IAM-Beispiele unter Verwendung der AWS CLI

So fügen Sie einem Open-ID Connect (OIDC)-Anbieter eine Client-ID (Zielgruppe) hinzu

Der folgende add-client-id-to-open-id-connect-provider-Befehl fügt die Client-ID my-application-ID zum OIDC-Anbieter mit dem Namen server.example.com hinzu.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den create-open-id-connect-provider-Befehl, um einen OIDC-Anbieter zu erstellen.

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC)-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So fügen Sie eine Rolle zu einem Instance-Profil hinzu

Mit dem folgenden add-role-to-instance-profile-Befehl wird die Rolle mit dem Namen S3Access zum Instance-Profil mit dem Namen Webserver hinzugefügt.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den create-instance-profile-Befehl, um ein Instance-Profil zu erstellen.

Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Gewähren von Berechtigungen für Anwendungen, die in Amazon-EC2-Instances ausgeführt werden im AWS-IAM-Benutzerhandbuch.

So fügen Sie einen Benutzer einer IAM-Gruppe hinzu

Mit dem folgenden add-user-to-group-Befehl wird ein Benutzer mit dem Namen Bob zur IAM-Gruppe mit dem Namen Admins hinzugefügt.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Benutzern in einer IAM-Benutzergruppe im AWS-IAM-Benutzerhandbuch.

So fügen Sie einer IAM-Gruppe eine verwaltete Richtlinie hinzu

Mit dem folgenden attach-group-policy-Befehl wird die von verwaltete AWS-Richtlinie mit dem Namen ReadOnlyAccess an die IAM-Gruppe mit dem Namen Finance angefügt.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen hierzu finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im AWS-IAM-Benutzerhandbuch.

So fügen Sie einer IAM-Rolle eine verwaltete Richtlinie an

Mit dem folgenden attach-role-policy-Befehl wird die von AWS verwaltete Richtlinie mit dem Namen ReadOnlyAccess der IAM-Rolle mit dem Namen ReadOnlyRole angefügt.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen hierzu finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im AWS-IAM-Benutzerhandbuch.

So fügen Sie einem IAM-Benutzer eine verwaltete Richtlinie an

Mit dem folgenden attach-user-policy-Befehl wird die von AWS verwaltete Richtlinie mit dem Namen AdministratorAccess dem IAM-Benutzer mit dem Namen Alice angefügt.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen hierzu finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im AWS-IAM-Benutzerhandbuch.

So ändern Sie das Passwort für Ihren IAM-Benutzer

Um das Passwort für Ihren IAM-Benutzer zu ändern, empfehlen wir, den --cli-input-json-Parameter zu verwenden, um eine JSON-Datei zu übergeben, die Ihr altes und Ihr neues Passwort enthält. Mit dieser Methode können Sie sichere Passwörter mit nicht-alphanumerischen Zeichen verwenden. Es kann schwierig sein, Passwörter mit nicht-alphanumerischen Zeichen zu verwenden, wenn Sie diese als Befehlszeilenparameter übergeben. Um den --cli-input-json-Parameter zu verwenden, verwenden Sie zunächst den change-password-Befehl mit dem --generate-cli-skeleton-Parameter, wie im folgenden Beispiel.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

Mit dem vorherigen Befehl wird eine JSON-Datei mit dem Namen „change-password.json“ erstellt, die Sie zum Eingeben Ihrer alten und neuen Passwörter verwenden können. Die Datei könnte beispielsweise wie folgt aussehen.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Um Ihr Passwort zu ändern, verwenden Sie als Nächstes den change-password-Befehl erneut und übergeben dieses Mal den --cli-input-json-Parameter zur Angabe Ihrer JSON-Datei. Der folgende change-password-Befehl verwendet den --cli-input-json-Parameter mit einer JSON-Datei mit dem Namen change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Dieser Befehl kann nur von IAM-Benutzern aufgerufen werden. Wenn dieser Befehl unter Verwendung der AWS-Konto-Anmeldeinformationen (Root) aufgerufen wird, gibt der Befehl einen InvalidUserType-Fehler zurück.

Weitere Informationen finden Sie unter So ändert ein IAM-Benutzer sein eigenes Passwort im AWS-IAM-Benutzerhandbuch.

So erstellen Sie einen Zugriffsschlüssel für einen IAM-Benutzer

Mit dem folgenden create-access-key-Befehl wird ein Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den IAM-Benutzer mit dem Namen Bob erstellt.

aws iam create-access-key \
    --user-name Bob

Ausgabe:

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Speichern Sie den geheimen Zugriffsschlüssel an einem sicheren Ort. Bei Verlust kann er nicht wiederhergestellt werden und Sie müssen einen neuen Zugriffsschlüssel erstellen.

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So erstellen Sie einen Konto-Alias

Der folgende create-account-alias-Befehl erstellt den Alias examplecorp für Ihr AWS-Konto.

aws iam create-account-alias \
    --account-alias examplecorp

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ihre AWS-Konto-ID und ihr Alias im AWS-IAM-Benutzerhandbuch.

So erstellen Sie eine IAM-Gruppe

Mit dem folgenden create-group-Befehl wird eine IAM-Gruppe mit dem Namen Admins erstellt.

aws iam create-group \
    --group-name Admins

Ausgabe:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Weitere Informationen finden Sie unter Erstellen von IAM-Benutzergruppen im AWS-IAM-Benutzerhandbuch.

So erstellen Sie ein Instance-Profil

Der folgende create-instance-profile-Befehl erstellt ein Instance-Profil mit dem Namen Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Ausgabe:

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Verwenden Sie den add-role-to-instance-profile-Befehl, um einem Instance-Profil eine Rolle hinzuzufügen.

Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Gewähren von Berechtigungen für Anwendungen, die in Amazon-EC2-Instances ausgeführt werden im AWS-IAM-Benutzerhandbuch.

So erstellen Sie ein Passwort für einen IAM-Benutzer

Für die Erstellung eines Passworts für einen IAM-Benutzer empfehlen wir die Nutzung des Parameters --cli-input-json zur Übergabe einer JSON-Datei, die das Passwort enthält. Mit dieser Methode können Sie ein sicheres Passwort mit nicht alphanumerischen Zeichen erstellen. Es kann schwierig sein, ein Passwort mit nicht-alphanumerischen Zeichen zu erstellen, wenn Sie es als Befehlszeilenparameter übergeben.

Um den --cli-input-json-Parameter zu verwenden, verwenden Sie zunächst den create-login-profile-Befehl mit dem --generate-cli-skeleton-Parameter, wie im folgenden Beispiel.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

Der vorherige Befehl erstellt eine JSON-Datei mit dem Namen create-login-profile.json, die Sie zur Eingabe der Informationen für einen nachfolgenden Befehl create-login-profile verwenden können. Zum Beispiel:

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Verwenden Sie anschließend zur Erstellung eines Passworts für einen IAM-Benutzer erneut den Befehl create-login-profile, diesmal jedoch mit dem Parameter --cli-input-json zur Angabe Ihrer JSON-Datei. Der folgende Befehl create-login-profile verwendet den Parameter --cli-input-json mit einer JSON-Datei, die als create-login-profile.json aufgerufen wird.

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Ausgabe:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Wenn das neue Passwort gegen die Passwortrichtlinie des Kontos verstößt, gibt der Befehl einen PasswordPolicyViolation-Fehler zurück.

Um das Passwort für einen Benutzer zu ändern, der bereits über ein Passwort verfügt, verwenden Sie update-login-profile. Um eine Passwortrichtlinie für das Konto festzulegen, verwenden Sie den update-account-password-policy-Befehl.

Sofern die Passwortrichtlinie des Kontos dies zulässt, können IAM-Benutzer mit dem change-password-Befehl ihre eigenen Passwörter ändern.

Weitere Informationen finden Sie unter Verwalten von Passwörtern für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So erstellen Sie einen OpenID Connect (OIDC)-Anbieter

Um einen OpenID Connect (OIDC)-Anbieter zu erstellen, empfehlen wir die Nutzung des Parameters --cli-input-json zur Übergabe einer JSON-Datei, die die erforderlichen Parameter enthält. Wenn Sie einen OIDC-Anbieter erstellen, müssen Sie die URL des Anbieters übergeben und die URL muss mit https:// beginnen. Es kann schwierig sein, die URL als Befehlszeilenparameter zu übergeben, da der Doppelpunkt (:) und der Schrägstrich (/) in einigen Befehlszeilenumgebungen eine besondere Bedeutung haben. Durch die Verwendung des Parameters --cli-input-json wird diese Einschränkung umgangen.

Um den --cli-input-json-Parameter zu verwenden, verwenden Sie zunächst den create-open-id-connect-provider-Befehl mit dem --generate-cli-skeleton-Parameter, wie im folgenden Beispiel.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

Der vorherige Befehl erstellt eine JSON-Datei mit dem Namen create-open-id-connect-provider.json, die Sie zum Ausfüllen der Informationen für einen nachfolgenden Befehl create-open-id-connect-provider verwenden können. Zum Beispiel:

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Verwenden Sie als Nächstes den Befehl create-open-id-connect-provider erneut, um den OpenID Connect (OIDC)-Anbieter zu erstellen, und übergeben Sie diesmal den Parameter --cli-input-json, um Ihre JSON-Datei anzugeben. Der folgende Befehl create-open-id-connect-provider verwendet den Parameter --cli-input-json mit einer JSON-Datei mit dem Namen create-open-id-connect-provider.json.

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Ausgabe:

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Weitere Informationen zu OIDC-Anbietern finden Sie unter Erstellen von OpenID Connect (OIDC)-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

Weitere Informationen zum Abrufen von Fingerabdrücken für einen OIDC-Anbieter finden Sie unter Abrufen des Fingerabdrucks für einen OpenID Connect-Identitätsanbieter im AWS-IAM-Benutzerhandbuch.

