Exemples d’utilisation de l’AWS CLI avec IAM

Pour ajouter un ID client (audience) à un fournisseur Open-ID Connect (OIDC)

La commande add-client-id-to-open-id-connect-provider suivante ajoute l’ID client my-application-ID au fournisseur OIDC nommé server.example.com.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Cette commande ne produit aucune sortie.

Pour créer un fournisseur OIDC, utilisez la commande create-open-id-connect-provider.

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS IAM.

Pour ajouter un rôle à un profil d’instance

La commande add-role-to-instance-profile suivante ajoute le rôle nommé S3Access au profil d’instance nommé Webserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Cette commande ne produit aucune sortie.

Pour créer un profil d’instance, utilisez la commande create-instance-profile.

Pour plus d’informations, consultez Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur AWS IAM.

Pour ajouter un utilisateur à un groupe IAM

La commande add-user-to-group suivante ajoute un utilisateur IAM nommé Bob au groupe IAM nommé Admins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Ajout et suppression d’utilisateurs dans un groupe IAM dans le Guide de l’utilisateur AWS IAM.

Pour attacher une politique gérée à un groupe IAM

La commande attach-group-policy suivante attache la politique gérée par AWS, nommée ReadOnlyAccess, au groupe IAM nommé Finance.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Politiques gérées et politiques en ligne dans le Guide de l’utilisateur AWS IAM.

Pour attacher une politique gérée à un rôle IAM

La commande attach-role-policy suivante attache la politique gérée par AWS, nommée ReadOnlyAccess, au rôle IAM nommé ReadOnlyRole.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Politiques gérées et politiques en ligne dans le Guide de l’utilisateur AWS IAM.

Pour attacher une politique gérée à un utilisateur IAM

La commande attach-user-policy suivante attache la politique gérée par AWS, nommée AdministratorAccess, à l’utilisateur IAM nommé Alice.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Politiques gérées et politiques en ligne dans le Guide de l’utilisateur AWS IAM.

Pour changer le mot de passe de votre utilisateur IAM

Pour modifier le mot de passe de votre utilisateur IAM, nous vous recommandons d’utiliser le paramètre --cli-input-json pour transmettre un fichier JSON contenant vos anciens et nouveaux mots de passe. Grâce à cette méthode, vous pouvez utiliser des mots de passe forts contenant des caractères non alphanumériques. Il peut être difficile d’utiliser des mots de passe contenant des caractères non alphanumériques lorsque vous les transmettez en tant que paramètres de ligne de commande. Pour utiliser le paramètre --cli-input-json, commencez par utiliser la commande change-password avec le paramètre --generate-cli-skeleton, comme dans l’exemple suivant.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

La commande précédente crée un fichier JSON appelé change-password.json que vous pouvez utiliser pour renseigner vos anciens et nouveaux mots de passe. Par exemple, le fichier peut ressembler à ce qui suit.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Ensuite, pour modifier votre mot de passe, réutilisez la commande change-password, en passant cette fois le paramètre --cli-input-json pour spécifier votre fichier JSON. La commande change-password suivante utilise le paramètre --cli-input-json avec un fichier JSON appelé change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Cette commande ne produit aucune sortie.

Cette commande ne peut être appelée que par les utilisateurs IAM. Si cette commande est appelée à l’aide des informations d’identification du compte AWS (racine), elle renvoie une erreur InvalidUserType.

Pour plus d’informations, consultez Comment un utilisateur IAM modifie son propre mot de passe dans le Guide de l’utilisateur AWS IAM.

Pour créer une clé d’accès pour un utilisateur IAM

La commande create-access-key suivante créer une clé d’accès (un ID de clé d’accès et une clé d’accès secrète) pour l’utilisateur IAM nommé Bob.

aws iam create-access-key \
    --user-name Bob

Sortie :

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Conservez votre clé d’accès secrète dans un emplacement sécurisé. Si elle est perdue, elle ne peut pas être récupérée et vous devez créer une nouvelle clé.

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un alias de compte

La commande create-account-alias suivante crée l’alias examplecorp pour votre compte AWS.

aws iam create-account-alias \
    --account-alias examplecorp

Cette commande ne produit aucune sortie.

Pour en savoir plus, consultez Votre ID de compte AWS et son alias dans le Guide de l’utilisateur AWS IAM.

Pour créer un groupe IAM

La commande create-group suivante crée un groupe IAM nommé Admins.

aws iam create-group \
    --group-name Admins

Sortie :

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Pour plus d’informations, consultez Création de groupes d’utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un profil d’instance

La commande create-instance-profile suivante crée un profil d’instance nommé Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Sortie :

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Pour ajouter un rôle à un profil d’instance, utilisez la commande add-role-to-instance-profile.

Pour plus d’informations, consultez Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur AWS IAM.

Pour générer le mot de passe d’un utilisateur IAM

Pour générer le mot de passe d’un utilisateur IAM, nous vous recommandons d’utiliser le paramètre --cli-input-json pour transmettre un fichier JSON contenant le mot de passe. Grâce à cette méthode, vous pouvez générer un mot de passe fort contenant des caractères non alphanumériques. Il peut être difficile de générer un mot de passe contenant des caractères non alphanumériques lorsque vous le transmettez en tant que paramètre de la ligne de commande.

Pour utiliser le paramètre --cli-input-json, commencez par utiliser la commande create-login-profile avec le paramètre --generate-cli-skeleton, comme dans l’exemple suivant.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

La commande précédente crée un fichier JSON appelé create-login-profile.json que vous pouvez utiliser pour renseigner les informations d’une commande create-login-profile ultérieure. Par exemple :

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Ensuite, pour générer le mot de passe d’un utilisateur IAM, réutilisez la commande create-login-profile, en passant cette fois le paramètre --cli-input-json pour spécifier votre fichier JSON. La commande create-login-profile suivante utilise le paramètre --cli-input-json avec un fichier JSON appelé create-login-profile.json.

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Sortie :

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Si le nouveau mot de passe enfreint la politique de mot de passe du compte, la commande renvoie une erreur PasswordPolicyViolation.

Pour modifier le mot de passe d’un utilisateur qui en possède déjà un, utilisez update-login-profile. Pour définir une politique de mot de passe pour le compte, utilisez la commande update-account-password-policy.

Si la politique de mot de passe du compte le permet, les utilisateurs IAM peuvent modifier leurs propres mots de passe à l’aide de la commande change-password.

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un fournisseur OpenID Connect (OIDC)

Pour créer un fournisseur OpenID Connect (OIDC), nous vous recommandons d’utiliser le paramètre --cli-input-json pour transmettre un fichier JSON contenant les paramètres requis. Lorsque vous créez un fournisseur OIDC, vous devez transmettre l’URL du fournisseur, qui doit commencer par https://. Il peut être difficile de transmettre l’URL en tant que paramètre de ligne de commande, car les deux points (:) et les barres obliques (/) ont une signification particulière dans certains environnements de ligne de commande. L’utilisation du paramètre --cli-input-json permet de contourner cette limitation.

Pour utiliser le paramètre --cli-input-json, commencez par utiliser la commande create-open-id-connect-provider avec le paramètre --generate-cli-skeleton, comme dans l’exemple suivant.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

La commande précédente crée un fichier JSON appelé create-open-id-connect-provider.json que vous pouvez utiliser pour renseigner les informations d’une commande create-open-id-connect-provider ultérieure. Par exemple :

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Ensuite, pour créer le fournisseur OpenID Connect (OIDC), réutilisez la commande create-open-id-connect-provider, en passant cette fois le paramètre --cli-input-json pour spécifier votre fichier JSON. La commande create-open-id-connect-provider suivante utilise le paramètre --cli-input-json avec un fichier JSON appelé create-open-id-connect-provider.json.

