ "ServerCertificate": { "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, "CertificateBody": "-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----", "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md 7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----" } }若要列出您 AWS 帳戶中可用的伺服器憑證,請使用
list-server-certificates命令。如需詳細資訊,請參閱 IAM 使用者指南中的在 Word 中管理伺服器憑證。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetServerCertificate
。
-
下列程式碼範例示範如何使用 get-service-last-accessed-details-with-entities。
- AWS CLI
-
擷取服務存取報告,其中包含服務的詳細資訊
下列
get-service-last-accessed-details-with-entities範例會擷取包含 IAM 使用者和其他存取指定服務之實體的詳細資訊的報告。若要產生報告,請使用generate-service-last-accessed-details命令。若要取得使用命名空間存取的服務清單,請使用get-service-last-accessed-details。aws iam get-service-last-accessed-details-with-entities \ --job-id78b6c2ba-d09e-6xmp-7039-ecde30b26916\ --service-namespacelambda輸出:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:55:41.756Z", "JobCompletionDate": "2019-10-01T03:55:42.533Z", "EntityDetailsList": [ { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/admin", "Name": "admin", "Type": "USER", "Id": "AIDAIO2XMPLENQEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-30T23:02:00Z" }, { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/developer", "Name": "developer", "Type": "USER", "Id": "AIDAIBEYXMPL2YEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-16T19:34:00Z" } ] }如需詳細資訊,請參閱 AWS IAM 使用者指南中的AWS 使用上次存取資訊的精簡許可。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetServiceLastAccessedDetailsWithEntities
。
-
下列程式碼範例示範如何使用 get-service-last-accessed-details。
- AWS CLI
-
擷取服務存取報告
下列
get-service-last-accessed-details範例會擷取先前產生的報告,列出 IAM 實體存取的服務。若要產生報告,請使用generate-service-last-accessed-details命令。aws iam get-service-last-accessed-details \ --job-id2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc輸出:
{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:50:35.929Z", "ServicesLastAccessed": [ ... { "ServiceName": "AWS Lambda", "LastAuthenticated": "2019-09-30T23:02:00Z", "ServiceNamespace": "lambda", "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin", "TotalAuthenticatedEntities": 6 }, ] }如需詳細資訊,請參閱 AWS IAM 使用者指南中的AWS 使用上次存取資訊的精簡許可。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetServiceLastAccessedDetails
。
-
下列程式碼範例示範如何使用 get-service-linked-role-deletion-status。
- AWS CLI
-
檢查刪除服務連結角色的請求狀態
下列
get-service-linked-role-deletion-status範例會顯示刪除服務連結角色之先前請求的狀態。刪除操作會以非同步方式發生。提出請求時,就會取得您提供作為此命令參數的DeletionTaskId值。aws iam get-service-linked-role-deletion-status \ --deletion-task-idtask/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE輸出:
{ "Status": "SUCCEEDED" }如需詳細資訊,請參閱 AWS IAM 使用者指南中的使用服務連結角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetServiceLinkedRoleDeletionStatus
。
-
下列程式碼範例示範如何使用 get-ssh-public-key。
- AWS CLI
-
範例 1:擷取以 SSH 編碼形式連接至 IAM 使用者的 SSH 公有金鑰
下列
get-ssh-public-key命令會從 SSH 使用者 擷取指定的 IAM 公有金鑰sofia。輸出為 SSH 編碼。aws iam get-ssh-public-key \ --user-namesofia\ --ssh-public-key-idAPKA123456789EXAMPLE\ --encodingSSH輸出:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }範例 2:擷取以 SSH 編碼形式連接至 IAM 使用者的 PEM 公有金鑰
下列
get-ssh-public-key命令會從 SSH 使用者 擷取指定的 IAM 公有金鑰sofia。輸出為 PEM 編碼。aws iam get-ssh-public-key \ --user-namesofia\ --ssh-public-key-idAPKA123456789EXAMPLE\ --encodingPEM輸出:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }如需詳細資訊,請參閱 SSH 使用者指南中的使用 SSH 金鑰和 Word with CodeCommit。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetSshPublicKey
。
-
下列程式碼範例示範如何使用 get-user-policy。
- AWS CLI
-
列出 IAM 使用者的政策詳細資訊
下列
get-user-policy命令會列出連接至名為 之 IAM 使用者的指定政策詳細資訊Bob。aws iam get-user-policy \ --user-nameBob\ --policy-nameExamplePolicy輸出:
{ "UserName": "Bob", "PolicyName": "ExamplePolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow" } ] } }若要取得 IAM 使用者的政策清單,請使用
list-user-policies命令。如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetUserPolicy
。
-
下列程式碼範例示範如何使用 get-user。
- AWS CLI
-
取得 IAM 使用者的相關資訊
下列
get-user命令會取得名為 的 IAM 使用者相關資訊Paulo。aws iam get-user \ --user-namePaulo輸出:
{ "User": { "UserName": "Paulo", "Path": "/", "CreateDate": "2019-09-21T23:03:13Z", "UserId": "AIDA123456789EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Paulo" } }如需詳細資訊,請參閱 IAM 使用者指南中的管理 AWS IAM 使用者。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GetUser
。
-
下列程式碼範例示範如何使用 list-access-keys。
- AWS CLI
-
列出 IDs 使用者的存取金鑰 IAM
下列
list-access-keys命令會列出名為 之 IDs 使用者的存取金鑰 IAMBob。aws iam list-access-keys \ --user-nameBob輸出:
{ "AccessKeyMetadata": [ { "UserName": "Bob", "Status": "Active", "CreateDate": "2013-06-04T18:17:34Z", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" }, { "UserName": "Bob", "Status": "Inactive", "CreateDate": "2013-06-06T20:42:26Z", "AccessKeyId": "AKIAI44QH8DHBEXAMPLE" } ] }您無法列出 IAM 使用者的秘密存取金鑰。如果私密存取金鑰遺失,您必須使用
create-access-keys命令建立新的存取金鑰。如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的存取金鑰。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListAccessKeys
。
-
下列程式碼範例示範如何使用 list-account-aliases。
- AWS CLI
-
列出帳戶別名
下列
list-account-aliases命令會列出目前帳戶的別名。aws iam list-account-aliases輸出:
{ "AccountAliases": [ "mycompany" ] }如需詳細資訊,請參閱 Word 使用者指南中的AWS 您的帳戶 ID 及其別名。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListAccountAliases
。
-
下列程式碼範例示範如何使用 list-attached-group-policies。
- AWS CLI
-
列出連接至指定群組的所有受管政策
此範例會傳回連接到