So erstellen Sie eine neue Version einer verwalteten Richtlinie

In diesem Beispiel wird eine neue v2-Version der IAM-Richtlinie erstellt, deren ARN arn:aws:iam::123456789012:policy/MyPolicy lautet, und sie zur Standardversion gemacht.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Ausgabe:

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Weitere Informationen finden Sie unter Versionsverwaltung von IAM-Richtlinien im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So erstellen Sie eine vom Kunden verwaltete Richtlinie

Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy erstellt. Bei der Datei policy.json handelt es sich um ein JSON-Dokument im aktuellen shared-Ordner, das schreibgeschützten Zugriff auf den Ordner in einem Amazon-S3-Bucket mit dem Namen amzn-s3-demo-bucket gewährt.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json

Inhalt von policy.json:

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/shared/*"
            ]
        }
    ]
}

Ausgabe:

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Weitere Informationen zur Verwendung von Dateien als Eingabe für Zeichenfolgenparameter finden Sie unter Angabe von Parameterwerten für die AWS-CLI im AWS-CLI-Benutzerhandbuch.

Beispiel 2: So erstellen Sie eine vom Kunden verwaltete Richtlinie mit einer Beschreibung

Der folgende Befehl erstellt eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy und einer unveränderlichen Beschreibung.

Bei der policy.json-Datei handelt es sich um ein JSON-Dokument im aktuellen Ordner, das Zugriff auf alle Put-, List- und Get-Aktionen für einen Amazon-S3-Bucket mit dem Namen amzn-s3-demo-bucket gewährt.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for amzn-s3-demo-bucket"

Inhalt von policy.json:

{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Ausgabe:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Weitere Informationen zu identitätsbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im AWS-IAM-Benutzerhandbuch.

Beispiel 3: So erstellen Sie eine vom Kunden verwaltete Richtlinie mit Tags

Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy mit Tags erstellt. In diesem Beispiel wird der Parameter --tags mit den folgenden JSON-formatierten Tags verwendet:'{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Alternativ kann der Parameter --tags mit Tags im Kurzformat verwendet werden: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

Bei der policy.json-Datei handelt es sich um ein JSON-Dokument im aktuellen Ordner, das Zugriff auf alle Put-, List- und Get-Aktionen für einen Amazon-S3-Bucket mit dem Namen amzn-s3-demo-bucket gewährt.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Inhalt von policy.json:

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Ausgabe:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {
        ]
    }
}

Weitere Informationen zu Tagging-Richtlinien finden Sie unter Tagging von vom Kunden verwalteten Richtlinien im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So erstellen Sie eine IAM-Rolle

Mit dem folgenden create-role-Befehl wird eine Rolle mit dem Namen Test-Role erstellt und ihr eine Vertrauensrichtlinie angefügt.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Ausgabe:

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

Die Vertrauensrichtlinie ist als JSON-Dokument in der Datei Test-Role-Trust-Policy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.) Die Vertrauensrichtlinie muss einen Prinzipal angeben.

Verwenden Sie den put-role-policy-Befehl, um die Berechtigungsrichtlinie der Rolle anzufügen.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS-IAM-Benutzerhandbuch.

Beispiel 2: So erstellen Sie eine IAM-Rolle mit angegebener maximaler Sitzungsdauer

Mit dem folgenden create-role-Befehl wird eine Rolle mit dem Namen Test-Role erstellt und eine maximale Sitzungsdauer von 7 200 Sekunden (2 Stunden) festgelegt.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Ausgabe:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Weitere Informationen finden Sie unter Ändern der maximalen Sitzungsdauer einer Rolle (AWS-API) im AWS-IAM-Benutzerhandbuch.

Beispiel 3: So erstellen Sie eine IAM-Rolle mit Tags

Mit dem folgenden Befehl wird eine IAM-Rolle Test-Role mit Tags erstellt. In diesem Beispiel wird das --tags-Parameter-Flag mit den folgenden JSON-formatierten Tags verwendet: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Alternativ kann das --tags-Flag mit Tags im Kurzformat 'Key=Department,Value=Accounting Key=Location,Value=Seattle' verwendet werden.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Ausgabe:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Weitere Informationen finden Sie unter Taggen von IAM-Rollen im AWS-IAM-Benutzerhandbuch.

So erstellen Sie einen SAML-Anbieter

In diesem Beispiel wird in IAM ein neuer SAML-Anbieter mit dem Namen MySAMLProvider erstellt. Es wird durch das SAML-Metadatendokument beschrieben, das sich in der Datei SAMLMetaData.xml befindet.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Ausgabe:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So erstellen Sie eine serviceverknüpfte Rolle

Im folgenden create-service-linked-role-Beispiel wird eine serviceverknüpfte Rolle für den angegebenen AWS-Service erstellt und die angegebene Beschreibung angefügt.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Ausgabe:

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS-IAM-Benutzerhandbuch.

Erstellen einer Reihe von servicespezifischen Anmeldeinformationen für einen Benutzer

Im folgenden create-service-specific-credential-Beispiel werden ein Benutzername und ein Passwort erstellt, die nur für den Zugriff auf den konfigurierten Service verwendet werden können.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Weitere Informationen finden Sie unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu CodeCommit im Benutzerhandbuch zu AWS CodeCommit.

Beispiel 1: So erstellen Sie einen IAM-Benutzer

Mit dem folgenden create-user-Befehl wird im aktuellen Konto ein IAM-Benutzer mit dem Namen Bob erstellt.

aws iam create-user \
    --user-name Bob

Ausgabe:

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Weitere Informationen finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto im AWS-IAM-Benutzerhandbuch.

Beispiel 2: So erstellen Sie einen IAM-Benutzer unter einem angegebenen Pfad

Mit dem folgenden create-user-Befehl wird im angegebenen Pfad ein IAM-Benutzer mit dem Namen Bob erstellt.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Ausgabe:

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Weitere Informationen finden Sie unter IAM-Kennungen im AWS-IAM-Benutzerhandbuch.

Beispiel 3: So erstellen Sie einen IAM-Benutzer mit Tags

Mit dem folgenden create-user-Befehl wird ein IAM-Benutzer mit dem Namen Bob mit Tags erstellt. In diesem Beispiel wird das --tags-Parameter-Flag mit den folgenden JSON-formatierten Tags verwendet: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Alternativ kann das --tags-Flag mit Tags im Kurzformat 'Key=Department,Value=Accounting Key=Location,Value=Seattle' verwendet werden.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Ausgabe:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Weitere Informationen finden Sie unter Tagging von IAM-Rollen im AWS-IAM-Benutzerhandbuch.

Beispiel 3: So erstellen Sie einen IAM-Benutzer mit einer festgelegten Berechtigungsgrenze

Mit dem folgenden create-user-Befehl wird ein IAM-Benutzer mit dem Namen Bob mit der Berechtigungsgrenze von AmazonS3FullAccess erstellt.

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Ausgabe:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im AWS-IAM-Benutzerhandbuch.

So erstellen Sie ein virtuelles MFA-Gerät

In diesem Beispiel wird ein neues virtuelles MFA-Gerät mit dem Namen BobsMFADevice erstellt. Es erstellt eine Datei mit dem Namen QRCode.png, die Bootstrap-Informationen enthält, und platziert sie im Verzeichnis C:/. Die in diesem Beispiel verwendete Bootstrap-Methode lautet QRCodePNG.

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Ausgabe:

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS-IAM-Benutzerhandbuch.

So deaktivieren Sie ein MFA-Gerät

Dieser Befehl deaktiviert das virtuelle MFA-Gerät mit der ARN arn:aws:iam::210987654321:mfa/BobsMFADevice, die dem Benutzer Bob zugeordnet ist.

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS-IAM-Benutzerhandbuch.

So dekodieren Sie eine Meldung zu einem Autorisierungsfehler

Im folgenden decode-authorization-message-Beispiel wird die Meldung dekodiert, die von der EC2-Konsole zurückgegeben wird, wenn Sie versuchen, eine Instance ohne die erforderlichen Berechtigungen zu starten.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

Die Ausgabe ist als einzeilige Zeichenfolge mit JSON-Text formatiert, die Sie mit einem beliebigen JSON-Textverarbeitungsprogramm analysieren können.

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Weitere Informationen finden Sie unter Wie kann ich eine Meldung über einen Autorisierungsfehler entschlüsseln, nachdem ich beim Start einer EC2-Instance den Fehler „UnauthorizedOperation“ erhalten habe? in AWS re:Post.

So löschen Sie einen Zugriffsschlüssel für einen IAM-Benutzer

Mit dem folgenden delete-access-key-Befehl wird der angegebene Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den IAM-Benutzer mit dem Namen Bob gelöscht.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-access-keys-Befehl, um die für einen IAM-Benutzer definierten Zugriffsschlüssel aufzulisten.

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So löschen Sie einen Konto-Alias

Mit dem folgenden delete-account-alias-Befehl wird der Alias mycompany für das aktuelle Konto entfernt.

aws iam delete-account-alias \
    --account-alias mycompany

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ihre AWS-Konto-ID und ihr Alias im AWS-IAM-Benutzerhandbuch.

So löschen Sie die Passwortrichtlinie für das aktuelle Konto

Mit dem folgenden delete-account-password-policy-Befehl wird die Passwortrichtlinie für das aktuelle Konto entfernt.

aws iam delete-account-password-policy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Festlegen einer Kontopasswortrichtlinie für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So löschen Sie eine Richtlinie aus einer IAM-Gruppe

Mit dem folgenden delete-group-policy-Befehl wird die Richtlinie mit dem Namen ExamplePolicy aus der Gruppe mit dem Namen Admins gelöscht.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-group-policies-Befehl, um die einer Gruppe zugeordneten Richtlinien anzuzeigen.

Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im AWS-IAM-Benutzerhandbuch.

So löschen Sie eine IAM-Gruppe

Mit dem folgenden delete-group-Befehl wird eine IAM-Gruppe mit dem Namen MyTestGroup gelöscht.

aws iam delete-group \
    --group-name MyTestGroup

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Löschen einer IAM-Benutzergruppe im AWS-IAM-Benutzerhandbuch.

So löschen Sie ein Instance-Profil

Mit dem folgenden delete-instance-profile-Befehl wird das Instance-Profil mit dem Namen ExampleInstanceProfile gelöscht.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS-IAM-Benutzerhandbuch.