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Sortie :

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Pour obtenir les informations sur les fournisseurs OIDC, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) dans le Guide de l’utilisateur AWS IAM.

Pour plus d’informations sur l’obtention d’empreintes numériques pour un fournisseur OIDC, consultez Obtention de l’empreinte numérique pour un fournisseur d’identité OpenID Connect dans le Guide de l’utilisateur AWS IAM

Pour créer une nouvelle version de la politique gérée

Cet exemple crée une nouvelle version v2 de la politique IAM dont l’ARN est arn:aws:iam::123456789012:policy/MyPolicy et en fait la version par défaut.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Sortie :

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Pour plus d’informations, consultez Gestion des versions des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour créer une politique gérée par le client

La commande suivante crée une politique gérée par le client nommée my-policy. Le fichier policy.json est un document JSON dans le dossier actuel qui accorde un accès en lecture seule au dossier shared dans un compartiment Amazon S3 nommé amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json

Contenu de policy.json

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/shared/*"
            ]
        }
    ]
}

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Pour plus d’informations sur l’utilisation de fichiers comme entrée des paramètres de chaîne, consultez Spécification des valeurs des paramètres pour l’interface de ligne de commande AWS dans le Guide de l’utilisateur de l’interface de commande AWS.

Exemple 2 : pour créer une politique gérée par le client avec une description

La commande suivante crée une politique gérée par le client nommée my-policy avec une description immuable.

Le fichier policy.json est un document JSON dans le dossier actuel qui accorde un accès à toutes les actions Pull, List et Get dans un compartiment Amazon S3 nommé amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for amzn-s3-demo-bucket"

Contenu de policy.json

{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Pour en savoir plus sur les politiques basées sur l’identité, consultez Politiques basées sur l’identité et Politiques basées sur une ressource dans le Guide de l’utilisateur AWS IAM.

Exemple 3 : pour créer une politique gérée par le client avec des balises

La commande suivante crée une politique gérée par le client nommée my-policy avec des balises. Cet exemple utilise le paramètre --tags avec les balises au format JSON suivantes : '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Le paramètre --tags peut également être utilisé avec des balises au format abrégé : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

Le fichier policy.json est un document JSON dans le dossier actuel qui accorde un accès à toutes les actions Pull, List et Get dans un compartiment Amazon S3 nommé amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Contenu de policy.json

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {
        ]
    }
}

Pour plus d’informations sur les politiques de balisage, consultez Balisage des politiques gérées par le client dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour créer un rôle IAM

La commande create-role suivante crée un rôle nommé Test-Role et lui attache une politique d’approbation.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Sortie :

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La politique d’approbation est définie sous la forme d’un document JSON dans le fichier Test-Role-Trust-Policy.json. (Le nom et l’extension du fichier n’ont aucune importance.) La politique d’approbation doit spécifier un principal.

Pour attacher une politique des autorisations à un rôle, utilisez la commande put-role-policy.

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 2 : pour créer un rôle IAM avec une durée de session maximale spécifiée

La commande create-role suivante crée un rôle nommé Test-Role et définit une durée de session maximale de 7 200 secondes (2 heures).

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Pour plus d’informations, consultez la section Modification de la durée de session maximale d’un rôle (API AWS) dans le Guide de l’utilisateur AWS IAM.

Exemple 3 : pour créer un rôle IAM avec des balises

La commande suivante crée un rôle IAM Test-Role avec des balises. Cet exemple utilise l’indicateur de paramètre --tags avec les balises au format JSON suivantes : '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. L’indicateur --tags peut également être utilisé avec des balises au format raccourci : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Pour plus d’informations, consultez Étiquette de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un fournisseur SAML

Cet exemple crée un nouveau fournisseur SAML dans IAM nommé MySAMLProvider. Il est décrit par le document de métadonnées SAML présent dans le fichier SAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Sortie :

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un rôle lié à un service

L’exemple create-service-linked-role suivant crée un rôle lié à un service pour le service AWS spécifié et attache la description spécifiée.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Sortie :

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur AWS IAM.

Création d’un ensemble d’informations d’identification spécifiques au service pour un utilisateur

L’exemple create-service-specific-credential suivant crée un nom d’utilisateur et un mot de passe qui ne peuvent être utilisés que pour accéder au service configuré.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d’informations, consultez Création d’informations d’identification Git pour les connexions HTTPS à CodeCommit dans le Guide de l’utilisateur AWS CodeCommit.

Exemple 1 : pour créer un utilisateur IAM

La commande create-user suivante crée un utilisateur IAM nommé Bob dans le compte actuel.

aws iam create-user \
    --user-name Bob

Sortie :

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Pour plus d’informations, consultez la section Créer un utilisateur IAM dans votre Compte AWS du Guide de l’utilisateur AWS IAM.

Exemple 2 : pour créer un utilisateur IAM à un chemin spécifié

La commande create-user suivante crée un utilisateur IAM nommé Bob au chemin spécifié.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Sortie :

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Pour plus d’informations, consultez Identifiants IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 3 : pour créer un utilisateur IAM avec des balises

La commande create-user suivante crée un utilisateur IAM nommé Bob avec des balises. Cet exemple utilise l’indicateur de paramètre --tags avec les balises au format JSON suivantes : '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. L’indicateur --tags peut également être utilisé avec des balises au format raccourci : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Sortie :

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Pour plus d’informations, consultez Étiquette d’utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 3 : pour créer un utilisateur IAM avec une limite des autorisations définie

La commande create-user suivante crée un utilisateur IAM nommé Bob avec la limite des autorisations d’AmazonS3FullAccess.

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Sortie :

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Pour plus d’informations, consultez Limites d’autorisations pour les entités IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un dispositif MFA virtuel

Cet exemple crée un dispositif MFA virtuel appelé BobsMFADevice. Il crée un fichier, appelé QRCode.png, qui contient les informations d’amorçage et le place dans le répertoire C:/. La méthode d’amorçage utilisée dans cet exemple est QRCodePNG.

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Sortie :

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS IAM.

Pour désactiver un dispositif MFA

Cette commande désactive le dispositif MFA virtuel, dont l’ARN est arn:aws:iam::210987654321:mfa/BobsMFADevice, associé à l’utilisateur Bob.

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS IAM.

Pour décoder un message d’échec d’autorisation

L’exemple decode-authorization-message suivant décode le message renvoyé par la console EC2 lors de la tentative de lancement d’une instance sans les autorisations requises.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

La sortie est mise en forme en tant que chaîne de texte JSON d’une seule ligne que vous pouvez analyser avec n’importe quel processeur de texte JSON.

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Pour plus d’informations, consultez How can I decode an authorization failure message after receiving an "UnauthorizedOperation" error during an EC2 instance launch? dans AWS re:Post.

Pour supprimer une clé d’accès d’un utilisateur IAM

La commande delete-access-key suivante supprime la clé d’accès spécifiée (un ID de clé d’accès rapide et une clé d’accès secrète) de l’utilisateur IAM nommé Bob.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Cette commande ne produit aucune sortie.

Pour répertorier les clés d’accès définies pour un utilisateur IAM, utilisez la commande list-access-keys.

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un alias de compte

La commande delete-account-alias suivante supprime les alias mycompany du compte actuel.

aws iam delete-account-alias \
    --account-alias mycompany

Cette commande ne produit aucune sortie.

Pour en savoir plus, consultez Votre ID de compte AWS et son alias dans le Guide de l’utilisateur AWS IAM.

Pour supprimer la politique de mot de passe du compte actuel

La commande delete-account-password-policy suivante supprime la politique de mot de passe du compte actuel.

aws iam delete-account-password-policy

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez la section Définition d’une politique de mot de passe du compte pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une politique d’un groupe IAM

La commande delete-group-policy suivante supprime la politique nommée ExamplePolicy du groupe nommé Admins.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Cette commande ne produit aucune sortie.