AdminsAWS 帳戶中名為 ARNs 群組的受管政策的名稱和 IAM。aws iam list-attached-group-policies \ --group-nameAdmins輸出:
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListAttachedGroupPolicies
。
-
下列程式碼範例示範如何使用 list-attached-role-policies。
- AWS CLI
-
列出連接至指定角色的所有受管政策
此命令會傳回連接到
SecurityAuditRoleAWS 帳戶中名為 ARNs 角色之受管政策的名稱和 IAM。aws iam list-attached-role-policies \ --role-nameSecurityAuditRole輸出:
{ "AttachedPolicies": [ { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListAttachedRolePolicies
。
-
下列程式碼範例示範如何使用 list-attached-user-policies。
- AWS CLI
-
列出連接至指定使用者的所有受管政策
此命令會傳回
BobAWS 帳戶中名為 ARNs 使用者的受管政策名稱和 IAM。aws iam list-attached-user-policies \ --user-nameBob輸出:
{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListAttachedUserPolicies
。
-
下列程式碼範例示範如何使用 list-entities-for-policy。
- AWS CLI
-
若要列出指定受管政策所連接的所有使用者、群組和角色
此範例會傳回已
arn:aws:iam::123456789012:policy/TestPolicy連接政策的 IAM 群組、角色和使用者的清單。aws iam list-entities-for-policy \ --policy-arnarn:aws:iam::123456789012:policy/TestPolicy輸出:
{ "PolicyGroups": [ { "GroupName": "Admins", "GroupId": "AGPACKCEVSQ6C2EXAMPLE" } ], "PolicyUsers": [ { "UserName": "Alice", "UserId": "AIDACKCEVSQ6C2EXAMPLE" } ], "PolicyRoles": [ { "RoleName": "DevRole", "RoleId": "AROADBQP57FF2AEXAMPLE" } ], "IsTruncated": false }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListEntitiesForPolicy
。
-
下列程式碼範例示範如何使用 list-group-policies。
- AWS CLI
-
列出連接至指定群組的所有內嵌政策
下列
list-group-policies命令會列出連接至Admins目前帳戶中名為 之 IAM 群組的內嵌政策名稱。aws iam list-group-policies \ --group-nameAdmins輸出:
{ "PolicyNames": [ "AdminRoot", "ExamplePolicy" ] }如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListGroupPolicies
。
-
下列程式碼範例示範如何使用 list-groups-for-user。
- AWS CLI
-
列出 IAM 使用者所屬的群組
下列
list-groups-for-user命令會顯示名為 的 IAM 使用者Bob所屬的群組。aws iam list-groups-for-user \ --user-nameBob輸出:
{ "Groups": [ { "Path": "/", "CreateDate": "2013-05-06T01:18:08Z", "GroupId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admin", "GroupName": "Admin" }, { "Path": "/", "CreateDate": "2013-05-06T01:37:28Z", "GroupId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/s3-Users", "GroupName": "s3-Users" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的管理 AWS IAM 使用者群組。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListGroupsForUser
。
-
下列程式碼範例示範如何使用 list-groups。
- AWS CLI
-
列出目前帳戶的 IAM 群組
下列
list-groups命令會列出目前帳戶中的 IAM 群組。aws iam list-groups輸出:
{ "Groups": [ { "Path": "/", "CreateDate": "2013-06-04T20:27:27.972Z", "GroupId": "AIDACKCEVSQ6C2EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, { "Path": "/", "CreateDate": "2013-04-16T20:30:42Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/S3-Admins", "GroupName": "S3-Admins" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的管理 AWS IAM 使用者群組。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListGroups
。
-
下列程式碼範例示範如何使用 list-instance-profile-tags。
- AWS CLI
-
列出連接至執行個體設定檔的標籤
下列
list-instance-profile-tags命令會擷取與指定執行個體設定檔相關聯的標籤清單。aws iam list-instance-profile-tags \ --instance-profile-namedeployment-role輸出:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListInstanceProfileTags
。
-
下列程式碼範例示範如何使用 list-instance-profiles-for-role。
- AWS CLI
-
列出 IAM 角色的執行個體設定檔
下列
list-instance-profiles-for-role命令會列出與角色 相關聯的執行個體設定檔Test-Role。aws iam list-instance-profiles-for-role \ --role-nameTest-Role輸出:
{ "InstanceProfiles": [ { "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDACKCEVSQ6C2EXAMPLE", "CreateDate": "2013-06-07T20:42:15Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } ], "CreateDate": "2013-06-07T21:05:24Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile" } ] }如需詳細資訊,請參閱 AWS IAM 使用者指南中的使用執行個體設定檔。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListInstanceProfilesForRole
。
-
下列程式碼範例示範如何使用 list-instance-profiles。
- AWS CLI
-
列出帳戶的執行個體設定檔
下列
list-instance-profiles命令會列出與目前帳戶相關聯的執行個體設定檔。aws iam list-instance-profiles輸出:
{ "InstanceProfiles": [ { "Path": "/", "InstanceProfileName": "example-dev-role", "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role", "CreateDate": "2023-09-21T18:17:41+00:00", "Roles": [ { "Path": "/", "RoleName": "example-dev-role", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-dev-role", "CreateDate": "2023-09-21T18:17:40+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] }, { "Path": "/", "InstanceProfileName": "example-s3-role", "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role", "CreateDate": "2023-09-21T18:18:50+00:00", "Roles": [ { "Path": "/", "RoleName": "example-s3-role", "RoleId": "AROAINUBC5O7XLEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-s3-role", "CreateDate": "2023-09-21T18:18:49+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] } ] }如需詳細資訊,請參閱 AWS IAM 使用者指南中的使用執行個體設定檔。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListInstanceProfiles
。
-
下列程式碼範例示範如何使用 list-mfa-device-tags。
- AWS CLI
-
列出連接至 MFA 裝置的標籤
下列
list-mfa-device-tags命令會擷取與指定 MFA 裝置相關聯的標籤清單。aws iam list-mfa-device-tags \ --serial-numberarn:aws:iam::123456789012:mfa/alice輸出:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListMfaDeviceTags
。
-
下列程式碼範例示範如何使用 list-mfa-devices。
- AWS CLI
-
列出指定使用者的所有 MFA 裝置
此範例會傳回指派給 MFA 使用者 之 IAM 裝置的詳細資訊
Bob。aws iam list-mfa-devices \ --user-nameBob輸出:
{ "MFADevices": [ { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob", "EnableDate": "2019-10-28T20:37:09+00:00" }, { "UserName": "Bob", "SerialNumber": "GAKT12345678", "EnableDate": "2023-02-18T21:44:42+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE", "EnableDate": "2023-09-19T02:25:35+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00" } ] }如需詳細資訊,請參閱 MFA 使用者指南中的使用多重要素驗證 (Word) AWS。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListMfaDevices
。
-
下列程式碼範例示範如何使用 list-open-id-connect-provider-tags。
- AWS CLI
-
列出連接至 OpenID Connect (OIDC) 相容身分提供者的標籤
下列
list-open-id-connect-provider-tags命令會擷取與指定 OIDC 身分提供者相關聯的標籤清單。aws iam list-open-id-connect-provider-tags \ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/server.example.com輸出:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListOpenIdConnectProviderTags
。
-
下列程式碼範例示範如何使用 list-open-id-connect-providers。
- AWS CLI
-
列出 AWS 帳戶中 OpenID Connect 供應商的相關資訊
此範例會傳回目前 AWS 帳戶中定義之所有 OpenID Connect 供應商的 ARNS 清單。
aws iam list-open-id-connect-providers輸出:
{ "OpenIDConnectProviderList": [ { "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com" } ] }如需詳細資訊,請參閱 OIDC 使用者指南中的建立 OpenID Connect (Word) 身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListOpenIdConnectProviders
。
-
下列程式碼範例示範如何使用 list-policies-granting-service-access。
- AWS CLI
-
列出授予委託人存取指定服務的政策
下列
list-policies-granting-service-access範例會擷取授予 IAM 使用者對 AWS CodeCommit 服務sofia存取權的政策清單。aws iam list-policies-granting-service-access \ --arnarn:aws:iam::123456789012:user/sofia\ --service-namespacescodecommit輸出:
{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "codecommit", "Policies": [ { "PolicyName": "Grant-Sofia-Access-To-CodeCommit", "PolicyType": "INLINE", "EntityType": "USER", "EntityName": "sofia" } ] } ], "IsTruncated": false }如需詳細資訊,請參閱 IAM 使用者指南中的使用 CodeCommit 搭配 Word:Git 憑證、SSH 金鑰和 AWS 存取金鑰。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListPoliciesGrantingServiceAccess
。
-
下列程式碼範例示範如何使用 list-policies。
- AWS CLI
-
列出您 AWS 帳戶可用的受管政策
此範例會傳回目前 AWS 帳戶中可用的前兩個受管政策集合。
aws iam list-policies \ --max-items3輸出:
{ "Policies": [ { "PolicyName": "AWSCloudTrailAccessPolicy", "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2019-09-04T17:43:42+00:00", "UpdateDate": "2019-09-04T17:43:42+00:00" }, { "PolicyName": "AdministratorAccess", "PolicyId": "ANPAIWMBCKSKIEE64ZLYK", "Arn": "arn:aws:iam::aws:policy/AdministratorAccess", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 6, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:46+00:00", "UpdateDate": "2015-02-06T18:39:46+00:00" }, { "PolicyName": "PowerUserAccess", "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS", "Arn": "arn:aws:iam::aws:policy/PowerUserAccess", "Path": "/", "DefaultVersionId": "v5", "AttachmentCount": 1, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:47+00:00", "UpdateDate": "2023-07-06T22:04:00+00:00" } ], "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ==" }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListPolicies
。
-
下列程式碼範例示範如何使用 list-policy-tags。
- AWS CLI
-
列出連接至受管政策的標籤
下列
list-policy-tags命令會擷取與指定受管政策相關聯的標籤清單。aws iam list-policy-tags \ --policy-arnarn:aws:iam::123456789012:policy/billing-access輸出:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListPolicyTags
。
-
下列程式碼範例示範如何使用 list-policy-versions。
- AWS CLI
-
列出指定受管政策版本的相關資訊
此範例會傳回 ARN 為 之政策的可用版本清單
arn:aws:iam::123456789012:policy/MySamplePolicy。aws iam list-policy-versions \ --policy-arnarn:aws:iam::123456789012:policy/MySamplePolicy輸出:
{ "IsTruncated": false, "Versions": [ { "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2015-06-02T23:19:44Z" }, { "VersionId": "v1", "IsDefaultVersion": false, "CreateDate": "2015-06-02T22:30:47Z" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListPolicyVersions
。
-
下列程式碼範例示範如何使用 list-role-policies。
- AWS CLI
-
列出連接至 IAM 角色的政策
下列
list-role-policies命令會列出指定 IAM 角色的許可政策名稱。aws iam list-role-policies \ --role-nameTest-Role輸出:
{ "PolicyNames": [ "ExamplePolicy" ] }若要查看連接至角色的信任政策,請使用
get-role命令。若要查看許可政策的詳細資訊,請使用get-role-policy命令。如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word 角色。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListRolePolicies
。
-
下列程式碼範例示範如何使用 list-role-tags。
- AWS CLI
-
列出連接至角色的標籤
下列
list-role-tags命令會擷取與指定角色相關聯的標籤清單。aws iam list-role-tags \ --role-nameproduction-role輸出:
{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListRoleTags
。
-
下列程式碼範例示範如何使用 list-roles。
- AWS CLI
-
列出目前帳戶的 IAM 角色
下列
list-roles命令會列出目前帳戶的 IAM 角色。aws iam list-roles輸出:
{ "Roles": [ { "Path": "/", "RoleName": "ExampleRole", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/ExampleRole", "CreateDate": "2017-09-12T19:23:36+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 }, { "Path": "/example_path/", "RoleName": "ExampleRoleWithPath", "RoleId": "AROAI4QRP7UFT7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath", "CreateDate": "2023-09-21T20:29:38+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 } ] }如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word 角色。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListRoles
。
-
下列程式碼範例示範如何使用 list-saml-provider-tags。
- AWS CLI
-
列出連接至 SAML 提供者的標籤
下列
list-saml-provider-tags命令會擷取與指定 SAML 提供者相關聯的標籤清單。aws iam list-saml-provider-tags \ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/ADFS輸出:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListSamlProviderTags
。
-
下列程式碼範例示範如何使用 list-saml-providers。
- AWS CLI
-
列出 AWS 帳戶中的 SAML 供應商
此範例會擷取在目前 AWS 帳戶中建立的 SAML 2.0 供應商清單。
aws iam list-saml-providers輸出:
{ "SAMLProviderList": [ { "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS", "ValidUntil": "2015-06-05T22:45:14Z", "CreateDate": "2015-06-05T22:45:14Z" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word SAML身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListSAMLProviders
。
-
下列程式碼範例示範如何使用 list-server-certificate-tags。
- AWS CLI
-
列出連接至伺服器憑證的標籤
下列
list-server-certificate-tags命令會擷取與指定伺服器憑證相關聯的標籤清單。aws iam list-server-certificate-tags \ --server-certificate-nameExampleCertificate輸出:
{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListServerCertificateTags
。
-
下列程式碼範例示範如何使用 list-server-certificates。
- AWS CLI
-
列出您 AWS 帳戶中的伺服器憑證
下列
list-server-certificates命令會列出儲存在您 AWS 帳戶中且可用於 的所有伺服器憑證。aws iam list-server-certificates輸出:
{ "ServerCertificateMetadataList": [ { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, { "Path": "/cloudfront/", "ServerCertificateName": "MyTestCert", "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert", "UploadDate": "2015-04-21T18:14:16+00:00", "Expiration": "2018-01-14T17:52:36+00:00" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的在 Word 中管理伺服器憑證。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListServerCertificates
。
-
下列程式碼範例示範如何使用 list-service-specific-credential。
- AWS CLI
-
範例 1:列出使用者的服務特定憑證
下列
list-service-specific-credentials範例顯示指派給指定使用者的所有服務特定憑證。密碼不包含在回應中。aws iam list-service-specific-credentials \ --user-namesofia輸出:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }範例 2:列出篩選至指定服務之使用者的服務特定憑證
下列
list-service-specific-credentials範例顯示指派給提出請求之使用者的服務特定憑證。系統會篩選清單,以僅包含指定服務的這些憑證。密碼不包含在回應中。aws iam list-service-specific-credentials \ --service-namecodecommit.amazonaws.com輸出:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }如需詳細資訊,請參閱 HTTPS 使用者指南中的為 CodeCommit 連線建立 Git 憑證。 AWS CodeCommit
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListServiceSpecificCredential
。
-
下列程式碼範例示範如何使用 list-service-specific-credentials。
- AWS CLI
-
擷取憑證清單
下列
list-service-specific-credentials範例會列出針對名為 之使用者對 HTTPS 儲存庫的 AWS CodeCommit 存取所產生的憑證developer。aws iam list-service-specific-credentials \ --user-namedeveloper\ --service-namecodecommit.amazonaws.com輸出:
{ "ServiceSpecificCredentials": [ { "UserName": "developer", "Status": "Inactive", "ServiceUserName": "developer-at-123456789012", "CreateDate": "2019-10-01T04:31:41Z", "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE", "ServiceName": "codecommit.amazonaws.com" }, { "UserName": "developer", "Status": "Active", "ServiceUserName": "developer+1-at-123456789012", "CreateDate": "2019-10-01T04:31:45Z", "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP", "ServiceName": "codecommit.amazonaws.com" } ] }如需詳細資訊,請參閱 HTTPS 使用者指南中的為 CodeCommit 連線建立 Git 憑證。 AWS CodeCommit
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListServiceSpecificCredentials
。
-
下列程式碼範例示範如何使用 list-signing-certificates。
- AWS CLI
-
列出 IAM 使用者的簽署憑證
下列
list-signing-certificates命令會列出名為 之 IAM 使用者的簽署憑證Bob。aws iam list-signing-certificates \ --user-nameBob輸出:
{ "Certificates": [ { "UserName": "Bob", "Status": "Inactive", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08Z" } ] }如需詳細資訊,請參閱 Amazon EC2 使用者指南中的管理簽署憑證。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListSigningCertificates
。
-
下列程式碼範例示範如何使用 list-ssh-public-keys。
- AWS CLI
-
列出連接至 SSH 使用者的 IAM 公有金鑰
下列
list-ssh-public-keys範例列出連接至 SSH 使用者 的 IAM 公有金鑰sofia。aws iam list-ssh-public-keys \ --user-namesofia輸出:
{ "SSHPublicKeys": [ { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } ] }如需詳細資訊,請參閱 SSH 使用者指南中的使用 SSH 金鑰和 Word with CodeCommit AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListSshPublicKeys
。
-
下列程式碼範例示範如何使用 list-user-policies。
- AWS CLI
-
列出 IAM 使用者的政策
下列
list-user-policies命令會列出連接至名為 的 IAM 使用者的政策Bob。aws iam list-user-policies \ --user-nameBob輸出:
{ "PolicyNames": [ "ExamplePolicy", "TestPolicy" ] }如需詳細資訊,請參閱 IAM 使用者指南中的在 AWS 帳戶中建立 Word 使用者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListUserPolicies
。
-
下列程式碼範例示範如何使用 list-user-tags。
- AWS CLI
-
列出連接至使用者的標籤
下列
list-user-tags命令會擷取與指定 IAM 使用者相關聯的標籤清單。aws iam list-user-tags \ --user-namealice輸出:
{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListUserTags
。
-
下列程式碼範例示範如何使用 list-users。
- AWS CLI
-
列出 IAM 使用者
下列
list-users命令會列出目前帳戶中的 IAM 使用者。aws iam list-users輸出:
{ "Users": [ { "UserName": "Adele", "Path": "/", "CreateDate": "2013-03-07T05:14:48Z", "UserId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Adele" }, { "UserName": "Bob", "Path": "/", "CreateDate": "2012-09-21T23:03:13Z", "UserId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } ] }如需詳細資訊,請參閱 IAM 使用者指南中的列出 Word 使用者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListUsers
。
-
下列程式碼範例示範如何使用 list-virtual-mfa-devices。
- AWS CLI
-
列出虛擬 MFA 裝置
下列
list-virtual-mfa-devices命令會列出已為目前帳戶設定的虛擬 MFA 裝置。aws iam list-virtual-mfa-devices輸出:
{ "VirtualMFADevices": [ { "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice" }, { "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred" } ] }如需詳細資訊,請參閱 MFA 使用者指南中的啟用虛擬多重要素驗證 (Word) 裝置。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ListVirtualMfaDevices
。
-
下列程式碼範例示範如何使用 put-group-policy。