So löschen Sie ein Passwort für einen IAM-Benutzer

Der folgende Befehl delete-login-profile löscht das Passwort für den IAM-Benutzer mit dem Namen Bob.

aws iam delete-login-profile \
    --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwalten von Passwörtern für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So löschen Sie einen IAM-OpenID-Connect-Identitätsanbieter

In diesem Beispiel wird der IAM-OIDC-Anbieter gelöscht, der eine Verbindung zum Anbieter example.oidcprovider.com herstellt.

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC)-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So löschen Sie eine Version einer verwalteten Richtlinie

Dieses Beispiel löscht die als v2 identifizierte Version aus der Richtlinie, deren ARN arn:aws:iam::123456789012:policy/MySamplePolicy lautet.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So löschen Sie eine IAM-Richtlinie

In diesem Beispiel wird die Richtlinie, deren ARN arn:aws:iam::123456789012:policy/MySamplePolicy lautet, gelöscht.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So löschen Sie eine Berechtigungsgrenze aus einer IAM-Rolle

Im folgenden Beispiel delete-role-permissions-boundary wird die Berechtigungsgrenze für die angegebene IAM-Rolle gelöscht. Verwenden Sie den Befehl put-role-permissions-boundary, um einer Rolle eine Berechtigungsgrenze anzuwenden.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So entfernen Sie eine Richtlinie aus einer IAM-Rolle

Mit dem folgenden delete-role-policy-Befehl wird die Richtlinie mit dem Namen ExamplePolicy aus der Rolle mit dem Namen Test-Role entfernt.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS-IAM-Benutzerhandbuch.

So löschen Sie eine IAM-Rolle

Mit dem folgenden delete-role-Befehl wird die Rolle mit dem Namen Test-Role entfernt.

aws iam delete-role \
    --role-name Test-Role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Bevor Sie eine Rolle löschen können, müssen Sie die Rolle aus allen Instance-Profilen entfernen (remove-role-from-instance-profile), alle verwalteten Richtlinien entfernen (detach-role-policy) und alle eingebundenen Richtlinien, die der Rolle angefügt sind (delete-role-policy), löschen.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen und Verwenden von Instance-Profilen im AWS-IAM-Benutzerhandbuch.

So löschen Sie einen SAML-Anbieter

In diesem Beispiel wird der IAM SAML 2.0-Anbieter gelöscht, dessen ARN arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider lautet.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So löschen Sie ein Serverzertifikat aus Ihrem AWS-Konto

Der folgende delete-server-certificate-Befehl entfernt das angegebene Serverzertifikat aus Ihrem AWS-Konto.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Um die in Ihrem AWS-Konto verfügbaren Serverzertifikate aufzulisten, verwenden Sie den list-server-certificates-Befehl.

Weitere Informationen finden Sie unter Verwaltung von Serverzertifikaten in IAM im AWS-IAM-Benutzerhandbuch.

So löschen Sie eine serviceverknüpfte Rolle

Im folgenden delete-service-linked-role-Beispiel wird die angegebene serviceverknüpfte Rolle, die Sie nicht mehr benötigen, gelöscht. Der Löschvorgang erfolgt asynchron. Sie können den Status des Löschvorgangs mithilfe des get-service-linked-role-deletion-status-Befehls überprüfen und bestätigen, wann der Vorgang abgeschlossen ist.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Ausgabe:

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS-IAM-Benutzerhandbuch.

Beispiel 1: Löschen von servicespezifischen Anmeldeinformationen für den anfordernden Benutzer

Im folgenden delete-service-specific-credential-Beispiel werden die angegebenen servicespezifischen Anmeldeinformationen für den Benutzer gelöscht, der die Anforderung stellt. Die service-specific-credential-id wird bereitgestellt, wenn Sie die Anmeldeinformationen erstellen, und Sie können sie mithilfe des Befehls list-service-specific-credentials abrufen.

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Löschen von servicespezifischen Anmeldeinformationen für einen angegebenen Benutzer

Im folgenden delete-service-specific-credential-Beispiel werden die angegebenen servicespezifischen Anmeldeinformationen für den angegebenen Benutzer gelöscht. Die service-specific-credential-id wird bereitgestellt, wenn Sie die Anmeldeinformationen erstellen, und Sie können sie mithilfe des Befehls list-service-specific-credentials abrufen.

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu CodeCommit im Benutzerhandbuch zu AWS CodeCommit.

So löschen Sie ein Signaturzertifikat für einen IAM-Benutzer

Der folgende delete-signing-certificate-Befehl löscht das angegebene Signaturzertifikat für den IAM-Benutzer mit dem Namen Bob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-signing-certificates-Befehl, um die ID für ein Signaturzertifikat abzurufen.

Weitere Informationen finden Sie unter Verwaltung von Signaturzertifikaten im Amazon-EC2-Benutzerhandbuch.

So löschen Sie öffentliche SSH-Schlüssel, die an einen IAM-Benutzer angehängt sind

Der folgende delete-ssh-public-key-Befehl löscht den angegebenen öffentlichen SSH-Schlüssel, der an den IAM-Benutzer sofia angehängt ist.

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden von SSH-Schlüsseln und SSH mit CodeCommit im AWS-IAM-Benutzerhandbuch.

So löschen Sie eine Berechtigungsgrenze von einem IAM-Benutzer

Im folgenden delete-user-permissions-boundary-Beispiel wird die Berechtigungsgrenze gelöscht, die dem IAM-Benutzer mit dem Namen intern zugeordnet ist. Um einem Benutzer eine Berechtigungsgrenze zuzuweisen, verwenden Sie den Befehl put-user-permissions-boundary.

aws iam delete-user-permissions-boundary \
    --user-name intern

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So entfernen Sie eine Richtlinie von einem IAM-Benutzer

Mit dem folgenden delete-user-policy-Befehl wird die angegebene Richtlinie vom IAM-Benutzer mit dem Namen Bob entfernt.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-user-policies-Befehl, um eine Liste der Richtlinien für einen IAM-Benutzer abzurufen.

Weitere Informationen finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto im AWS-IAM-Benutzerhandbuch.

So löschen Sie einen IAM-Benutzer

Mit dem folgenden delete-user-Befehl wird der IAM-Benutzer mit dem Namen Bob aus dem aktuellen Konto entfernt.

aws iam delete-user \
    --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Löschen eines IAM-Benutzers im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein virtuelles MFA-Gerät

Mit dem folgenden delete-virtual-mfa-device-Befehl wird das angegebene MFA-Gerät vom aktuellen Konto entfernt.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Deaktivierung von MFA-Geräten im Handbuch zu AWS-IAM-Benutzer.

So trennen Sie eine Richtlinie von einer Gruppe

In diesem Beispiel wird die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy aus der Gruppe mit dem Namen Testers entfernt.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltung von IAM-Benutzergruppen im AWS-IAM-Benutzerhandbuch.

So trennen Sie eine Richtlinie von einer Rolle

In diesem Beispiel wird die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy aus der Rolle mit dem Namen FedTesterRole entfernt.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS-IAM-Benutzerhandbuch.

So trennen Sie eine Richtlinie von einem Benutzer

In diesem Beispiel wird die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/TesterPolicy vom Benutzer Bob entfernt.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Änderung der Berechtigungen für einen IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So deaktivieren Sie das Feature RootCredentialsManagement in Ihrer Organisation

Der folgende disable-organizations-root-credentials-management-Befehl deaktiviert die Verwaltung privilegierter Root-Benutzer-Anmeldeinformationen für alle Mitgliedskonten in Ihrer Organisation.

aws iam disable-organizations-root-credentials-management

Ausgabe:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentralisieren im AWS-IAM-Benutzerhandbuch.

So deaktivieren Sie das Feature RootSessions in Ihrer Organisation

Der folgende disable-organizations-root-sessions-Befehl deaktiviert Root-Benutzer-Sitzungen für privilegierte Aufgaben für alle Mitgliedskonten in Ihrer Organisation.

aws iam disable-organizations-root-sessions

Ausgabe:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentralisieren im AWS-IAM-Benutzerhandbuch.

So aktivieren Sie ein MFA-Gerät

Nachdem Sie mit dem create-virtual-mfa-device-Befehl ein neues virtuelles MFA-Gerät erstellt haben, können Sie das MFA-Gerät einem Benutzer zuweisen. Im folgenden enable-mfa-device-Beispiel wird dem Benutzer Bob das MFA-Gerät mit der Seriennummer arn:aws:iam::210987654321:mfa/BobsMFADevice zugewiesen. Der Befehl synchronisiert das Gerät auch mit AWS, indem er die ersten beiden Codes nacheinander vom virtuellen MFA-Gerät einbezieht.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Aktivieren eines virtuellen Geräts zur Multi-Faktor-Authentifizierung (MFA) im AWS-IAM-Benutzerhandbuch.

So aktivieren Sie das Feature RootCredentialsManagement in Ihrer Organisation

Der folgende enable-organizations-root-credentials-management-Befehl aktiviert die Verwaltung privilegierter Root-Benutzer-Anmeldeinformationen für alle Mitgliedskonten in Ihrer Organisation.

aws iam enable-organizations-root-credentials-management

Ausgabe:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentralisieren im AWS-IAM-Benutzerhandbuch.

So aktivieren Sie das Feature RootSessions in Ihrer Organisation

Mit dem folgenden enable-organizations-root-sessions-Befehl kann das Verwaltungskonto oder der delegierte Administrator privilegierte Aufgaben für Mitgliedskonten in Ihrer Organisation ausführen.

aws iam enable-organizations-root-sessions

Ausgabe:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentralisieren im AWS-IAM-Benutzerhandbuch.