Pour voir les politiques attachées à un groupe, utilisez la commande list-group-policies.

Pour plus d’informations, consultez Gestion des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un groupe IAM

La commande delete-group suivante supprime un groupe IAM nommé MyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez la section Suppression d’un groupe d’utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un profil d’instance

La commande delete-instance-profile suivante supprime un profil d’instance nommé ExampleInstanceProfile.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour supprimer le mot de passe d’un utilisateur IAM

La commande delete-login-profile suivante supprime le mot de passe de l’utilisateur IAM nommé Bob.

aws iam delete-login-profile \
    --user-name Bob

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un fournisseur d’identité IAM OpenID Connect

Cet exemple supprime le fournisseur OIDC IAM qui se connecte au fournisseur example.oidcprovider.com.

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS IAM.

Pour supprimer une version d’une politique gérée

Cet exemple supprime la version identifiée v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une politique IAM

Cet exemple supprime la politique dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une limite des autorisations d’un rôle IAM

L’exemple delete-role-permissions-boundary suivant supprime la limite des autorisations pour le rôle IAM spécifié. Pour appliquer une limite des autorisations à un rôle, utilisez la commande put-role-permissions-boundary.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une politique d’un rôle IAM

La commande delete-role-policy suivante supprime la politique nommée ExamplePolicy du rôle nommé Test-Role.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un rôle IAM

La commande delete-role suivante supprime le rôle nommé Test-Role.

aws iam delete-role \
    --role-name Test-Role

Cette commande ne produit aucune sortie.

Pour pouvoir supprimer un rôle, vous devez le supprimer de tout profil d’instance (remove-role-from-instance-profile), détacher toutes les politiques gérées (detach-role-policy) et supprimer toutes les politiques intégrées attachées au rôle (delete-role-policy).

Pour plus d’informations, consultez Création de rôles IAM et Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un fournisseur SAML

Cet exemple supprime le fournisseur IAM SAML 2.0 dont l’ARN est arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un certificat de serveur de votre compte AWS

La commande delete-server-certificate suivante supprime le certificat de serveur spécifié de votre compte AWS.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Cette commande ne produit aucune sortie.

Pour répertorier les certificats de serveur disponibles dans votre compte AWS, utilisez la commande list-server-certificates.

Pour plus d’informations, consultez Gestion des certificats de serveur dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un rôle lié à un service

L’exemple delete-service-linked-role suivant supprime le rôle lié à un service spécifié dont vous n’avez plus besoin. La suppression s’effectue de manière asynchrone. Vous pouvez vérifier le statut de la suppression et si elle est terminée à l’aide de la commande get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Sortie :

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour supprimer des informations d’identification spécifiques au service pour l’utilisateur à l’origine de la demande

L’exemple delete-service-specific-credential suivant supprime les informations d’identification spécifiques au service spécifié pour l’utilisateur qui effectue la demande. service-specific-credential-id est fourni lorsque vous créez les informations d’identification. Vous pouvez le récupérer à l’aide de la commande list-service-specific-credentials.

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Cette commande ne produit aucune sortie.

Exemple 2 : pour supprimer des informations d’identification spécifiques au service pour un utilisateur spécifié

L’exemple delete-service-specific-credential suivant supprime les informations d’identification spécifiques au service indiqué pour l’utilisateur spécifié. service-specific-credential-id est fourni lorsque vous créez les informations d’identification. Vous pouvez le récupérer à l’aide de la commande list-service-specific-credentials.

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Création d’informations d’identification Git pour les connexions HTTPS à CodeCommit dans le Guide de l’utilisateur AWS CodeCommit.

Pour supprimer un certificat de signature d’un utilisateur IAM

La commande delete-signing-certificate suivante supprime le certificat de signature spécifié pour l’utilisateur IAM nommé Bob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Cette commande ne produit aucune sortie.

Pour obtenir l’ID d’un certificat de signature, utilisez la commande list-signing-certificates.

Pour plus d’informations, consultez Gestion des certificats de signature dans le Guide de l’utilisateur Amazon EC2.

Pour supprimer une clé publique SSH attachée à un utilisateur IAM

La commande delete-ssh-public-key suivante supprime la clé publique SSH spécifiée attachée à l’utilisateur IAM sofia.

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Utilisation de clés SSH et SSH avec CodeCommit dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une limite des autorisations d’un utilisateur IAM

L’exemple delete-user-permissions-boundary suivant supprime la limite des autorisations attachée à l’utilisateur IAM nommé intern. Pour appliquer une limite des autorisations à un utilisateur, utilisez la commande put-user-permissions-boundary.

aws iam delete-user-permissions-boundary \
    --user-name intern

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une politique d’un utilisateur IAM

La commande delete-user-policy suivante supprime la politique spécifiée de l’utilisateur IAM nommé Bob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Cette commande ne produit aucune sortie.

Pour obtenir une liste des politiques d’un utilisateur IAM, utilisez la commande list-user-policies.

Pour plus d’informations, consultez la section Créer un utilisateur IAM dans votre Compte AWS du Guide de l’utilisateur AWS IAM.

Pour supprimer un utilisateur IAM

La commande delete-user suivante supprime l’utilisateur IAM nommé Bob du compte actuel.

aws iam delete-user \
    --user-name Bob

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez la section Suppression d’un utilisateur IAM dans le Guide de l’utilisateur AWS IAM.

Pour retirer un dispositif MFA virtuel

La commande delete-virtual-mfa-device suivante supprime le dispositif MFA spécifié du compte actuel.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Désactivation des dispositifs MFA dans le Guide de l’utilisateur AWS IAM.

Pour détacher une politique d’un groupe

Cet exemple supprime la politique gérée, dont l’ARN est arn:aws:iam::123456789012:policy/TesterAccessPolicy, du rôle nommé Testers.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez la section Gestion des groupes IAM dans le Guide de l’utilisateur AWS IAM.

Pour détacher une politique d’un rôle

Cet exemple supprime la politique gérée avec l’ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy du rôle nommé FedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour détacher une politique d’un utilisateur

Cet exemple supprime la politique gérée avec l’ARN arn:aws:iam::123456789012:policy/TesterPolicy de l’utilisateur Bob.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Modification des autorisations pour un utilisateur IAM dans le Guide de l’utilisateur AWS IAM.

Pour désactiver la fonctionnalité RootCredentialsManagement dans votre organisation

La commande disable-organizations-root-credentials-management suivante désactive la gestion des informations d’identification privilégiées des utilisateurs racines dans l’ensemble des comptes membres de votre organisation.

aws iam disable-organizations-root-credentials-management

Sortie :

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d’informations, consultez Centralisation de l’accès racine pour les comptes membres dans le Guide de l’utilisateur AWS IAM.

Pour désactiver la fonctionnalité RootSessions dans votre organisation

La commande disable-organizations-root-sessions suivante désactive les sessions des utilisateurs racines pour les tâches privilégiées dans l’ensemble des comptes membres de votre organisation.

aws iam disable-organizations-root-sessions

Sortie :

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d’informations, consultez Centralisation de l’accès racine pour les comptes membres dans le Guide de l’utilisateur AWS IAM.

Pour activer un dispositif MFA

Après avoir utilisé la create-virtual-mfa-device commande pour créer un dispositif MFA virtuel, vous pouvez attribuer le dispositif MFA à un utilisateur. L’exemple enable-mfa-device suivant attribue le dispositif MFA, dont le numéro de série est arn:aws:iam::210987654321:mfa/BobsMFADevice, à l’utilisateur Bob. La commande synchronise également le dispositif AWS en incluant les deux premiers codes en séquence à partir du dispositif MFA virtuel.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Cette commande ne produit aucune sortie.