- AWS CLI
-
將政策新增至群組
下列
put-group-policy命令會將政策新增至名為 的 IAM 群組Admins。aws iam put-group-policy \ --group-nameAdmins\ --policy-documentfile://AdminPolicy.json\ --policy-nameAdminRoot此命令不會產生輸出。
此政策在 JSON.json 檔案中定義為 AdminPolicy 文件。(檔案名稱和副檔名沒有意義。)
如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 PutGroupPolicy
。
-
下列程式碼範例示範如何使用 put-role-permissions-boundary。
- AWS CLI
-
範例 1:根據自訂政策將許可界限套用至 IAM 角色
下列
put-role-permissions-boundary範例會套用intern-boundary名為指定 IAM 角色許可界限的自訂政策。aws iam put-role-permissions-boundary \ --permissions-boundaryarn:aws:iam::123456789012:policy/intern-boundary\ --role-namelambda-application-role此命令不會產生輸出。
範例 2:根據 AWS 受管政策將許可界限套用至 IAM 角色
下列
put-role-permissions-boundary範例會將 AWS 受管PowerUserAccess政策套用為指定 IAM 角色的許可界限。aws iam put-role-permissions-boundary \ --permissions-boundaryarn:aws:iam::aws:policy/PowerUserAccess\ --role-namex-account-admin此命令不會產生輸出。
如需詳細資訊,請參閱 AWS IAM 使用者指南中的修改角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 PutRolePermissionsBoundary
。
-
下列程式碼範例示範如何使用 put-role-policy。
- AWS CLI
-
將許可政策連接至 IAM 角色
下列
put-role-policy命令會將許可政策連接到名為Test-Role的角色。aws iam put-role-policy \ --role-nameTest-Role\ --policy-nameExamplePolicy\ --policy-documentfile://AdminPolicy.json此命令不會產生輸出。
此政策在 JSON.json 檔案中定義為 AdminPolicy 文件。(檔案名稱和副檔名沒有意義。)
若要將信任政策連接至角色,請使用
update-assume-role-policy命令。如需詳細資訊,請參閱 AWS IAM 使用者指南中的修改角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 PutRolePolicy
。
-
下列程式碼範例示範如何使用 put-user-permissions-boundary。
- AWS CLI
-
範例 1:根據自訂政策將許可界限套用至 IAM 使用者
下列
put-user-permissions-boundary範例會套用intern-boundary名為指定 IAM 使用者許可界限的自訂政策。aws iam put-user-permissions-boundary \ --permissions-boundaryarn:aws:iam::123456789012:policy/intern-boundary\ --user-nameintern此命令不會產生輸出。
範例 2:根據 AWS 受管政策將許可界限套用至 IAM 使用者
下列
put-user-permissions-boundary範例套用PowerUserAccess名為指定 IAM 使用者許可界限的 AWS 受管污染。aws iam put-user-permissions-boundary \ --permissions-boundaryarn:aws:iam::aws:policy/PowerUserAccess\ --user-namedeveloper此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的新增和移除 Word 身分許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 PutUserPermissionsBoundary
。
-
下列程式碼範例示範如何使用 put-user-policy。
- AWS CLI
-
將政策連接至 IAM 使用者
下列
put-user-policy命令會將政策連接至名為 的 IAM 使用者Bob。aws iam put-user-policy \ --user-nameBob\ --policy-nameExamplePolicy\ --policy-documentfile://AdminPolicy.json此命令不會產生輸出。
此政策在 JSON.json 檔案中定義為 AdminPolicy 文件。(檔案名稱和副檔名沒有意義。)
如需詳細資訊,請參閱 IAM 使用者指南中的新增和移除 Word 身分許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 PutUserPolicy
。
-
下列程式碼範例示範如何使用 remove-client-id-from-open-id-connect-provider。
- AWS CLI
-
從為指定 IDs OpenID Connect 提供者註冊的用戶端 IAM 清單中移除指定的用戶端 ID
此範例
My-TestApp-3會從與 IDs 為 的 IAM OIDC提供者相關聯的用戶端 ARN 清單中移除用戶端 IDarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com。aws iam remove-client-id-from-open-id-connect-provider --client-idMy-TestApp-3\ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com此命令不會產生輸出。
如需詳細資訊,請參閱 OIDC 使用者指南中的建立 OpenID Connect (Word) 身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 RemoveClientIdFromOpenIdConnectProvider
。
-
下列程式碼範例示範如何使用 remove-role-from-instance-profile。
- AWS CLI
-
從執行個體設定檔中移除角色
下列
remove-role-from-instance-profile命令Test-Role會從名為 的執行個體設定檔中移除名為 的角色ExampleInstanceProfile。aws iam remove-role-from-instance-profile \ --instance-profile-nameExampleInstanceProfile\ --role-nameTest-Role如需詳細資訊,請參閱 AWS IAM 使用者指南中的使用執行個體設定檔。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 RemoveRoleFromInstanceProfile
。
-
下列程式碼範例示範如何使用 remove-user-from-group。
- AWS CLI
-
從 IAM 群組中移除使用者
下列
remove-user-from-group命令Bob會從名為 的 IAM 群組中移除名為 的使用者Admins。aws iam remove-user-from-group \ --user-nameBob\ --group-nameAdmins此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的在 Word 使用者群組中新增和移除使用者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 RemoveUserFromGroup
。
-
下列程式碼範例示範如何使用 reset-service-specific-credential。
- AWS CLI
-
範例 1:重設連接至發出請求之使用者的服務特定憑證的密碼
下列
reset-service-specific-credential範例會為連接至發出請求之使用者的指定服務特定憑證產生新的密碼編譯強式密碼。aws iam reset-service-specific-credential \ --service-specific-credential-idACCAEXAMPLE123EXAMPLE輸出:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }範例 2:重設連接至指定使用者之服務特定憑證的密碼
下列
reset-service-specific-credential範例會為連接至指定使用者的服務特定憑證產生新的密碼編譯強式密碼。aws iam reset-service-specific-credential \ --user-namesofia\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE輸出:
{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }如需詳細資訊,請參閱 HTTPS 使用者指南中的為 CodeCommit 連線建立 Git 憑證。 AWS CodeCommit
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ResetServiceSpecificCredential
。
-
下列程式碼範例示範如何使用 resync-mfa-device。
- AWS CLI
-
同步 MFA 裝置
下列
resync-mfa-device範例會同步與 MFA 使用者相關聯的 IAM 裝置,Bob且其 ARNarn:aws:iam::123456789012:mfa/BobsMFADevice與提供兩個驗證碼的身分驗證器程式。aws iam resync-mfa-device \ --user-nameBob\ --serial-numberarn:aws:iam::210987654321:mfa/BobsMFADevice\ --authentication-code1123456\ --authentication-code2987654此命令不會產生輸出。
如需詳細資訊,請參閱 MFA 使用者指南中的使用多重要素驗證 (Word) AWS。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 ResyncMfaDevice
。
-
下列程式碼範例示範如何使用 set-default-policy-version。
- AWS CLI
-
將指定政策的指定版本設定為政策的預設版本。
此範例會設定 ARN
arn:aws:iam::123456789012:policy/MyPolicy作為預設作用中v2版本的政策版本。aws iam set-default-policy-version \ --policy-arnarn:aws:iam::123456789012:policy/MyPolicy\ --version-idv2如需詳細資訊,請參閱 IAM 使用者指南中的 Word 中的政策和許可。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 SetDefaultPolicyVersion