So erstellen Sie einen Bericht zu Anmeldeinformationen

Im folgenden Beispiel wird versucht, einen Anmeldeinformationsbericht für das AWS-Konto zu generieren.

aws iam generate-credential-report

Ausgabe:

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Weitere Informationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So generieren Sie einen Zugriffsbericht für einen Root in einer Organisation

Im folgenden generate-organizations-access-report-Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für den angegebenen Root in einer Organisation zu erstellen. Sie können den Bericht anzeigen, nachdem er durch Ausführung des Befehls get-organizations-access-report erstellt wurde.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Ausgabe:

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Beispiel 2: So generieren Sie einen Zugriffsbericht für ein Konto in einer Organisation

Im folgenden generate-organizations-access-report-Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für die Konto-ID 123456789012 in der Organisation o-4fxmplt198 zu erstellen. Sie können den Bericht anzeigen, nachdem er durch Ausführung des Befehls get-organizations-access-report erstellt wurde.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Ausgabe:

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Beispiel 3: So generieren Sie einen Zugriffsbericht für ein Konto in einer Organisationseinheit einer Organisation

Im folgenden generate-organizations-access-report-Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für die Konto-ID 234567890123 in der Organisationseinheit ou-c3xb-lmu7j2yg der Organisation o-4fxmplt198 zu erstellen. Sie können den Bericht anzeigen, nachdem er durch Ausführung des Befehls get-organizations-access-report erstellt wurde.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Ausgabe:

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Verwenden Sie die Befehle organizations list-roots und organizations list-organizational-units-for-parent, um Details zu Roots und Organisationseinheiten in Ihrer Organisation abzurufen.

Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der zuletzt aufgerufenen Informationen im Handbuch zu AWS-IAM-Benutzer.

Beispiel 1: So generieren Sie einen Service-Zugriffsbericht für eine benutzerdefinierte Richtlinie

Im folgenden Beispiel generate-service-last-accessed-details wird ein Hintergrundauftrag gestartet, um einen Bericht zu generieren, der die Services auflistet, auf die IAM-Benutzer und andere Entitäten mit einer benutzerdefinierten Richtlinie mit dem Namen intern-boundary zugreifen. Sie können den Bericht anzeigen, nachdem er durch Ausführung des Befehls get-service-last-accessed-details erstellt wurde.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Ausgabe:

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Beispiel 2: So generieren Sie einen Service-Zugriffsbericht für die von AWS verwaltete AdministratorAccess-Richtlinie

Im folgenden Beispiel generate-service-last-accessed-details wird ein Hintergrundauftrag gestartet, um einen Bericht zu generieren, der die Services auflistet, auf die IAM-Benutzer und andere Entitäten mit der von AWS verwalteten Richtlinie AdministratorAccess zugreifen. Sie können den Bericht anzeigen, nachdem er durch Ausführung des Befehls get-service-last-accessed-details erstellt wurde.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Ausgabe:

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der zuletzt aufgerufenen Informationen im Handbuch zu AWS-IAM-Benutzer.

So rufen Sie Informationen darüber ab, wann der angegebene Zugriffsschlüssel zuletzt verwendet wurde

Im folgenden Beispiel werden Informationen darüber abgerufen, wann der Zugriffsschlüssel ABCDEXAMPLE zuletzt verwendet wurde.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Ausgabe:

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So listen Sie IAM-Benutzer, Gruppen, Rollen und Richtlinien eines AWS-Kontos auf

Der folgende get-account-authorization-details-Befehl gibt Informationen zu allen IAM-Benutzern, -Gruppen, -Rollen und -Richtlinien im AWS-Konto zurück.

aws iam get-account-authorization-details

Ausgabe:

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version":"2012-10-17",		 	 	 
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version":"2012-10-17",		 	 	 
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::amzn-s3-demo-bucket",
                                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Weitere Informationen finden Sie unter AWS-Sicherheitsaudit-Richtlinien im AWS-IAM-Benutzerhandbuch.

So zeigen Sie die Passwortrichtlinie für das aktuelle Konto an

Mit dem folgenden get-account-password-policy-Befehl werden Details zur Passwortrichtlinie für das aktuelle Konto angezeigt.

aws iam get-account-password-policy

Ausgabe:

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Wenn keine Passwortwortrichtlinie für das Konto definiert ist, gibt der Befehl einen NoSuchEntity-Fehler zurück.

Weitere Informationen finden Sie unter Festlegen einer Kontopasswortrichtlinie für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So rufen Sie Informationen über die Nutzung von IAM-Entitäten und IAM-Kontingenten auf dem aktuellen Konto ab

Der folgende get-account-summary-Befehl gibt Informationen zur aktuellen IAM-Entitätsnutzung und zu den aktuellen IAM-Entitätskontingenten im Konto zurück.

aws iam get-account-summary

Ausgabe:

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Weitere Informationen zu Entitätseinschränkungen finden Sie unter IAM- und AWS-STS-Kontingente im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So listen Sie die Kontextschlüssel auf, auf die von einer oder mehreren benutzerdefinierten JSON-Richtlinien verwiesen wird, die als Parameter in der Befehlszeile bereitgestellt werden

Der folgende Befehl get-context-keys-for-custom-policy analysiert jede bereitgestellte Richtlinie und listet die von diesen Richtlinien verwendeten Kontextschlüssel auf. Verwenden Sie diesen Befehl, um zu ermitteln, welche Kontextschlüsselwerte Sie angeben müssen, um die Richtlinien-Simulatorbefehle simulate-custom-policy und simulate-custom-policy erfolgreich verwenden zu können. Sie können auch die Liste der Kontextschlüssel abrufen, die von allen Richtlinien verwendet werden, die einem IAM-Benutzer oder einer IAM-Rolle zugeordnet sind, indem Sie den Befehl get-context-keys-for-custom-policy verwenden. Parameterwerte, die mit file:// beginnen, weisen den Befehl an, die Datei zu lesen und deren Inhalt als Wert für den Parameter anstelle des Dateinamens selbst zu verwenden.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Ausgabe:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Beispiel 2: So listen Sie die Kontextschlüssel auf, auf die von einer oder mehreren benutzerdefinierten JSON-Richtlinien verwiesen wird, die als Dateieingabe bereitgestellt werden

Der folgende Befehl get-context-keys-for-custom-policy ist derselbe wie im vorherigen Beispiel, mit der Ausnahme, dass die Richtlinien in einer Datei und nicht als Parameter bereitgestellt werden. Da der Befehl eine JSON-Liste von Zeichenfolgen und keine Liste von JSON-Strukturen erwartet, muss die Datei wie folgt strukturiert sein. Sie können sie jedoch zu einer einzigen Datei zusammenfassen.

[
    "Policy1",
    "Policy2"
]

Eine Datei, die die Richtlinie aus dem vorherigen Beispiel enthält, muss beispielsweise wie folgt aussehen. Sie müssen jedes eingebettete Anführungszeichen in der Zeichenfolge der Richtlinie durch Voranstellen eines umgekehrten Schrägstrichs '' ersetzen.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Diese Datei kann dann dem folgenden Befehl übergeben werden.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Ausgabe:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Weitere Informationen finden Sie unter Verwendung des IAM-Richtliniensimulators (AWS-CLI und AWS-API) im Handbuch zu AWS-IAM-Benutzer.

So listen Sie die Kontextschlüssel auf, auf die alle mit einem IAM-Prinzipal verknüpften Richtlinien verweisen

Mit dem folgenden Befehl get-context-keys-for-principal-policy werden alle Richtlinien abgerufen, die dem Benutzer saanvi und allen Gruppen, denen er angehört, zugeordnet sind. Anschließend werden alle Richtlinien analysiert und die von diesen Richtlinien verwendeten Kontextschlüssel aufgelistet. Verwenden Sie diesen Befehl, um zu ermitteln, welche Kontextschlüsselwerte Sie angeben müssen, um die Befehle simulate-custom-policy und simulate-principal-policy erfolgreich zu verwenden. Mit dem Befehl get-context-keys-for-custom-policy können Sie auch die Liste der Kontextschlüssel abrufen, die von einer beliebigen JSON-Richtlinie verwendet werden.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Ausgabe:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Weitere Informationen finden Sie unter Verwendung des IAM-Richtliniensimulators (AWS-CLI und AWS-API) im Handbuch zu AWS-IAM-Benutzer.

So rufen Sie einen Bericht zu Anmeldeinformationen ab

In diesem Beispiel wird der zurückgegebene Bericht geöffnet und als Array von Textzeilen an die Pipeline ausgegeben.

aws iam get-credential-report

Ausgabe:

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Weitere Informationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto im AWS-IAM-Benutzerhandbuch.

So erhalten Sie Informationen zu einer Richtlinie, die einer IAM-Gruppe zugeordnet ist

Mit dem folgenden Befehl get-group-policy werden Informationen über die angegebene Richtlinie abgerufen, die der genannten Gruppe Test-Group zugeordnet ist.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Ausgabe:

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im AWS-IAM-Benutzerhandbuch.

So rufen Sie eine IAM-Gruppe ab

In diesem Beispiel werden Details über die IAM-Gruppe Admins zurückgegeben.

aws iam get-group \
    --group-name Admins

Ausgabe:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Weitere Informationen finden Sie unter IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) im AWS-IAM-Benutzerhandbuch.

So rufen Sie Informationen zu einem Instance-Profil ab

Der folgende Befehl get-instance-profile ruft Informationen über das Instance-Profil mit dem Namen ExampleInstanceProfile ab.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Ausgabe:

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS-IAM-Benutzerhandbuch.

So rufen Sie Passwortinformationen für einen IAM-Benutzer ab

Mit dem folgenden Befehl get-login-profile werden Informationen über das Passwort für den IAM-Benutzer mit dem Namen Bob abgerufen.

aws iam get-login-profile \
    --user-name Bob

Ausgabe:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

Der Befehl get-login-profile kann verwendet werden, um zu überprüfen, ob ein IAM-Benutzer über ein Passwort verfügt. Der Befehl gibt einen NoSuchEntity-Fehler zurück, wenn für den Benutzer kein Passwort definiert ist.

Mit diesem Befehl können Sie kein Passwort anzeigen. Bei Verlust des Passwortes besteht die Möglichkeit, das Passwort (update-login-profile) für den Benutzer zurückzusetzen. Alternativ können Sie das Anmeldeprofil (delete-login-profile) für den Benutzer löschen und anschließend ein neues erstellen (create-login-profile).