Pour de plus d’informations, consultez Activation d’un dispositif virtuel d’authentification multifactorielle (MFA) dans le Guide de l’utilisateur AWS IAM.

Pour activer la fonctionnalité RootCredentialsManagement dans votre organisation

La commande enable-organizations-root-credentials-management suivante active la gestion des informations d’identification privilégiées des utilisateurs racines dans l’ensemble des comptes membres de votre organisation.

aws iam enable-organizations-root-credentials-management

Sortie :

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d’informations, consultez Centralisation de l’accès racine pour les comptes membres dans le Guide de l’utilisateur AWS IAM.

Pour activer la fonctionnalité RootSessions dans votre organisation

La commande enable-organizations-root-sessions suivante permet au compte de gestion ou à l’administrateur délégué d’effectuer des tâches privilégiées au niveau des comptes membres de votre organisation.

aws iam enable-organizations-root-sessions

Sortie :

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d’informations, consultez Centralisation de l’accès racine pour les comptes membres dans le Guide de l’utilisateur AWS IAM.

Pour générer un rapport sur les informations d’identification

L’exemple suivant tente de générer un rapport sur les informations d’identification pour le compte AWS.

aws iam generate-credential-report

Sortie :

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Pour plus d’informations, consultez la section Obtenir des rapports d’informations d’identification pour votre Compte AWS du Guide de l’utilisateur AWS IAM.

Exemple 1 : pour générer un rapport d’accès pour une racine dans une organisation

L’exemple generate-organizations-access-report suivant lance une tâche en arrière-plan afin de créer un rapport d’accès pour la racine spécifiée dans une organisation. Vous pouvez afficher le rapport une fois qu’il a été créé en exécutant la commande get-organizations-access-report.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Sortie :

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Exemple 2 : pour générer un rapport d’accès pour un compte dans une organisation

L’exemple generate-organizations-access-report suivant lance une tâche en arrière-plan afin de créer un rapport d’accès pour l’ID de compte 123456789012 dans l’organisation o-4fxmplt198. Vous pouvez afficher le rapport une fois qu’il a été créé en exécutant la commande get-organizations-access-report.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Sortie :

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Exemple 3 : pour générer un rapport d’accès pour un compte dans une unité organisationnelle d’une organisation

L’exemple generate-organizations-access-report suivant lance une tâche en arrière-plan afin de créer un rapport d’accès pour l’ID de compte 234567890123 dans l’unité organisationnelle ou-c3xb-lmu7j2yg de l’organisation o-4fxmplt198. Vous pouvez afficher le rapport une fois qu’il a été créé en exécutant la commande get-organizations-access-report.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Sortie :

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Pour obtenir les informations sur les racines et les unités organisationnelles de votre organisation, utilisez les commandes organizations list-roots et organizations list-organizational-units-for-parent.

Pour plus d’informations, consultez Affiner les autorisations dans AWS en utilisant les informations de dernier accès dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour générer un rapport d’accès aux services pour une politique personnalisée

L’exemple generate-service-last-accessed-details suivant lance une tâche en arrière-plan pour générer un rapport répertoriant les services auxquels accèdent les utilisateurs IAM et les autres entités avec une politique personnalisée nommée intern-boundary. Vous pouvez afficher le rapport une fois qu’il a été créé en exécutant la commande get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Sortie :

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Exemple 2 : pour générer un rapport d’accès aux services pour la politique AdministratorAccess gérée par AWS

L’exemple generate-service-last-accessed-details suivant lance une tâche en arrière-plan pour générer un rapport répertoriant les services auxquels accèdent les utilisateurs IAM et les autres entités avec la politique AdministratorAccess gérée par AWS. Vous pouvez afficher le rapport une fois qu’il a été créé en exécutant la commande get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Sortie :

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Pour plus d’informations, consultez Affiner les autorisations dans AWS en utilisant les informations de dernier accès dans le Guide de l’utilisateur AWS IAM.

Pour récupérer les informations relatives au moment où la clé d’accès spécifiée a été utilisée pour la dernière fois

L’exemple suivant récupère les informations relatives au moment où la clé d’accès ABCDEXAMPLE a été utilisée pour la dernière fois.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Sortie :

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les utilisateurs, les groupes, les rôles et les politiques IAM d’un compte AWS

La commande get-account-authorization-details suivante renvoie des informations sur l’ensemble des utilisateurs, des groupes, des rôles et des politiques IAM du compte AWS.

aws iam get-account-authorization-details

Sortie :

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version":"2012-10-17",		 	 	 
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version":"2012-10-17",		 	 	 
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::amzn-s3-demo-bucket",
                                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Pour plus d’informations, consultez Consignes pour les audits de sécurité AWS dans le Guide de l’utilisateur AWS IAM.

Pour afficher la politique de mot de passe du compte actuel

La commande get-account-password-policy suivante affiche les détails de la politique de mot de passe du compte actuel.

aws iam get-account-password-policy

Sortie :

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Si aucune politique de mot de passe n’est définie pour le compte, la commande renvoie une erreur NoSuchEntity.

Pour plus d’informations, consultez la section Définition d’une politique de mot de passe du compte pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer les informations sur l’utilisation des entités IAM et les quotas IAM dans le compte actuel

La commande get-account-summary suivante renvoie des informations sur l’utilisation actuelle des entités IAM et les quotas IAM actuels dans le compte.

aws iam get-account-summary

Sortie :

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Pour plus d’informations sur les limites des entités, consultez les Quotas IAM et AWS STS dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour répertorier les clés de contexte référencées par une ou plusieurs politiques JSON personnalisées fournies en paramètre sur la ligne de commande

La commande get-context-keys-for-custom-policy suivante analyse chaque politique fournie et répertorie les clés de contexte utilisées par ces politiques. Utilisez cette commande pour identifier les valeurs de clé de contexte que vous devez fournir pour utiliser correctement les commandes simulate-custom-policy et simulate-custom-policy du simulateur de politiques. Vous pouvez également récupérer la liste des clés de contexte utilisées par toutes les politiques associées à un utilisateur ou à un rôle IAM à l’aide de la commande get-context-keys-for-custom-policy. Les valeurs des paramètres qui commencent par file:// ordonnent à la commande de lire le fichier et d’utiliser son contenu comme valeur du paramètre au lieu du nom du fichier lui-même.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Exemple 2 : pour répertorier les clés de contexte référencées par une ou plusieurs politiques JSON personnalisées fournies en entrée de fichier

La commande get-context-keys-for-custom-policy suivante est identique à l’exemple précédent, sauf que les politiques sont fournies dans un fichier plutôt que sous forme de paramètre. Comme la commande attend une liste de chaînes JSON, et non une liste de structures JSON, le fichier doit être structuré comme suit, bien que vous puissiez le réduire en une seule unité.

[
    "Policy1",
    "Policy2"
]

Ainsi, un fichier contenant la politique de l’exemple précédent doit ressembler à ce qui suit. Vous devez échapper chaque guillemet double intégré dans la chaîne de politique en le faisant précéder d’une barre oblique inverse ’’.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Ce fichier peut ensuite être soumis à la commande suivante.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Pour plus d’informations, consultez Utilisation du simulateur de politique IAM (AWS CLI et API AWS) dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les clés de contexte référencées par toutes les politiques associées à un principal IAM

La commande get-context-keys-for-principal-policy suivante extrait toutes les politiques associées à l’utilisateur saanvi et aux groupes dont elle est membre. Elle analyse ensuite chacune d’elles et répertorie les clés de contexte utilisées par ces politiques. Utilisez cette commande pour identifier les valeurs de clé de contexte que vous devez fournir pour utiliser correctement les commandes simulate-custom-policy et simulate-principal-policy. Vous pouvez également récupérer la liste des clés de contexte utilisées par une politique JSON arbitraire à l’aide de la commande get-context-keys-for-custom-policy.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Pour plus d’informations, consultez Utilisation du simulateur de politique IAM (AWS CLI et API AWS) dans le Guide de l’utilisateur AWS IAM.