。
-
下列程式碼範例示範如何使用 set-security-token-service-preferences。
- AWS CLI
-
設定全域端點權杖版本
下列
set-security-token-service-preferences範例會將 Amazon STS 設定為在您針對全域端點進行身分驗證時使用 2 版字符。aws iam set-security-token-service-preferences \ --global-endpoint-token-versionv2Token此命令不會產生輸出。
如需詳細資訊,請參閱 AWS STS 使用者指南 AWS 中的區域中的 ManagingWord。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 SetSecurityTokenServicePreferences
。
-
下列程式碼範例示範如何使用 simulate-custom-policy。
- AWS CLI
-
範例 1:模擬與 IAM 使用者或角色相關聯的所有 IAM 政策的影響
以下
simulate-custom-policy說明如何同時提供政策並定義變數值,以及模擬 API 呼叫,以查看是否允許或拒絕。下列範例顯示僅在指定日期和時間之後才啟用資料庫存取的政策。模擬成功,因為模擬動作和指定的aws:CurrentTime變數都符合政策的要求。aws iam simulate-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \ --action-namesdynamodb:CreateBackup\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"輸出:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "PolicyInputList.1", "StartPosition": { "Line": 1, "Column": 38 }, "EndPosition": { "Line": 1, "Column": 167 } } ], "MissingContextValues": [] } ] }範例 2:模擬政策禁止的命令
下列
simulate-custom-policy範例顯示 政策所禁止的模擬命令的結果。在此範例中,提供的日期早於政策條件所需的日期。aws iam simulate-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \ --action-namesdynamodb:CreateBackup\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"輸出:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }如需詳細資訊,請參閱 IAM 使用者指南中的使用 IAM 政策模擬器測試 Word 政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 SimulateCustomPolicy
。
-
下列程式碼範例示範如何使用 simulate-principal-policy。
- AWS CLI
-
範例 1:模擬任意 IAM 政策的效果
以下
simulate-principal-policy說明如何模擬呼叫 API 動作的使用者,並判斷與該使用者相關聯的政策是否允許或拒絕該動作。在下列範例中,使用者具有僅允許codecommit:ListRepositories動作的政策。aws iam simulate-principal-policy \ --policy-source-arnarn:aws:iam::123456789012:user/alejandro\ --action-namescodecommit:ListRepositories輸出:
{ "EvaluationResults": [ { "EvalActionName": "codecommit:ListRepositories", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo", "StartPosition": { "Line": 3, "Column": 19 }, "EndPosition": { "Line": 9, "Column": 10 } } ], "MissingContextValues": [] } ] }範例 2:模擬禁止命令的效果
下列
simulate-custom-policy範例顯示模擬其中一個使用者政策所禁止的命令的結果。在下列範例中,使用者具有政策,僅允許在特定日期和時間之後存取 DynamoDB 資料庫。模擬會讓使用者嘗試存取值早於政策條件允許aws:CurrentTime的值的資料庫。aws iam simulate-principal-policy \ --policy-source-arnarn:aws:iam::123456789012:user/alejandro\ --action-namesdynamodb:CreateBackup\ --context-entries"ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"輸出:
{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }如需詳細資訊,請參閱 IAM 使用者指南中的使用 IAM 政策模擬器測試 Word 政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 SimulatePrincipalPolicy
。
-
下列程式碼範例示範如何使用 tag-instance-profile。
- AWS CLI
-
將標籤新增至執行個體設定檔
下列
tag-instance-profile命令會將具有部門名稱的標籤新增至指定的執行個體設定檔。aws iam tag-instance-profile \ --instance-profile-namedeployment-role\ --tags '[{"Key": "Department", "Value": "Accounting"}]'此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 TagInstanceProfile
。
-
下列程式碼範例示範如何使用 tag-mfa-device。
- AWS CLI
-
將標籤新增至 MFA 裝置
下列
tag-mfa-device命令會將具有部門名稱的標籤新增至指定的 MFA 裝置。aws iam tag-mfa-device \ --serial-numberarn:aws:iam::123456789012:mfa/alice\ --tags '[{"Key": "Department", "Value": "Accounting"}]'此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 TagMfaDevice
。
-
下列程式碼範例示範如何使用 tag-open-id-connect-provider。
- AWS CLI
-
將標籤新增至 OpenID Connect (OIDC) 相容身分提供者
下列
tag-open-id-connect-provider命令會將具有部門名稱的標籤新增至指定的 OIDC 身分提供者。aws iam tag-open-id-connect-provider \ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/server.example.com\ --tags '[{"Key": "Department", "Value": "Accounting"}]'此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 TagOpenIdConnectProvider
。
-
下列程式碼範例示範如何使用 tag-policy。
- AWS CLI
-
將標籤新增至客戶受管政策
下列
tag-policy命令會將具有部門名稱的標籤新增至指定的客戶受管政策。aws iam tag-policy \ --policy-arnarn:aws:iam::123456789012:policy/billing-access\ --tags '[{"Key": "Department", "Value": "Accounting"}]'此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 TagPolicy
。
-
下列程式碼範例示範如何使用 tag-role。
- AWS CLI
-
將標籤新增至角色
下列
tag-role命令會將具有部門名稱的標籤新增至指定的角色。aws iam tag-role --role-namemy-role\ --tags '{"Key": "Department", "Value": "Accounting"}'此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 TagRole
。
-
下列程式碼範例示範如何使用 tag-saml-provider。
- AWS CLI
-
將標籤新增至 SAML 供應商
下列
tag-saml-provider命令會將具有部門名稱的標籤新增至指定的 SAML 供應商。aws iam tag-saml-provider \ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/ADFS\ --tags '[{"Key": "Department", "Value": "Accounting"}]'此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 TagSamlProvider
。
-
下列程式碼範例示範如何使用 tag-server-certificate。
- AWS CLI
-
將標籤新增至伺服器憑證
下列
tag-saml-provider命令會將具有部門名稱的標籤新增至指定的伺服器憑證。aws iam tag-server-certificate \ --server-certificate-nameExampleCertificate\ --tags '[{"Key": "Department", "Value": "Accounting"}]'此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 TagServerCertificate
。
-
下列程式碼範例示範如何使用 tag-user。
- AWS CLI
-
將標籤新增至使用者
下列
tag-user命令會將具有相關聯部門的標籤新增至指定的使用者。aws iam tag-user \ --user-namealice\ --tags '{"Key": "Department", "Value": "Accounting"}'此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 TagUser
。
-
下列程式碼範例示範如何使用 untag-instance-profile。
- AWS CLI
-
從執行個體設定檔中移除標籤
下列