Weitere Informationen finden Sie unter Verwalten von Passwörtern für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So rufen Sie Informationen über einen FIDO-Sicherheitsschlüssel ab

Der folgende get-mfa-device-Beispielbefehl ruft Informationen über den angegebenen FIDO-Sicherheitsschlüssel ab.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Ausgabe:

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS-IAM-Benutzerhandbuch.

So geben Sie Informationen zum angegebenen OpenID Connect-Anbieter zurück

In diesem Beispiel werden Details zum OpenID Connect-Anbieter zurückgegeben, dessen ARN arn:aws:iam::123456789012:oidc-provider/server.example.com lautet.

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Ausgabe:

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC)-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So rufen Sie einen Zugriffsbericht ab

Im folgenden get-organizations-access-report-Beispiel wird ein zuvor generierter Zugriffsbericht für eine AWS-Organisationseinheit angezeigt. Verwenden Sie den generate-organizations-access-report-Befehl, um einen Bericht zu generieren.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Ausgabe:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der zuletzt aufgerufenen Informationen im AWS-IAM-Benutzerhandbuch.

So rufen Sie Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab

In diesem Beispiel wird das Richtliniendokument für die Version v2 der Richtlinie zurückgegeben, deren ARN arn:aws:iam::123456789012:policy/MyManagedPolicy lautet.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Ausgabe:

{
    "PolicyVersion": {
        "Document": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So rufen Sie Informationen über die angegebene verwaltete Richtlinie ab

In diesem Beispiel werden Details über die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/MySamplePolicy zurückgegeben.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Ausgabe:

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So erhalten Sie Informationen zu einer Richtlinie, die einer IAM-Rolle zugeordnet ist

Mit dem folgenden Befehl get-role-policy werden Informationen über die angegebene Richtlinie abgerufen, die der Rolle mit dem Namen Test-Role zugeordnet ist.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Ausgabe:

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS-IAM-Benutzerhandbuch.

So rufen Sie Informationen über eine IAM-Rolle ab

Mit dem folgenden get-role-Befehl werden Informationen über die Rolle mit dem Namen Test-Role abgerufen.

aws iam get-role \
    --role-name Test-Role

Ausgabe:

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

Der Befehl zeigt die Vertrauensrichtlinie an, die der Rolle zugeordnet ist. Verwenden Sie den list-role-policies-Befehl, um die einer Rolle zugeordneten Berechtigungsrichtlinien aufzulisten.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS-IAM-Benutzerhandbuch.

So rufen Sie das Metadokument des SAML-Anbieters ab

In diesem Beispiel werden die Details zum SAML 2.0-Anbieter abgerufen, dessen ARM arn:aws:iam::123456789012:saml-provider/SAMLADFS lautet. Die Antwort enthält das Metadatendokument, das Sie vom Identitätsanbieter zur Erstellung der AWS-SAML-Anbieter-Entität erhalten haben, sowie die Erstellungs- und Ablaufdaten.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Ausgabe:

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So rufen Sie Details zu einem Serverzertifikat in Ihrem AWS-Konto ab

Mit dem folgenden get-server-certificate-Befehl werden alle Details zum angegebenen Serverzertifikat in Ihrem AWS-Konto abgerufen.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Ausgabe:

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Um die in Ihrem AWS-Konto verfügbaren Serverzertifikate aufzulisten, verwenden Sie den list-server-certificates-Befehl.

Weitere Informationen finden Sie unter Verwaltung von Serverzertifikaten in IAM im AWS-IAM-Benutzerhandbuch.

So rufen Sie einen Service-Zugriffsbericht mit Details zu einem Service ab

Im folgenden Beispiel get-service-last-accessed-details-with-entities wird ein Bericht abgerufen, der Details zu IAM-Benutzern und anderen Entitäten enthält, die auf den angegebenen Service zugegriffen haben. Verwenden Sie den generate-service-last-accessed-details-Befehl, um einen Bericht zu generieren. Verwenden Sie get-service-last-accessed-details, um eine Liste der Services abzurufen, auf die über Namespaces zugegriffen wird.

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Ausgabe:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der zuletzt aufgerufenen Informationen im Handbuch zu AWS-IAM-Benutzer.

So rufen Sie einen Service-Zugriffsbericht ab

Im folgenden Beispiel get-service-last-accessed-details wird ein zuvor erstellter Bericht abgerufen, der die Services auflistet, auf die IAM-Entitäten zugreifen. Verwenden Sie den generate-service-last-accessed-details-Befehl, um einen Bericht zu generieren.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Ausgabe:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der zuletzt aufgerufenen Informationen im Handbuch zu AWS-IAM-Benutzer.

So überprüfen Sie den Status einer Anfrage zum Löschen einer serviceverknüpften Rolle

Im folgenden get-service-linked-role-deletion-status-Beispiel wird der Status einer früheren Anfrage zum Löschen einer serviceverknüpften Rolle angezeigt. Der Löschvorgang erfolgt asynchron. Wenn Sie die Anfrage stellen, erhalten Sie einen DeletionTaskId-Wert, den Sie als Parameter für diesen Befehl angeben.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Ausgabe:

{
"Status": "SUCCEEDED"
}

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So rufen Sie einen öffentlichen SSH-Schlüssel ab, der in SSH-kodierter Form an einen IAM-Benutzer angehängt ist

Der folgende get-ssh-public-key-Befehl ruft den angegebenen öffentlichen SSH-Schlüssel von dem IAM-Benutzer sofia ab. Die Ausgabe erfolgt in SSH-Kodierung.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Ausgabe:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Beispiel 2: So rufen Sie einen öffentlichen SSH-Schlüssel ab, der in PEM-kodierter Form an einen IAM-Benutzer angehängt ist

Der folgende get-ssh-public-key-Befehl ruft den angegebenen öffentlichen SSH-Schlüssel von dem IAM-Benutzer sofia ab. Die Ausgabe erfolgt in PEM-Kodierung.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Ausgabe:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Weitere Informationen finden Sie unter Verwenden von SSH-Schlüsseln und SSH mit CodeCommit im AWS-IAM-Benutzerhandbuch.

So listen Sie Richtliniendetails für einen IAM-Benutzer auf

Der folgende Befehl get-user-policy listet die Details der angegebenen Richtlinie auf, die dem IAM-Benutzer mit dem Namen Bob angefügt ist.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Ausgabe:

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Verwenden Sie den list-user-policies-Befehl, um eine Liste der Richtlinien für einen IAM-Benutzer abzurufen.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So rufen Sie Informationen über einen IAM-Benutzer ab

Mit dem folgenden get-user-Befehl werden Informationen über den IAM-Benutzer mit dem Namen Paulo abgerufen.

aws iam get-user \
    --user-name Paulo

Ausgabe:

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Weitere Informationen finden Sie unter Verwalten von IAM-Benutzern im AWS-IAM-Benutzerhandbuch.

So listen Sie die Zugriffsschlüssel-IDs für einen IAM-Benutzer auf

Der folgende list-access-keys-Befehl listet die Zugriffsschlüssel-IDs für den IAM-Benutzer mit dem Namen Bob auf.

aws iam list-access-keys \
    --user-name Bob

Ausgabe:

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

Sie können die geheimen Zugriffsschlüssel für IAM-Benutzer nicht auflisten. Bei Verlust der geheimen Zugangsschlüssel müssen Sie mit dem create-access-keys-Befehl neue Zugangsschlüssel erstellen.

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So listen Sie Konto-Aliasse auf

Der folgende list-account-aliases-Befehl listet die Aliasse für das aktuelle Konto auf.

aws iam list-account-aliases

Ausgabe:

{
    "AccountAliases": [
    "mycompany"
    ]
}

Weitere Informationen finden Sie unter Ihre AWS-Konto-ID und ihr Alias im AWS-IAM-Benutzerhandbuch.

So listen Sie alle verwalteten Richtlinien auf, die der angegebenen Gruppe zugeordnet sind

Dieses Beispiel gibt die Namen und ARNs der verwalteten Richtlinien zurück, die der IAM-Gruppe mit dem Namen Admins im AWS-Konto angefügt sind.

aws iam list-attached-group-policies \
    --group-name Admins

Ausgabe:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So listen Sie alle verwalteten Richtlinien auf, die der angegebenen Rolle angefügt sind

Dieser Befehl gibt die Namen und ARNs der verwalteten Richtlinien zurück, die der IAM-Rolle mit dem Namen SecurityAuditRole im AWS-Konto zugeordnet sind.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Ausgabe:

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So listen Sie alle verwalteten Richtlinien auf, die dem angegebenen Benutzer zugeordnet sind

Dieser Befehl gibt die Namen und ARNs der verwalteten Richtlinien für den IAM-Benutzer mit dem Namen Bob im AWS-Konto zurück.

aws iam list-attached-user-policies \
    --user-name Bob

Ausgabe:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So listen Sie alle Benutzer, Gruppen und Rollen auf, denen die angegebene verwaltete Richtlinie zugeordnet ist

Dieses Beispiel gibt eine Liste von IAM-Gruppen, Rollen und Benutzern zurück, denen die Richtlinie arn:aws:iam::123456789012:policy/TestPolicy zugeordnet ist.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Ausgabe:

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So listen Sie alle Inline-Richtlinien auf, die der angegebenen Gruppe zugeordnet sind

Der folgende list-group-policies-Befehl listet die Namen der Inline-Richtlinien auf, die der IAM-Gruppe mit dem Namen Admins im aktuellen Konto zugeordnet sind.

aws iam list-group-policies \
    --group-name Admins

Ausgabe:

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im AWS-IAM-Benutzerhandbuch.

So listen Sie die Gruppen auf, zu denen ein IAM-Benutzer gehört

Der folgende Befehl list-groups-for-user zeigt die Gruppen an, zu denen der IAM-Benutzer mit dem Namen Bob angehört.

aws iam list-groups-for-user \
    --user-name Bob

Ausgabe:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Weitere Informationen finden Sie unter Verwaltung von IAM-Benutzergruppen im AWS-IAM-Benutzerhandbuch.