Pour obtenir un rapport sur les informations d’identification

Cet exemple ouvre le rapport renvoyé et le transmet au pipeline sous la forme d’un tableau de lignes de texte.

aws iam get-credential-report

Sortie :

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Pour plus d’informations, consultez la section Obtenir des rapports d’informations d’identification pour votre Compte AWS du Guide de l’utilisateur AWS IAM.

Pour obtenir les informations sur une politique attachée à un groupe IAM

La commande get-group-policy suivante permet d’obtenir des informations sur la politique spécifiée attachée au groupe nommé Test-Group.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Sortie :

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Pour plus d’informations, consultez Gestion des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir un groupe IAM

Cet exemple renvoie les informations sur le groupe IAM Admins.

aws iam get-group \
    --group-name Admins

Sortie :

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Pour plus d’informations, consultez Identités IAM (utilisateurs, groupes et rôles) dans le Guide de l’utilisateur AWS IAM.

Pour obtenir les informations sur un profil d’instance

La commande get-instance-profile suivante permet d’obtenir des informations sur le profil d’instance nommé ExampleInstanceProfile.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Sortie :

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Pour plus d’informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour obtenir les informations sur le mot de passe d’un utilisateur IAM

La commande get-login-profile suivante permet d’obtenir des informations sur le mot de passe de l’utilisateur IAM nommé Bob.

aws iam get-login-profile \
    --user-name Bob

Sortie :

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

La commande get-login-profile peut être utilisée pour vérifier qu’un utilisateur IAM possède un mot de passe. La commande renvoie une erreur NoSuchEntity si aucun mot de passe n’est défini pour l’utilisateur.

Vous ne pouvez pas afficher un mot de passe à l’aide de cette commande. Si le mot de passe est perdu, vous pouvez le réinitialiser (update-login-profile) pour l’utilisateur. Vous pouvez également supprimer le profil de connexion (delete-login-profile) de l’utilisateur, puis en recréer un (create-login-profile).

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer les informations sur une clé de sécurité FIDO

L’exemple de commande get-mfa-device suivant récupère les informations sur la clé de sécurité FIDO spécifiée.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Sortie :

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS IAM.

Pour renvoyer les informations sur le fournisseur OpenID Connect spécifié

Cet exemple renvoie les informations sur le fournisseur OpenID Connect dont l’ARN est arn:aws:iam::123456789012:oidc-provider/server.example.com.

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Sortie :

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS IAM.

Pour récupérer un rapport d’accès

L’exemple get-organizations-access-report suivant affiche un rapport d’accès généré précédemment pour une entité AWS Organizations. Pour générer un rapport, utilisez la commande generate-organizations-access-report.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Pour plus d’informations, consultez Affiner les autorisations dans AWS en utilisant les informations de dernier accès dans le Guide de l’utilisateur AWS IAM.

Pour récupérer les informations sur la version spécifiée de la politique gérée spécifiée

Cet exemple renvoie le document de politique pour la version v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Sortie :

{
    "PolicyVersion": {
        "Document": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer les informations sur la politique gérée spécifiée

Cet exemple renvoie des détails sur la politique gérée dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Sortie :

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir les informations sur une politique attachée à un rôle IAM

La commande get-role-policy suivante permet d’obtenir des informations sur la politique spécifiée attachée au rôle nommé Test-Role.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Sortie :

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir les informations sur un rôle IAM

La commande get-role suivante permet d’obtenir des informations sur le rôle nommé Test-Role.

aws iam get-role \
    --role-name Test-Role

Sortie :

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La commande affiche la politique d’approbation attachée au rôle. Pour répertorier les politiques des autorisations attachées à un rôle, utilisez la commande list-role-policies.

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer le métadocument du fournisseur SAML

Cet exemple extrait les informations relatives au fournisseur SAML 2.0 dont l’ARM est le nom arn:aws:iam::123456789012:saml-provider/SAMLADFS. La réponse inclut le document de métadonnées que vous avez obtenu du fournisseur d’identité pour créer l’entité du fournisseur SAML AWS ainsi que les dates de création et d’expiration.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Sortie :

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir les informations sur un certificat de serveur dans votre compte AWS

La commande get-server-certificate suivante extrait tous les détails relatifs au certificat de serveur spécifié dans votre compte AWS.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Sortie :

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Pour répertorier les certificats de serveur disponibles dans votre compte AWS, utilisez la commande list-server-certificates.

Pour plus d’informations, consultez Gestion des certificats de serveur dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer un rapport d’accès aux services contenant les détails d’un service

L’exemple get-service-last-accessed-details-with-entities suivant récupère un rapport contenant des informations détaillées sur les utilisateurs IAM et les autres entités ayant accédé au service spécifié. Pour générer un rapport, utilisez la commande generate-service-last-accessed-details. Pour obtenir une liste des services auxquels on accède à l’aide d’espaces de noms, utilisez get-service-last-accessed-details.

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Pour plus d’informations, consultez Affiner les autorisations dans AWS en utilisant les informations de dernier accès dans le Guide de l’utilisateur AWS IAM.

Pour récupérer un rapport d’accès aux services

L’exemple get-service-last-accessed-details suivant récupère un rapport généré précédemment qui répertorie les services auxquels accèdent les entités IAM. Pour générer un rapport, utilisez la commande generate-service-last-accessed-details.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Pour plus d’informations, consultez Affiner les autorisations dans AWS en utilisant les informations de dernier accès dans le Guide de l’utilisateur AWS IAM.

Pour vérifier le statut d’une requête de suppression d’un rôle lié à un service

L’exemple get-service-linked-role-deletion-status suivant affiche le statut d’une requête précédente de suppression d’un rôle lié à un service. L’opération de suppression s’effectue de manière asynchrone. Lorsque vous effectuez la requête, vous obtenez une valeur DeletionTaskId que vous fournissez en tant que paramètre de cette commande.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Sortie :

{
"Status": "SUCCEEDED"
}

Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour récupérer une clé publique SSH attachée à un utilisateur IAM au format encodé en SSH

La commande get-ssh-public-key suivante récupère la clé publique SSH spécifiée auprès de l’utilisateur IAM sofia. La sortie est encodée en SSH.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Exemple 2 : pour récupérer une clé publique SSH attachée à un utilisateur IAM au format encodé en PEM

La commande get-ssh-public-key suivante récupère la clé publique SSH spécifiée auprès de l’utilisateur IAM sofia. La sortie est encodée en PEM.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Pour plus d’informations, consultez Utilisation de clés SSH et SSH avec CodeCommit dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les détails de la politique d’un utilisateur IAM

La commande get-user-policy suivante répertorie les détails de la politique spécifiée qui est attachée à l’utilisateur IAM nommé Bob.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Sortie :

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Pour obtenir une liste des politiques d’un utilisateur IAM, utilisez la commande list-user-policies.

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir les informations sur un utilisateur IAM

La commande get-user suivante permet d’obtenir des informations sur l’utilisateur IAM nommé Paulo.

aws iam get-user \
    --user-name Paulo

Sortie :

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Pour plus d’informations, consultez la section Gestion des utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les ID de clés d’accès d’un utilisateur IAM

La commande list-access-keys suivante répertorie les ID des clés d’accès de l’utilisateur IAM nommé Bob.

aws iam list-access-keys \
    --user-name Bob

Sortie :

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

Vous ne pouvez pas répertorier les clés d’accès secrètes des utilisateurs IAM. Si les clés d’accès secrètes sont perdues, vous devez créer de nouvelles clés d’accès à l’aide de la commande create-access-keys.