untag-instance-profile命令會從指定的執行個體設定檔中移除具有金鑰名稱 'Department' 的任何標籤。aws iam untag-instance-profile \ --instance-profile-namedeployment-role\ --tag-keysDepartment此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UntagInstanceProfile
。
-
下列程式碼範例示範如何使用 untag-mfa-device。
- AWS CLI
-
從 MFA 裝置移除標籤
下列
untag-mfa-device命令會從指定的 MFA 裝置移除具有金鑰名稱 'Department' 的任何標籤。aws iam untag-mfa-device \ --serial-numberarn:aws:iam::123456789012:mfa/alice\ --tag-keysDepartment此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UntagMfaDevice
。
-
下列程式碼範例示範如何使用 untag-open-id-connect-provider。
- AWS CLI
-
從 OIDC 身分提供者移除標籤
下列
untag-open-id-connect-provider命令會從指定的 OIDC 身分提供者移除具有金鑰名稱 'Department' 的任何標籤。aws iam untag-open-id-connect-provider \ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/server.example.com\ --tag-keysDepartment此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UntagOpenIdConnectProvider
。
-
下列程式碼範例示範如何使用 untag-policy。
- AWS CLI
-
從客戶受管政策中移除標籤
下列
untag-policy命令會從指定的客戶受管政策中移除具有金鑰名稱 'Department' 的任何標籤。aws iam untag-policy \ --policy-arnarn:aws:iam::452925170507:policy/billing-access\ --tag-keysDepartment此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UntagPolicy
。
-
下列程式碼範例示範如何使用 untag-role。
- AWS CLI
-
從角色移除標籤
下列
untag-role命令會從指定角色中移除具有金鑰名稱 'Department' 的任何標籤。aws iam untag-role \ --role-namemy-role\ --tag-keysDepartment此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UntagRole
。
-
下列程式碼範例示範如何使用 untag-saml-provider。
- AWS CLI
-
從 SAML 供應商移除標籤
下列
untag-saml-provider命令會從指定的執行個體設定檔中移除具有金鑰名稱 'Department' 的任何標籤。aws iam untag-saml-provider \ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/ADFS\ --tag-keysDepartment此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UntagSamlProvider
。
-
下列程式碼範例示範如何使用 untag-server-certificate。
- AWS CLI
-
從伺服器憑證中移除標籤
下列
untag-server-certificate命令會從指定的伺服器憑證中移除具有金鑰名稱 'Department' 的任何標籤。aws iam untag-server-certificate \ --server-certificate-nameExampleCertificate\ --tag-keysDepartment此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UntagServerCertificate
。
-
下列程式碼範例示範如何使用 untag-user。
- AWS CLI
-
從使用者移除標籤
下列
untag-user命令會從指定的使用者移除具有金鑰名稱 'Department' 的任何標籤。aws iam untag-user \ --user-namealice\ --tag-keysDepartment此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的標記 Word 資源。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UntagUser
。
-
下列程式碼範例示範如何使用 update-access-key。
- AWS CLI
-
若要啟用或停用 IAM 使用者的存取金鑰
下列
update-access-key命令會停用名為 之 IAM 使用者的指定存取金鑰 (存取金鑰 ID 和秘密存取金鑰)Bob。aws iam update-access-key \ --access-key-idAKIAIOSFODNN7EXAMPLE\ --statusInactive\ --user-nameBob此命令不會產生輸出。
停用金鑰表示無法將其用於程式設計存取 AWS。但是,金鑰仍然可用,並且可以重新啟用。
如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的存取金鑰。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateAccessKey
。
-
下列程式碼範例示範如何使用 update-account-password-policy。
- AWS CLI
-
若要設定或變更目前的帳戶密碼政策
下列
update-account-password-policy命令會將密碼政策設定為要求至少八個字元的長度,並在密碼中要求一或多個數字。aws iam update-account-password-policy \ --minimum-password-length8\ --require-numbers此命令不會產生輸出。
帳戶密碼政策的變更會影響為帳戶中 IAM 使用者建立的任何新密碼。密碼政策變更不會影響現有的密碼。
如需詳細資訊,請參閱 IAM 使用者指南中的為 Word 使用者設定帳戶密碼政策。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateAccountPasswordPolicy
。
-
下列程式碼範例示範如何使用 update-assume-role-policy。
- AWS CLI
-
更新 IAM 角色的信任政策
下列
update-assume-role-policy命令會更新名為 之角色的信任政策Test-Role。aws iam update-assume-role-policy \ --role-nameTest-Role\ --policy-documentfile://Test-Role-Trust-Policy.json此命令不會產生輸出。
信任政策在 Test-Role-Trust-Policy.json 檔案中定義為 JSON 文件。(檔案名稱和副檔名沒有意義。) 信任政策必須指定主體。
若要更新角色的許可政策,請使用
put-role-policy命令。如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word 角色。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateAssumeRolePolicy
。
-
下列程式碼範例示範如何使用 update-group。
- AWS CLI
-
重新命名 IAM 群組
下列
update-group命令會將 IAM 群組的名稱Test變更為Test-1。aws iam update-group \ --group-nameTest\ --new-group-nameTest-1此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的重新命名 AWS IAM 使用者群組。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateGroup
。
-
下列程式碼範例示範如何使用 update-login-profile。
- AWS CLI
-
更新 IAM 使用者的密碼
下列
update-login-profile命令會為名為 的 IAM 使用者建立新密碼Bob。aws iam update-login-profile \ --user-nameBob\ --password<password>此命令不會產生輸出。
若要設定帳戶的密碼政策,請使用
update-account-password-policy命令。如果新密碼違反帳戶密碼政策,命令會傳回PasswordPolicyViolation錯誤。如果帳戶密碼政策允許,IAM 使用者可以使用
change-password命令變更自己的密碼。將密碼存放在安全的地方。如果密碼遺失,則無法復原,您必須使用
create-login-profile命令建立新的密碼。如需詳細資訊,請參閱 IAM 使用者指南中的管理 Word 使用者的密碼。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateLoginProfile
。
-
下列程式碼範例示範如何使用 update-open-id-connect-provider-thumbprint。
- AWS CLI
-
使用新清單取代現有的伺服器憑證指紋清單
此範例會更新 OIDC
arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com要使用新指紋的 ARN 提供者的憑證指紋清單。aws iam update-open-id-connect-provider-thumbprint \ --open-id-connect-provider-arnarn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com\ --thumbprint-list7359755EXAMPLEabc3060bce3EXAMPLEec4542a3此命令不會產生輸出。
如需詳細資訊,請參閱 OIDC 使用者指南中的建立 OpenID Connect (Word) 身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateOpenIdConnectProviderThumbprint
。
-
下列程式碼範例示範如何使用 update-role-description。
- AWS CLI
-
若要變更 IAM 角色的描述
下列
update-role命令會將 IAM 角色的描述production-role變更為Main production role。aws iam update-role-description \ --role-nameproduction-role\ --description 'Main production role'輸出:
{ "Role": { "Path": "/", "RoleName": "production-role", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/production-role", "CreateDate": "2017-12-06T17:16:37+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }, "Description": "Main production role" } }如需詳細資訊,請參閱 AWS IAM 使用者指南中的修改角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateRoleDescription
。
-
下列程式碼範例示範如何使用 update-role。
- AWS CLI
-
若要變更 IAM 角色的描述或工作階段持續時間
下列
update-role命令會將 IAM 角色的描述變更為 ,production-roleMain production role並將工作階段持續時間上限設定為 12 小時。aws iam update-role \ --role-nameproduction-role\ --description 'Main production role' \ --max-session-duration43200此命令不會產生輸出。
如需詳細資訊,請參閱 AWS IAM 使用者指南中的修改角色。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateRole
。
-
下列程式碼範例示範如何使用 update-saml-provider。
- AWS CLI
-
更新現有 SAML 提供者的中繼資料文件
此範例會更新 IAM 中的 SAML 供應商,其 ARN
arn:aws:iam::123456789012:saml-provider/SAMLADFS具有來自 檔案 的新 SAML 中繼資料文件SAMLMetaData.xml。aws iam update-saml-provider \ --saml-metadata-documentfile://SAMLMetaData.xml\ --saml-provider-arnarn:aws:iam::123456789012:saml-provider/SAMLADFS輸出:
{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS" }如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word SAML身分提供者。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateSamlProvider
。
-
下列程式碼範例示範如何使用 update-server-certificate。
- AWS CLI
-
變更 AWS 帳戶中伺服器憑證的路徑或名稱
下列
update-server-certificate命令會將憑證名稱從myServerCertificate變更為myUpdatedServerCertificate。它也會變更 的路徑,/cloudfront/以便 Amazon CloudFront 服務可以存取。此命令不會產生輸出。您可以透過執行list-server-certificates命令來查看更新的結果。aws-iam update-server-certificate \ --server-certificate-namemyServerCertificate\ --new-server-certificate-namemyUpdatedServerCertificate\ --new-path/cloudfront/此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的在 Word 中管理伺服器憑證。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateServerCertificate
。
-
下列程式碼範例示範如何使用 update-service-specific-credential。
- AWS CLI
-
範例 1:更新請求使用者服務特定憑證的狀態
下列
update-service-specific-credential範例會變更向 發出請求之使用者的指定憑證狀態Inactive。aws iam update-service-specific-credential \ --service-specific-credential-idACCAEXAMPLE123EXAMPLE\ --statusInactive此命令不會產生輸出。
範例 2:更新指定使用者服務特定憑證的狀態
下列
update-service-specific-credential範例會將指定使用者的憑證狀態變更為非作用中。aws iam update-service-specific-credential \ --user-namesofia\ --service-specific-credential-idACCAEXAMPLE123EXAMPLE\ --statusInactive此命令不會產生輸出。
如需詳細資訊,請參閱 HTTPS 使用者指南中的為 CodeCommit 連線建立 Git 憑證 AWS CodeCommit
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateServiceSpecificCredential
。
-
下列程式碼範例示範如何使用 update-signing-certificate。
- AWS CLI
-
啟用或停用 IAM 使用者的簽署憑證
下列
update-signing-certificate命令會停用名為 之 IAM 使用者的指定簽署憑證Bob。aws iam update-signing-certificate \ --certificate-idTA7SMP42TDN5Z26OBPJE7EXAMPLE\ --statusInactive\ --user-nameBob若要取得簽署憑證的 ID,請使用
list-signing-certificates命令。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的管理簽署憑證。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateSigningCertificate
。
-
下列程式碼範例示範如何使用 update-ssh-public-key。
- AWS CLI
-
變更 SSH 公有金鑰的狀態
下列
update-ssh-public-key命令會將指定的公有金鑰狀態變更為Inactive。aws iam update-ssh-public-key \ --user-namesofia\ --ssh-public-key-idAPKA1234567890EXAMPLE\ --statusInactive此命令不會產生輸出。
如需詳細資訊,請參閱 SSH 使用者指南中的使用 SSH 金鑰和 Word with CodeCommit。 AWS IAM
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateSshPublicKey
。
-
下列程式碼範例示範如何使用 update-user。
- AWS CLI
-
若要變更 IAM 使用者名稱
下列
update-user命令會將 IAM 使用者名稱Bob變更為Robert。aws iam update-user \ --user-nameBob\ --new-user-nameRobert此命令不會產生輸出。
如需詳細資訊,請參閱 IAM 使用者指南中的重新命名 AWS IAM 使用者群組。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UpdateUser
。
-
下列程式碼範例示範如何使用 upload-server-certificate。
- AWS CLI
-
將伺服器憑證上傳至 AWS 您的帳戶
下列 upload-server-certificate 命令會將伺服器憑證上傳至 AWS 您的帳戶。在此範例中,憑證位於檔案
public_key_cert_file.pem中,相關聯的私密金鑰位於檔案my_private_key.pem中,而憑證授權機構 (CA) 提供的憑證鏈結位於my_certificate_chain_file.pem檔案中。當檔案完成上傳時,它可以在 myServerCertificate 名稱下使用。以file://開頭的參數會告訴命令讀取檔案的內容,並將其用作參數值 (而不是檔案名稱本身)。aws iam upload-server-certificate \ --server-certificate-namemyServerCertificate\ --certificate-bodyfile://public_key_cert_file.pem\ --private-keyfile://my_private_key.pem\ --certificate-chainfile://my_certificate_chain_file.pem輸出:
{ "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" } }如需詳細資訊,請參閱使用 IAM 指南中的建立、上傳和刪除伺服器憑證。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UploadServerCertificate
。
-
下列程式碼範例示範如何使用 upload-signing-certificate。
- AWS CLI
-
上傳 IAM 使用者的簽署憑證
下列
upload-signing-certificate命令會上傳名為 之 IAM 使用者的簽署憑證Bob。aws iam upload-signing-certificate \ --user-nameBob\ --certificate-bodyfile://certificate.pem輸出:
{ "Certificate": { "UserName": "Bob", "Status": "Active", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08.121Z" } }憑證位於名為 certificate.pem 的檔案,格式為 PEM。
如需詳細資訊,請參閱使用 IAM 指南中的建立和上傳使用者簽署憑證。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UploadSigningCertificate
。
-
下列程式碼範例示範如何使用 upload-ssh-public-key。
- AWS CLI
-
上傳 SSH 公有金鑰並將其與使用者建立關聯
下列
upload-ssh-public-key命令會上傳檔案中找到的公有金鑰,sshkey.pub並將其連接至使用者sofia。aws iam upload-ssh-public-key \ --user-namesofia\ --ssh-public-key-bodyfile://sshkey.pub輸出:
{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>", "Status": "Active", "UploadDate": "2019-04-18T17:04:49+00:00" } }如需如何以適合此命令的格式產生金鑰的詳細資訊,請參閱 SSH and Linux、macOS 或 Unix:在 Word 使用者指南中設定 Git and CodeCommit 或 Word and Windows 的公有和私有金鑰:設定 Git and CodeCommit 的公有和私有金鑰SSH。 AWS CodeCommit
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 UploadSshPublicKey
。
-