So listen Sie die IAM-Gruppen für das aktuelle Konto auf

Der folgende list-groups-Befehl listet die IAM-Gruppen im aktuellen Konto auf.

aws iam list-groups

Ausgabe:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Weitere Informationen finden Sie unter Verwaltung von IAM-Benutzergruppen im AWS-IAM-Benutzerhandbuch.

So listen Sie die Tags auf, die an ein Instance-Profil angefügt sind

Der folgende list-instance-profile-tags-Befehl ruft die Liste von Tags ab, die dem angegebenen Instance-Profil zugeordnet sind.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im Handbuch zu AWS-IAM-Benutzer.

So listen Sie die Instance-Profile für eine IAM-Rolle auf

Mit dem folgenden Befehl list-instance-profiles-for-role werden die Instance-Profile aufgelistet, die der Rolle Test-Role zugeordnet sind.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Ausgabe:

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS-IAM-Benutzerhandbuch.

So listen Sie die Instance-Profile für das Konto auf

Im folgenden Befehl list-instance-profiles werden die Instance-Profile aufgelistet, die dem aktuellen Konto zugeordnet sind.

aws iam list-instance-profiles

Ausgabe:

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS-IAM-Benutzerhandbuch.

So listen Sie die an ein MFA-Gerät angehängten Tags auf

Der folgende list-mfa-device-tags-Befehl ruft die Liste von Tags ab, die dem angegebenen MFA-Gerät zugeordnet sind.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im Handbuch zu AWS-IAM-Benutzer.

So listen Sie alle MFA-Geräte für einen angegebenen Benutzer auf

In diesem Beispiel werden Details zum MFA-Gerät zurückgegeben, das dem IAM-Benutzer Bob zugewiesen ist.

aws iam list-mfa-devices \
    --user-name Bob

Ausgabe:

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS-IAM-Benutzerhandbuch.

So listen Sie die Tags auf, die an einen OpenID Connect (OIDC)-kompatiblen Identitätsanbieter angehängt sind

Der folgende list-open-id-connect-provider-tags-Befehl ruft die Liste von Tags ab, die dem angegebenen OIDC-Identitätsanbieter zugeordnet sind.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So listen Sie Informationen zu den OpenID-Connect-Anbietern im AWS-Konto auf

In diesem Beispiel wird eine Liste von ARNS aller OpenID-Connect-Anbieter zurückgegeben, die im aktuellen AWS-Konto definiert sind.

aws iam list-open-id-connect-providers

Ausgabe:

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC)-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So listen Sie die Features für zentralisierten Root-Zugriff auf, die für Ihre Organisation aktiviert sind

Der folgende list-organizations-features-Befehl listet die Features für den zentralisierten Root-Zugriff auf, die für Ihre Organisation aktiviert sind.

aws iam list-organizations-features

Ausgabe:

{
    "EnabledFeatures": [
        "RootCredentialsManagement",
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten im AWS-IAM-Benutzerhandbuch.

So listen Sie die Richtlinien auf, die einem Prinzipal Zugriff auf den angegebenen Service gewähren

Im folgenden list-policies-granting-service-access-Beispiel wird die Liste der Richtlinien abgerufen, die dem IAM-Benutzer sofia Zugriff auf den AWS-CodeCommit-Service gewähren.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Ausgabe:

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie unter Verwenden von IAM mit CodeCommit: Git-Anmeldeinformationen, SSH-Schlüssel und AWS-Zugriffsschlüssel im AWS-IAM-Benutzerhandbuch.

So listen Sie verwaltete Richtlinien auf, die für Ihr AWS-Konto verfügbar sind

In diesem Beispiel wird eine Auflistung der ersten beiden verwalteten Richtlinien zurückgegeben, die im aktuellen AWS-Konto verfügbar sind.

aws iam list-policies \
    --max-items 3

Ausgabe:

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So listen Sie die Tags auf, die einer verwalteten Richtlinie zugeordnet sind

Der folgende list-policy-tags-Befehl ruft die Liste von Tags ab, die der angegebenen verwalteten Richtlinie zugeordnet sind.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im Handbuch zu AWS-IAM-Benutzer.

So listen Sie Informationen zu den Versionen der angegebenen verwalteten Richtlinie auf

In diesem Beispiel wird die Liste der verfügbaren Versionen der Richtlinie zurückgegeben, deren ARN arn:aws:iam::123456789012:policy/MySamplePolicy lautet.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Ausgabe:

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So listen Sie die einer IAM-Rolle angefügten Richtlinien auf

Mit dem folgenden list-role-policies-Befehl werden die Namen der Berechtigungsrichtlinien für die angegebene IAM-Rolle aufgelistet.

aws iam list-role-policies \
    --role-name Test-Role

Ausgabe:

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Verwenden Sie den get-role-Befehl, um die einer Rolle angefügten Vertrauensrichtlinie anzuzeigen. Verwenden Sie den get-role-policy-Befehl, um die Details einer Berechtigungsrichtlinie anzuzeigen.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS-IAM-Benutzerhandbuch.

So listen Sie die einer Rolle zugeordneten Tags auf

Der folgende list-role-tags-Befehl ruft die Liste von Tags ab, die der angegebenen Rolle zugeordnet sind.

aws iam list-role-tags \
    --role-name production-role

Ausgabe:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So listen Sie die IAM-Rollen für das aktuelle Konto auf

Der folgende list-roles-Befehl listet die IAM-Rollen für das aktuelle Konto auf.

aws iam list-roles

Ausgabe:

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version":"2012-10-17",		 	 	 
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version":"2012-10-17",		 	 	 
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS-IAM-Benutzerhandbuch.

So listen Sie die Tags auf, die an einen SAML-Anbieter angehängt sind

Der folgende list-saml-provider-tags-Befehl ruft die Liste von Tags ab, die dem angegebenen SAML-Anbieter zugeordnet sind.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im Handbuch zu AWS-IAM-Benutzer.

So listen Sie die SAML-Anbieter im AWS-Konto auf

In diesem Beispiel wird die Liste der SAML 2.0-Anbieter abgerufen, die im aktuellen AWS-Konto erstellt wurden.

aws iam list-saml-providers

Ausgabe:

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So listen Sie die Tags auf, die an ein Serverzertifikat angefügt sind

Der folgende list-server-certificate-tags-Befehl ruft die Liste der Tags ab, die dem angegebenen Serverzertifikat zugeordnet sind.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Ausgabe:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So listen Sie die Serverzertifikate in Ihrem AWS-Konto auf

Der folgende list-server-certificates-Befehl listet alle in Ihrem AWS-Konto gespeicherten und zur Verwendung verfügbaren Serverzertifikate auf.

aws iam list-server-certificates

Ausgabe:

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Verwaltung von Serverzertifikaten in IAM im AWS-IAM-Benutzerhandbuch.

Beispiel 1: Auflisten der servicespezifischen Anmeldeinformationen für einen Benutzer

Im folgenden list-service-specific-credentials-Beispiel werden alle servicespezifischen Anmeldeinformationen angezeigt, die dem angegebenen Benutzer zugewiesen sind. Passwörter sind nicht in der Antwort enthalten.

aws iam list-service-specific-credentials \
    --user-name sofia

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Beispiel 2: Auflisten der servicespezifischen Anmeldeinformationen für einen Benutzer, gefiltert nach einem bestimmten Service

Im folgenden list-service-specific-credentials-Beispiel werden die servicespezifischen Anmeldeinformationen angezeigt, die dem Benutzer zugewiesen sind, der die Anfrage stellt. Die Liste wird so gefiltert, dass sie nur die Anmeldeinformationen für den angegebenen Service enthält. Passwörter sind nicht in der Antwort enthalten.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Weitere Informationen finden Sie unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu CodeCommit im Benutzerhandbuch zu AWS CodeCommit.

So rufen Sie eine Liste mit Anmeldeinformationen ab

Das folgende list-service-specific-credentials-Beispiel listet die Anmeldeinformationen auf, die für einen Benutzer mit dem Namen developer für den HTTPS-Zugriff auf AWS-CodeCommit-Repositorys generiert wurden.

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Ausgabe:

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Weitere Informationen finden Sie unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu CodeCommit im Benutzerhandbuch zu AWS CodeCommit.

So listen Sie die Signaturzertifikate für einen IAM-Benutzer auf

Mit dem folgenden list-signing-certificates-Befehl werden die Signaturzertifikate für den IAM-Benutzer mit dem Namen Bob aufgelistet.

aws iam list-signing-certificates \
    --user-name Bob

Ausgabe:

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Weitere Informationen finden Sie unter Verwaltung von Signaturzertifikaten im Amazon-EC2-Benutzerhandbuch.

So listen Sie die öffentlichen SSH-Schlüssel auf, die an einen IAM-Benutzer angehängt sind

Das folgende list-ssh-public-keys-Beispiel listet die öffentlichen SSH-Schlüssel auf, die an den IAM-Benutzer sofia angehängt sind.

aws iam list-ssh-public-keys \
    --user-name sofia

Ausgabe:

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von SSH-Schlüsseln und SSH mit CodeCommit im AWS-IAM-Benutzerhandbuch.

So listen Sie Richtlinien für einen IAM-Benutzer auf

Der folgende list-user-policies-Befehl listet die Richtlinien auf, die dem IAM-Benutzer mit dem Namen Bob zugeordnet sind.

aws iam list-user-policies \
    --user-name Bob

Ausgabe:

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Weitere Informationen finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto im AWS-IAM-Benutzerhandbuch.

So listen Sie die an einen Benutzer angefügten Tags auf

Der folgende list-user-tags-Befehl ruft die Liste der Tags ab, die dem angegebenen IAM-Benutzer zugeordnet sind.

aws iam list-user-tags \
    --user-name alice

Ausgabe:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So listen Sie IAM Benutzer auf

Der folgende list-users-Befehl listet die IAM-Benutzer im aktuellen Konto auf.

aws iam list-users

Ausgabe:

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Weitere Informationen finden Sie unter Auflisten von IAM-Benutzern im AWS-IAM-Benutzerhandbuch.