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier des alias de compte

La commande list-account-aliases suivante répertorie les alias du compte actuel.

aws iam list-account-aliases

Sortie :

{
    "AccountAliases": [
    "mycompany"
    ]
}

Pour en savoir plus, consultez Votre ID de compte AWS et son alias dans le Guide de l’utilisateur AWS IAM.

Pour répertorier toutes les politiques gérées attachées au groupe spécifié

Cette commande renvoie les noms et les ARN des politiques gérées qui sont attachées au groupe IAM nommé Admins dans le compte AWS.

aws iam list-attached-group-policies \
    --group-name Admins

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier toutes les politiques gérées qui sont attachées au rôle spécifié

Cette commande renvoie les noms et les ARN des politiques gérées associées au rôle IAM nommé SecurityAuditRole dans le compte AWS.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier toutes les politiques gérées attachées à l’utilisateur spécifié

Cette commande renvoie les noms et les ARN des politiques gérées associées à l’utilisateur IAM nommé Bob dans le compte AWS.

aws iam list-attached-user-policies \
    --user-name Bob

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier tous les utilisateurs, groupes et rôles auxquels la politique gérée spécifiée est attachée

Cet exemple renvoie une liste des groupes, des rôles et des utilisateurs IAM auxquels la politique arn:aws:iam::123456789012:policy/TestPolicy est attachée.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Sortie :

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier toutes les politiques en ligne attachées au groupe spécifié

La commande list-group-policies suivante répertorie les noms des politiques en ligne attachées au groupe IAM nommé Admins dans le compte actuel.

aws iam list-group-policies \
    --group-name Admins

Sortie :

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Pour plus d’informations, consultez Gestion des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les groupes auxquels l’utilisateur IAM appartient

La commande list-groups-for-user suivante affiche les groupes auxquels l’utilisateur IAM nommé Bob appartient.

aws iam list-groups-for-user \
    --user-name Bob

Sortie :

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Pour plus d’informations, consultez la section Gestion des groupes IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les groupes IAM du compte actuel

La commande list-groups suivante répertorie les groupes IAM du compte actuel.

aws iam list-groups

Sortie :

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Pour plus d’informations, consultez la section Gestion des groupes IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à un profil d’instance

La commande list-instance-profile-tags suivante extrait la liste des balises associées au profil d’instance spécifié.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les profils d’instance d’un rôle IAM

La commande list-instance-profiles-for-role suivante répertorie les profils d’instance associés au rôle Test-Role.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Sortie :

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Pour plus d’informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les profils d’instance du compte

La commande list-instance-profiles suivante répertorie les profils d’instance associés au compte actuel.

aws iam list-instance-profiles

Sortie :

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Pour plus d’informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à un appareil MFA

La commande list-mfa-device-tags suivante extrait la liste des balises associées à l’appareil MFA spécifié.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier tous les dispositifs MFA d’un utilisateur spécifique

Cet exemple renvoie les informations sur le dispositif MFA attribué à l’utilisateur IAM Bob.

aws iam list-mfa-devices \
    --user-name Bob

Sortie :

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à un fournisseur d’identité compatible avec OpenID Connect (OIDC)

La commande list-open-id-connect-provider-tags suivante extrait la liste des balises associées au fournisseur d’identité OIDC spécifié.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les informations relatives aux fournisseurs OpenID Connect dans le compte AWS

Cet exemple renvoie une liste des ARN de tous les fournisseurs OpenID Connect définis dans le compte AWS actuel.

aws iam list-open-id-connect-providers

Sortie :

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS IAM.

Pour répertorier les fonctionnalités d’accès racine centralisé activées pour votre organisation

La commande list-organizations-features suivante répertorie les fonctionnalités d’accès racine centralisé activées pour votre organisation.

aws iam list-organizations-features

Sortie :

{
    "EnabledFeatures": [
        "RootCredentialsManagement",
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d’informations, consultez Gestion centralisée de l’accès racine pour les comptes membres dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les politiques qui accordent un accès principal au service spécifié

L’exemple list-policies-granting-service-access suivant récupère la liste des politiques qui accordent à l’utilisateur IAM sofia l’accès au service AWS CodeCommit.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Sortie :

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, consultez Utilisation d’IAM avec CodeCommit : informations d’identification Git, clés SSH et clés d’accès AWS dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les politiques gérées disponibles pour votre compte AWS

Cet exemple renvoie un ensemble des deux premières politiques gérées disponibles dans le compte AWS actuel.

aws iam list-policies \
    --max-items 3

Sortie :

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à une politique gérée

La commande list-policy-tags suivante extrait la liste des balises associées à la politique gérée spécifiée.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer les informations sur les versions de la politique gérée spécifiée

Cet exemple renvoie la liste des versions disponibles de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Sortie :

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les politiques attachées à un rôle IAM

La commande list-role-policies suivante répertorie les noms des politiques des autorisations pour le rôle IAM spécifié.

aws iam list-role-policies \
    --role-name Test-Role

Sortie :

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Pour voir la politique d’approbation attachée à un rôle, utilisez la commande get-role. Pour voir les détails d’une politique des autorisations, utilisez la commande get-role-policy.

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à un rôle

La commande list-role-tags suivante extrait la liste des balises associées au rôle spécifié.

aws iam list-role-tags \
    --role-name production-role

Sortie :

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les rôles IAM du compte actuel

La commande list-roles suivante répertorie les rôles IAM du compte actuel.

aws iam list-roles

Sortie :

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version":"2012-10-17",		 	 	 
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version":"2012-10-17",		 	 	 
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à un fournisseur SAML

La commande list-saml-provider-tags suivante extrait la liste des balises associées au fournisseur SAML spécifié.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les fournisseurs SAML dans le compte AWS

Cet exemple extrait la liste des fournisseurs SAML 2.0 créés dans le compte AWS actuel.

aws iam list-saml-providers

Sortie :

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à un certificat de serveur

La commande list-server-certificate-tags suivante extrait la liste des balises associées au certificat de serveur spécifié.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les certificats de serveur de votre compte AWS

La commande list-server-certificates suivante répertorie tous les certificats de serveur stockés à utiliser dans votre compte AWS.

aws iam list-server-certificates

Sortie :

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Pour plus d’informations, consultez Gestion des certificats de serveur dans IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour répertorier les informations d’identification spécifiques au service pour un utilisateur

L’exemple list-service-specific-credentials suivant affiche toutes les informations d’identification spécifiques au service attribuées à l’utilisateur spécifié. Les mots de passe ne sont pas inclus dans la réponse.

aws iam list-service-specific-credentials \
    --user-name sofia

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Exemple 2 : pour répertorier les informations d’identification spécifiques au service pour un utilisateur filtré sur le service spécifié

L’exemple list-service-specific-credentials suivant affiche toutes les informations d’identification spécifiques au service attribuées à l’utilisateur faisant la demande. La liste est filtrée pour n’inclure que les informations d’identification du service spécifié. Les mots de passe ne sont pas inclus dans la réponse.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d’informations, consultez Création d’informations d’identification Git pour les connexions HTTPS à CodeCommit dans le Guide de l’utilisateur AWS CodeCommit.

Pour récupérer une liste d’informations d’identification

L’exemple list-service-specific-credentials suivant répertorie les informations d’identification générées pour l’accès HTTPS aux référentiels AWS CodeCommit pour un utilisateur nommé developer.

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Pour plus d’informations, consultez Création d’informations d’identification Git pour les connexions HTTPS à CodeCommit dans le Guide de l’utilisateur AWS CodeCommit.

Pour répertorier les certificats de signature d’un utilisateur IAM

La commande list-signing-certificates suivante répertorie les certificats de signature de l’utilisateur IAM nommé Bob.

aws iam list-signing-certificates \
    --user-name Bob

Sortie :

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Pour plus d’informations, consultez Gestion des certificats de signature dans le Guide de l’utilisateur Amazon EC2.

Pour répertorier les clés publiques SSH attachées à un utilisateur IAM

L’exemple list-ssh-public-keys suivant répertorie les clés publiques SSH associées à l’utilisateur IAM sofia.

aws iam list-ssh-public-keys \
    --user-name sofia

Sortie :

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Pour plus d’informations, consultez Utilisation de clés SSH et SSH avec CodeCommit dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les politiques d’un utilisateur IAM

La commande list-user-policies suivante répertorie les politiques attachées à l’utilisateur IAM nommé Bob.

aws iam list-user-policies \
    --user-name Bob

Sortie :

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Pour plus d’informations, consultez la section Créer un utilisateur IAM dans votre Compte AWS du Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à un utilisateur

La commande list-user-tags suivante extrait la liste des balises associées à l’utilisateur IAM spécifié.

aws iam list-user-tags \
    --user-name alice

Sortie :

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les utilisateurs IAM

La commande list-users suivante répertorie les utilisateurs IAM du compte actuel.

aws iam list-users

Sortie :

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Pour plus d’informations, consultez la section Liste des utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour afficher la liste des dispositifs MFA virtuels

La commande list-virtual-mfa-devices suivante répertorie les dispositifs MFA virtuels qui ont été configurés pour le compte actuel.

aws iam list-virtual-mfa-devices

Sortie :

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Pour de plus d’informations, consultez Activation d’un dispositif virtuel d’authentification multifactorielle (MFA) dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une politique à un groupe

La commande put-group-policy suivante ajoute une politique au groupe IAM nommé Admins.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Cette commande ne produit aucune sortie.

La politique est définie sous la forme d’un document JSON dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour plus d’informations, consultez Gestion des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour appliquer une limite des autorisations basée sur une politique personnalisée à un rôle IAM

L’exemple put-role-permissions-boundary suivant applique la politique personnalisée nommée intern-boundary comme limite des autorisations pour le rôle IAM spécifié.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Cette commande ne produit aucune sortie.

Exemple 2 : pour appliquer une limite des autorisations basée sur une politique gérée par AWS à un rôle IAM

L’exemple put-role-permissions-boundary suivant applique la politique PowerUserAccess gérée par AWS comme limite des autorisations pour le rôle IAM spécifié.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour attacher une politique d’autorisation à un rôle IAM

La commande put-role-policy suivante ajoute une politique d’autorisation au rôle nommé Test-Role.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Cette commande ne produit aucune sortie.

La politique est définie sous la forme d’un document JSON dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour attacher une politique d’approbation à un rôle, utilisez la commande update-assume-role-policy.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour appliquer une limite des autorisations basée sur une politique personnalisée à un utilisateur IAM

L’exemple put-user-permissions-boundary suivant applique une politique personnalisée nommée intern-boundary comme limite des autorisations pour l’utilisateur IAM spécifié.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Cette commande ne produit aucune sortie.

Exemple 2 : pour appliquer une limite des autorisations basée sur une politique gérée par AWS à un utilisateur IAM

L’exemple put-user-permissions-boundary suivant applique la politique gérée par AWS nommée PowerUserAccess comme limite des autorisations pour l’utilisateur IAM spécifié.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Ajout et suppression d’autorisations basées sur l’identité IAM du Guide de l’utilisateur AWS IAM.

Pour attacher une politique à un utilisateur IAM

La commande put-user-policy suivante attache une politique à l’utilisateur IAM nommé Bob.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Cette commande ne produit aucune sortie.

La politique est définie sous la forme d’un document JSON dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour plus d’informations, consultez Ajout et suppression d’autorisations basées sur l’identité IAM du Guide de l’utilisateur AWS IAM.

Pour supprimer l’ID client spécifié de la liste des ID client enregistrés pour le fournisseur IAM OpenID Connect spécifié.

Cet exemple supprime l’ID client My-TestApp-3 de la liste des ID client associés au fournisseur IAM OIDC dont l’ARN est arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS IAM.

Pour supprimer un rôle d’un profil d’instance

La commande remove-role-from-instance-profile suivante supprime la politique nommée Test-Role du profil d’instance nommé ExampleInstanceProfile.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Pour plus d’informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un utilisateur d’un groupe IAM

La commande remove-user-from-group suivante supprime l’utilisateur nommé Bob du groupe IAM nommé Admins.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Ajout et suppression d’utilisateurs dans un groupe IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour réinitialiser le mot de passe pour des informations d’identification spécifiques au service attachées à l’utilisateur qui fait la demande

L’exemple reset-service-specific-credential suivant génère un nouveau mot de passe chiffré fort pour les informations d’identification spécifiques au service spécifiées attachées à l’utilisateur qui fait la demande.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Exemple 2 : pour réinitialiser le mot de passe pour des informations d’identification spécifiques au service attachées à un utilisateur spécifié

L’exemple reset-service-specific-credential suivant génère un nouveau mot de passe chiffré fort pour des informations d’identification spécifiques au service attachées à l’utilisateur spécifié.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d’informations, consultez Création d’informations d’identification Git pour les connexions HTTPS à CodeCommit dans le Guide de l’utilisateur AWS CodeCommit.

Pour resynchroniser un dispositif MFA

L’exemple resync-mfa-device suivant synchronise le dispositif MFA associé à l’utilisateur IAM Bob, et dont l’ARN est arn:aws:iam::123456789012:mfa/BobsMFADevice, avec un programme d’authentification qui a fourni les deux codes d’authentification.

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS IAM.

Pour définir la version spécifiée de la politique spécifiée comme la version par défaut de la politique.

Cet exemple définit la version v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MyPolicy en tant que version active par défaut.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Pour plus d’informations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour définir la version de jeton de point de terminaison global

L’exemple set-security-token-service-preferences suivant configure Amazon STS pour utiliser des jetons de version 2 lorsque vous vous authentifiez auprès du point de terminaison global.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion d’AWS STS dans une région AWS dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour simuler les effets de toutes les politiques IAM associées à un utilisateur ou à un rôle IAM

L’exemple simulate-custom-policy suivant montre comment fournir à la fois la politique, définir les valeurs des variables et simuler un appel d’API pour voir s’il est autorisé ou refusé. L’exemple suivant montre une politique qui autorise l’accès à la base de données uniquement après une date et une heure spécifiées. La simulation réussit, car les actions simulées et la variable aws:CurrentTime spécifiée répondent toutes aux exigences de la politique.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Exemple 2 : pour simuler une commande interdite par la politique

L’exemple simulate-custom-policy suivant montre les résultats de la simulation d’une commande interdite par la politique. Dans cet exemple, la date fournie est antérieure à celle requise par la condition de la police.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Pour plus d’informations, consultez Test des politiques IAM avec le simulateur de politiques IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour simuler les effets d’une politique IAM arbitraire

L’exemple simulate-principal-policy suivant montre comment simuler un utilisateur appelant une action d’API et déterminer si les politiques associées à cet utilisateur autorisent ou refusent l’action. Dans l’exemple suivant, l’utilisateur a une politique qui autorise uniquement l’action codecommit:ListRepositories.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Exemple 2 : pour simuler les effets d’une commande interdite