So listen Sie virtuelle MFA-Geräte auf

Der folgende list-virtual-mfa-devices-Befehl listet die virtuellen MFA-Geräte auf, die für das aktuelle Konto konfiguriert wurden.

aws iam list-virtual-mfa-devices

Ausgabe:

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Weitere Informationen finden Sie unter Aktivieren eines virtuellen Geräts zur Multi-Faktor-Authentifizierung (MFA) im AWS-IAM-Benutzerhandbuch.

So fügen Sie eine Richtlinie zu einer Gruppe hinzu

Der folgende put-group-policy-Befehl fügt eine Richtlinie zur IAM-Gruppe mit dem Namen Admins hinzu.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON-Dokument in der Datei AdminPolicy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So wenden Sie eine Berechtigungsgrenze basierend auf einer benutzerdefinierten Richtlinie auf eine IAM-Rolle an

Im folgenden put-role-permissions-boundary-Beispiel wird die benutzerdefinierte Richtlinie mit dem Namen intern-boundary als Berechtigungsgrenze für die angegebene IAM-Rolle angewendet.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: So wenden Sie eine Berechtigungsgrenze basierend auf einer von verwalteten AWS-Richtlinie auf eine IAM-Rolle an

Im folgenden put-role-permissions-boundary-Beispiel wird die von AWS verwaltete PowerUserAccess-Richtlinie als Berechtigungsgrenze für die angegebene IAM-Rolle angewendet.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS-IAM-Benutzerhandbuch.

So fügen Sie einer IAM-Rolle eine Berechtigungsrichtlinie hinzu

Der folgende put-role-policy-Befehl fügt der Rolle mit dem Namen Test-Role eine Berechtigungsrichtlinie hinzu.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON-Dokument in der Datei AdminPolicy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Verwenden Sie den update-assume-role-policy-Befehl, um einer Rolle eine Vertrauensrichtlinie anzufügen.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So wenden Sie eine Berechtigungsgrenze basierend auf einer benutzerdefinierten Richtlinie auf einen IAM-Benutzer an

Im folgenden put-user-permissions-boundary-Beispiel wird eine benutzerdefinierte Richtlinie mit dem Namen intern-boundary als Berechtigungsgrenze für den angegebenen IAM-Benutzer angewendet.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: So wenden Sie eine Berechtigungsgrenze basierend auf einer von verwalteten AWS-Richtlinie auf einen IAM-Benutzer an

Im folgenden put-user-permissions-boundary-Beispiel wird die von AWS verwaltete Richtlinie mit dem Namen PowerUserAccess als Berechtigungsgrenze für den angegebenen IAM-Benutzer angewendet.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im AWS-IAM-Benutzerhandbuch.

So fügen Sie einem IAM-Benutzer eine Richtlinie an

Der folgende put-user-policy-Befehl fügt dem IAM-Benutzer mit dem Namen Bob eine Richtlinie an.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON-Dokument in der Datei AdminPolicy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie die angegebene Client-ID aus der Liste der für den angegebenen Anbieter von IAM OpenID Connect registrierten Client-IDs

In diesem Beispiel wird die Client-ID My-TestApp-3 aus der Liste der Client-IDs entfernt, die dem IAM-OIDC-Anbieter zugeordnet sind, dessen ARN arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com lautet.

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC)-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So entfernen Sie eine Rolle aus einem Instance-Profil

Mit dem folgenden remove-role-from-instance-profile-Befehl wird die Rolle mit dem Namen Test-Role aus dem Instance-Profil mit dem Namen ExampleInstanceProfile entfernt.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie einen Benutzer aus einer IAM-Gruppe

Mit dem folgenden remove-user-from-group-Befehl wird der Benutzer mit dem Namen Bob aus der IAM-Gruppe mit dem Namen Admins entfernt.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Benutzern in einer IAM-Benutzergruppe im AWS-IAM-Benutzerhandbuch.

Beispiel 1: Zurücksetzen des Passworts für servicespezifische Anmeldeinformationen, die dem Benutzer, der die Anfrage gestellt hat, zugeordnet sind

Im folgenden reset-service-specific-credential-Beispiel wird ein neues kryptografisch sicheres Passwort für die angegebenen servicespezifischen Anmeldeinformationen generiert, die an den Benutzer angehängt sind, der die Anfrage gestellt hat.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Beispiel 2: Zurücksetzen des Passworts für servicespezifische Anmeldeinformationen, die einem bestimmten Benutzer zugewiesen sind

Im folgenden reset-service-specific-credential-Beispiel wird ein neues kryptografisch sicheres Passwort für servicespezifische Anmeldeinformationen generiert, die an den angegebenen Benutzer angehängt sind.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Ausgabe:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Weitere Informationen finden Sie unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu CodeCommit im Benutzerhandbuch zu AWS CodeCommit.

So synchronisieren Sie ein MFA-Gerät

Im folgenden resync-mfa-device-Beispiel wird das MFA-Gerät, das dem IAM-Benutzer Bobzugeordnet ist und dessen ARN arn:aws:iam::123456789012:mfa/BobsMFADevice ist, mit einem Authentifizierungsprogramm synchronisiert, das die beiden Authentifizierungscodes bereitgestellt hat.

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS-IAM-Benutzerhandbuch.

So legen Sie die angegebene Version der angegebenen Richtlinie als standardmäßige Version der Richtlinie fest.

In diesem Beispiel wird die v2-Version der Richtlinie, deren ARN arn:aws:iam::123456789012:policy/MyPolicy lautet, als standardmäßig aktive Version festgelegt.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS-IAM-Benutzerhandbuch.

So legen Sie die Tokenversion des globalen Endpunkts fest

Im folgenden set-security-token-service-preferences-Beispiel wird Amazon STS so konfiguriert, dass bei der Authentifizierung am globalen Endpunkt Token der Version 2 verwendet werden.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwalten von AWS STS in einer AWS-Region im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So simulieren Sie die Auswirkungen aller IAM-Richtlinien, die einem IAM-Benutzer oder einer IAM-Rolle zugeordnet sind

In der folgenden simulate-custom-policy wird gezeigt, wie Sie sowohl die Richtlinie angeben als auch Variablenwerte definieren und einen API-Aufruf simulieren, um festzustellen, ob er zulässig ist oder verweigert wird. Das folgende Beispiel zeigt eine Richtlinie, die den Datenbankzugriff erst nach einem angegebenen Datum und einer angegebenen Uhrzeit ermöglicht. Die Simulation ist erfolgreich, weil alle simulierten Aktionen und die angegebene Variable für aws:CurrentTime den Anforderungen der Richtlinie entsprechen.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Beispiel 2: So simulieren Sie einen Befehl, der durch die Richtlinie verboten ist

Das folgende simulate-custom-policy-Beispiel zeigt die Ergebnisse der Simulation eines Befehls, der durch die Richtlinie verboten ist. In diesem Beispiel liegt das angegebene Datum vor dem Datum, das gemäß der Richtlinienbedingung gewählt werden sollte.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Weitere Informationen finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So simulieren Sie die Auswirkungen einer beliebigen IAM-Richtlinie

In der folgenden simulate-principal-policy wird gezeigt, wie simuliert wird, dass ein Benutzer eine API-Aktion aufruft und ermittelt, ob die diesem Benutzer zugewiesenen Richtlinien die Aktion zulassen oder verweigern. Im folgenden Beispiel hat der Benutzer eine Richtlinie, die nur die Aktion codecommit:ListRepositories zulässt.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Beispiel 2: So simulieren Sie die Auswirkungen eines verbotenen Befehls

Das folgende simulate-custom-policy-Beispiel zeigt die Ergebnisse der Simulation eines Befehls, der durch eine der Richtlinien des Benutzers verboten ist. Im folgenden Beispiel verfügt der Benutzer über eine Richtlinie, die den Zugriff auf eine DynamoDB-Datenbank erst nach einem bestimmten Datum und einer bestimmten Uhrzeit erlaubt. Bei der Simulation versucht der Benutzer, mit einem Wert für aws:CurrentTime auf die Datenbank zuzugreifen, der vor der Bedingung der Richtlinie liegt.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Weitere Informationen finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator im AWS-IAM-Benutzerhandbuch.

So fügen Sie ein Tag zu einem Instance-Profil hinzu

Der folgende tag-instance-profile-Befehl fügt dem angegebenen Instance-Profil ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So fügen Sie einem MFA-Gerät ein Tag hinzu

Der folgende tag-mfa-device-Befehl fügt dem angegebenen MFA-Gerät ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So fügen Sie ein Tag einem Identitätsanbieter hinzu, der mit OpenID Connect (OIDC) kompatibel ist

Der folgende tag-open-id-connect-provider-Befehl fügt dem angegebenen OIDC-Identitätsanbieter ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So fügen Sie einer vom Kunden verwalteten Richtlinie ein Tag hinzu

Der folgende tag-policy-Befehl fügt der angegebenen vom Kunden verwalteten Richtlinie ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So fügen Sie einer Rolle ein Tag hinzu

Der folgende tag-role-Befehl fügt der angegebenen Rolle ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So fügen Sie einem SAML-Anbieter ein Tag hinzu

Der folgende tag-saml-provider-Befehl fügt dem angegebenen SAML-Anbieter ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So fügen Sie einem Serverzertifikat ein Tag zu

Der folgende tag-saml-provider-Befehl fügt dem angegebenen Serverzertifikat ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So fügen Sie einem Benutzer ein Tag hinzu

Der folgende tag-user-Befehl fügt dem angegebenen Benutzer ein Tag mit der zugehörigen Abteilung hinzu.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein Tag aus einem Instance-Profil

Der folgende untag-instance-profile-Befehl entfernt alle Tags mit dem Schlüsselnamen „Abteilung“ aus dem angegebenen Instance-Profil.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein Tag von einem MFA-Gerät

Der folgende untag-mfa-device-Befehl entfernt alle Tags mit dem Schlüsselnamen „Abteilung“ vom angegebenen MFA-Gerät.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein Tag von einem OIDC-Identitätsanbieter

Der folgende untag-open-id-connect-provider-Befehl entfernt alle Tags mit dem Schlüsselnamen „Abteilung“ vom angegebenen OIDC-Identitätsanbieter.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein Tag von einer vom Kunden verwalteten Richtlinie

Der folgende untag-policy-Befehl entfernt alle Tags mit dem Schlüsselnamen „Abteilung“ aus der angegebenen vom Kunden verwalteten Richtlinie.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein Tag aus einer Rolle

Der folgende untag-role-Befehl entfernt alle Tags mit dem Schlüsselnamen „Abteilung“ aus der angegebenen Rolle.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein Tag von einem SAML-Anbieter

Der folgende untag-saml-provider-Befehl entfernt alle Tags mit dem Schlüsselnamen „Abteilung“ aus dem angegebenen Instance-Profil.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein Tag aus einem Serverzertifikat

Der folgende untag-server-certificate-Befehl entfernt alle Tags mit dem Schlüsselnamen „Abteilung“ aus dem angegebenen Serverzertifikat.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So entfernen Sie ein Tag von einem Benutzer

Der folgende untag-user-Befehl entfernt alle Tags mit dem Schlüsselnamen „Abteilung“ vom angegebenen Benutzer.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Taggen von IAM-Ressourcen im AWS-IAM-Benutzerhandbuch.

So aktivieren oder deaktivieren Sie einen Zugriffsschlüssel für einen IAM-Benutzer

Mit dem folgenden update-access-key-Befehl wird der angegebene Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den IAM-Benutzer mit dem Namen Bob deaktiviert.

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Deaktivierung des Schlüssels bedeutet, dass dieser nicht für den programmatischen Zugriff auf AWS verwendet werden kann. Der Schlüssel ist jedoch weiterhin verfügbar und kann erneut aktiviert werden.

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So legen Sie die aktuelle Passwortrichtlinie für Konten fest oder ändern diese

Der folgende update-account-password-policy-Befehl legt die Passwortrichtlinie so fest, dass eine Mindestlänge von acht Zeichen und eine oder mehrere Zahlen im Passwort erforderlich sind.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Änderungen an der Passwortrichtlinie eines Kontos wirken sich auf alle neuen Passwörter aus, die für IAM-Benutzer im Konto erstellt werden. Änderungen der Passwortrichtlinie wirken sich nicht auf bestehende Passwörter aus.

Weitere Informationen finden Sie unter Festlegen einer Kontopasswortrichtlinie für IAM-Benutzer im AWS-IAM-Benutzerhandbuch.

So aktualisieren Sie die Vertrauensrichtlinie für eine IAM-Rolle

Der folgende update-assume-role-policy-Befehl aktualisiert die Vertrauensrichtlinie für die Rolle mit dem Namen Test-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Vertrauensrichtlinie ist als JSON-Dokument in der Datei Test-Role-Trust-Policy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.) Die Vertrauensrichtlinie muss einen Prinzipal angeben.

Um die Berechtigungsrichtlinie für eine Rolle zu aktualisieren, verwenden Sie den put-role-policy-Befehl.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS-IAM-Benutzerhandbuch.

So benennen Sie eine IAM-Gruppe um

Mit dem folgenden update-group-Befehl wird der Name der IAM-Gruppe Test in Test-1 verändert.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Umbenennen einer IAM-Benutzergruppe im AWS-IAM-Benutzerhandbuch.

So aktualisieren Sie das Passwort für einen IAM-Benutzer

Der folgende update-login-profile-Befehl erstellt ein neues Passwort für den IAM-Benutzer mit dem Namen Bob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Um eine Passwortrichtlinie für das Konto festzulegen, verwenden Sie den update-account-password-policy-Befehl. Wenn das neue Passwort gegen die Passwortrichtlinie des Kontos verstößt, gibt der Befehl einen PasswordPolicyViolation-Fehler zurück.

Sofern die Passwortrichtlinie des Kontos dies zulässt, können IAM-Benutzer mit dem change-password-Befehl ihre eigenen Passwörter ändern.

Speichern Sie das Passwort an einem sicheren Ort. Bei Verlust des Passwortes ist eine Wiederherstellung nicht möglich und Sie müssen mit dem Befehl create-login-profile ein neues Passwort erstellen.

Weitere Informationen finden Sie unter Verwalten von Passwörtern für IAM-Benutzer im Handbuch zu AWS-IAM-Benutzer.

So ersetzen Sie die vorhandene Liste der Serverzertifikat-Fingerabdrücke durch eine neue Liste

In diesem Beispiel wird die Liste der Zertifikat-Fingerabdrücke für den OIDC-Anbieter aktualisiert, dessen ARN arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com lautet, um einen neuen Fingerabdruck zu verwenden.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von OpenID Connect (OIDC)-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So ändern Sie die Beschreibung einer IAM-Rolle

Der folgende update-role-Befehl ändert die Beschreibung der IAM-Rolle production-role in Main production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Ausgabe:

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS-IAM-Benutzerhandbuch.

So ändern Sie die Beschreibung oder Sitzungsdauer einer IAM-Rolle

Mit dem folgenden update-role-Befehl wird die Beschreibung der IAM-Rolle production-role in Main production role geändert und die maximale Sitzungsdauer auf 12 Stunden festgelegt.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS-IAM-Benutzerhandbuch.

So aktualisieren Sie das Metadatendokument für einen vorhandenen SAML-Anbieter

In diesem Beispiel wird der SAML-Anbieter in IAM, dessen ARN arn:aws:iam::123456789012:saml-provider/SAMLADFS lautet, mit einem neuen SAML-Metadatendokument aus der Datei SAMLMetaData.xml aktualisiert.

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Ausgabe:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS-IAM-Benutzerhandbuch.

So ändern Sie den Pfad oder Namen eines Serverzertifikats in Ihrem AWS-Konto

Mit dem folgenden update-server-certificate-Befehl wird der Name des Zertifikats von myServerCertificate in myUpdatedServerCertificate geändert. Außerdem wird der Pfad in /cloudfront/ geändert, damit der Amazon-CloudFront-Service darauf zugreifen kann. Mit diesem Befehl wird keine Ausgabe zurückgegeben. Sie können die Ergebnisse der Aktualisierung anzeigen, indem Sie den list-server-certificates-Befehl ausführen.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltung von Serverzertifikaten in IAM im AWS-IAM-Benutzerhandbuch.

Beispiel 1: So aktualisieren Sie den Status der servicespezifischen Anmeldeinformationen des anfragenden Benutzers

Im folgenden update-service-specific-credential-Beispiel wird der Status der angegebenen Anmeldeinformationen für den Benutzer, der die Anfrage stellt, in Inactive geändert.

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: So aktualisieren Sie den Status der servicespezifischen Anmeldedaten eines angegebenen Benutzers

Im folgenden update-service-specific-credential-Beispiel wird der Status der Anmeldeinformationen des angegebenen Benutzers in „Inaktiv“ geändert.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu CodeCommit im Benutzerhandbuch zu AWS CodeCommit.

So aktivieren oder deaktivieren Sie ein Signaturzertifikat für einen IAM-Benutzer

Der folgende update-signing-certificate-Befehl deaktiviert das angegebene Signaturzertifikat für den IAM-Benutzer mit dem Namen Bob.

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Verwenden Sie den list-signing-certificates-Befehl, um die ID für ein Signaturzertifikat abzurufen.

Weitere Informationen finden Sie unter Verwaltung von Signaturzertifikaten im Amazon-EC2-Benutzerhandbuch.

So ändern Sie den Status eines öffentlichen SSH-Schlüssels

Der folgende update-ssh-public-key-Befehl ändert den Status des angegebenen öffentlichen Schlüssels inInactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden von SSH-Schlüsseln und SSH mit CodeCommit im AWS-IAM-Benutzerhandbuch.

So ändern Sie den Namen eines IAM-Benutzers

Mit dem folgenden update-user-Befehl wird der Name des IAM-Benutzers Bob in Robert geändert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Umbenennen einer IAM-Benutzergruppe im AWS-IAM-Benutzerhandbuch.

So laden Sie ein Serverzertifikat in Ihr AWS-Konto hoch

Mit dem folgenden Befehl upload-server-certificate wird ein Serverzertifikat auf Ihr AWS-Konto hochgeladen. In diesem Beispiel befindet sich das Zertifikat in der Datei public_key_cert_file.pem, der zugehörige private Schlüssel in der Datei my_private_key.pem und die von der Zertifizierungsstelle (CA) bereitgestellte Zertifikatskette befindet sich in der my_certificate_chain_file.pem-Datei. Wenn die Datei hochgeladen wurde, ist sie unter dem Namen myServerCertificate verfügbar. Parameter, die mit file:// beginnen, weisen den Befehl an, den Inhalt der Datei zu lesen und diesen als Parameterwert anstelle des Dateinamens selbst zu verwenden.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Ausgabe:

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Weitere Informationen finden Sie unter Erstellen, Hochladen und Löschen von Serverzertifikaten im Handbuch zur Verwendung von IAM.

So laden Sie ein Signaturzertifikat für einen IAM-Benutzer hoch

Mit dem folgenden upload-signing-certificate-Befehl wird ein Signaturzertifikat für den IAM-Benutzer mit dem Namen Bob hochgeladen.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Ausgabe:

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

Das Zertifikat befindet sich in einer Datei mit dem Namen certificate.pem im PEM-Format.

Weitere Informationen finden Sie unter „Erstellen und Hochladen eines Benutzersignaturzertifikats“ im Handbuch Verwendung von IAM.

So laden Sie einen öffentlichen SSH-Schlüssel hoch und ordnen ihn einem Benutzer zu

Mit dem folgenden upload-ssh-public-key-Befehl wird der in der Datei sshkey.pub gefundene öffentliche Schlüssel hochgeladen und an den Benutzer sofia angehängt.

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Ausgabe:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Weitere Informationen zum Generieren von Schlüsseln in einem für diesen Befehl geeigneten Format finden Sie unter SSH und Linux, macOS oder Unix: Einrichten der öffentlichen und privaten Schlüssel für Git und CodeCommit oder SSH und Windows: Einrichten der öffentlichen und privaten Schlüssel für Git und CodeCommit im Benutzerhandbuch zu AWS CodeCommit.