L’exemple simulate-custom-policy suivant montre les résultats de la simulation d’une commande interdite par l’une des politiques de l’utilisateur. Dans l’exemple suivant, l’utilisateur a une politique qui autorise l’accès à une base de données DynamoDB uniquement après une certaine date et heure. Dans le cadre de la simulation, l’utilisateur tente d’accéder à la base de données avec une valeur aws:CurrentTime antérieure à celle autorisée par les conditions de la politique.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Pour plus d’informations, consultez Test des politiques IAM avec le simulateur de politiques IAM dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une balise à un profil d’instance

La commande tag-instance-profile suivante ajoute une balise avec un nom de département au profil d’instance spécifié.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une balise à un appareil MFA

La commande tag-mfa-device suivante ajoute une balise avec un nom de département à l’appareil MFA spécifié.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une balise à un fournisseur d’identité compatible avec OpenID Connect (OIDC)

La commande tag-open-id-connect-provider suivante ajoute une balise avec un nom de département au fournisseur d’identité OIDC spécifié.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une balise à une politique gérée par le client

La commande tag-policy suivante ajoute une balise avec un nom de département à la politique gérée par le client spécifiée.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une balise à un rôle

La commande tag-role suivante ajoute une balise avec un nom de département au rôle spécifié.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une balise à un fournisseur SAML

La commande tag-saml-provider suivante ajoute une balise avec un nom de département au fournisseur SAML spécifié.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une balise à un certificat de serveur

La commande tag-saml-provider suivante ajoute une balise avec un nom de département au certificat de serveur spécifié.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour ajouter une balise à un utilisateur

La commande tag-user suivante ajoute une balise avec le département associé à l’utilisateur spécifié.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une balise d’un profil d’instance

La commande untag-instance-profile suivante supprime toute balise portant le nom de clé « Department » du profil d’instance spécifié.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une balise d’un appareil MFA

La commande untag-mfa-device suivante supprime toute balise portant le nom de clé « Department » de l’appareil MFA spécifié.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une balise d’un fournisseur d’identité OIDC

La commande untag-open-id-connect-provider suivante supprime toute balise portant le nom de clé « Department » du fournisseur d’identité OIDC spécifié.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une balise d’une politique gérée par le client

La commande untag-policy suivante supprime toute balise portant le nom de clé « Department » de la politique gérée par le client spécifiée.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une balise d’un rôle

La commande untag-role suivante supprime toute balise portant le nom de clé « Department » du rôle spécifié.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une balise d’un fournisseur SAML

La commande untag-saml-provider suivante supprime toute balise portant le nom de clé « Department » du profil d’instance spécifié.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une balise d’un certificat de serveur

La commande untag-server-certificate suivante supprime toute balise portant le nom de clé « Department » du certificat de serveur spécifié.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une balise d’un utilisateur

La commande untag-user suivante supprime toute balise portant le nom de clé « Department » de l’utilisateur spécifié.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Balisage des ressources IAM dans le Guide de l’utilisateur AWS IAM.

Pour activer ou désactiver une clé d’accès pour un utilisateur IAM

La commande update-access-key suivante désactive la clé d’accès spécifiée (un ID de clé d’accès rapide et une clé d’accès secrète) pour l’utilisateur IAM nommé Bob.

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Cette commande ne produit aucune sortie.

Lorsqu’une clé est désactivée, elle ne peut pas être utilisée pour accéder par programmation à AWS. Cependant, la clé est toujours disponible et peut être réactivée.

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour définir ou modifier la politique de mot de passe du compte actuel

La commande update-account-password-policy suivante définit la politique de mot de passe pour exiger une longueur minimale de huit caractères et un ou plusieurs chiffres dans le mot de passe.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Cette commande ne produit aucune sortie.

Les modifications apportées à la politique de mot de passe d’un compte affectent tous les nouveaux mots de passe créés pour les utilisateurs IAM du compte. Les modifications apportées à la politique des mots de passe n’affectent pas les mots de passe existants.

Pour plus d’informations, consultez la section Définition d’une politique de mot de passe du compte pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour mettre à jour la politique d’approbation d’un rôle IAM

La commande update-assume-role-policy suivante met à jour la politique d’approbation pour le rôle nommé Test-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Cette commande ne produit aucune sortie.

La politique d’approbation est définie sous la forme d’un document JSON dans le fichier Test-Role-Trust-Policy.json. (Le nom et l’extension du fichier n’ont aucune importance.) La politique d’approbation doit spécifier un principal.

Pour mettre à jour la politique des autorisations d’un rôle, utilisez la commande put-role-policy.

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour renommer un groupe IAM

La commande update-group suivante remplace le nom du groupe IAM Test par Test-1.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez la section Affectation d’un nouveau nom à un groupe IAM dans le Guide de l’utilisateur AWS IAM.

Pour mettre à jour le mot de passe d’un utilisateur IAM

Par exemple, la commande suivante crée un utilisateur IAM nommé update-login-profile avec le mot de passe Bob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Cette commande ne produit aucune sortie.

Pour définir une politique de mot de passe pour le compte, utilisez la commande update-account-password-policy. Si le nouveau mot de passe enfreint la politique de mot de passe du compte, la commande renvoie une erreur PasswordPolicyViolation.

Si la politique de mot de passe du compte le permet, les utilisateurs IAM peuvent modifier leurs propres mots de passe à l’aide de la commande change-password.

Conservez le nouveau mot de passe en lieu sûr. Si le mot de passe est perdu, il ne peut pas être récupéré et vous devez recréer un à l’aide de la commande create-login-profile.

Pour plus d’informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour remplacer la liste existante des empreintes numériques des certificats de serveur par une nouvelle liste

Cet exemple met à jour la liste des empreintes numériques des certificats pour le fournisseur OIDC dont l’ARN est arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com afin d’utiliser une nouvelle empreinte.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS IAM.

Pour modifier la description d’un rôle IAM

La commande update-role suivante remplace le nom du rôle IAM production-role par Main production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version":"2012-10-17",		 	 	 
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour modifier la description ou la durée de session d’un rôle IAM

La commande update-role suivante remplace la description du rôle IAM production-role par Main production role et définit la durée maximale de session à 12 heures.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour mettre à jour le document de métadonnées d’un fournisseur SAML existant

Cet exemple met à jour le fournisseur SAML dans IAM, dont l’ARN est arn:aws:iam::123456789012:saml-provider/SAMLADFS, avec un nouveau document de métadonnées SAML issu du fichier SAMLMetaData.xml.

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Sortie :

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour modifier le chemin ou le nom d’un certificat de serveur dans votre compte AWS

La commande update-server-certificate suivante fait passer le nom du certificat de myServerCertificate à myUpdatedServerCertificate. Il fait également passer le chemin à /cloudfront/ pour que le service Amazon CloudFront y ait accès. Cette commande ne produit aucune sortie. Vous pouvez afficher les résultats de la mise à jour en exécutant la commande list-server-certificates.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des certificats de serveur dans IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour mettre à jour le statut des informations d’identification spécifiques au service de l’utilisateur faisant la demande

L’exemple update-service-specific-credential suivant modifie le statut des informations d’identification spécifiées pour l’utilisateur faisant la demande sur Inactive.

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Cette commande ne produit aucune sortie.

Exemple 2 : pour mettre à jour le statut des informations d’identification spécifiques au service d’un utilisateur spécifié

L’exemple update-service-specific-credential suivant modifie le statut des informations d’identification spécifiées pour l’utilisateur spécifié sur Inactive.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Création d’informations d’identification Git pour les connexions HTTPS à CodeCommit dans le Guide de l’utilisateur AWS CodeCommit.

Pour activer ou désactiver un certificat de signature pour un utilisateur IAM

La commande update-signing-certificate suivante désactive le certificat de signature spécifié pour l’utilisateur IAM nommé Bob.

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Pour obtenir l’ID d’un certificat de signature, utilisez la commande list-signing-certificates.

Pour plus d’informations, consultez Gestion des certificats de signature dans le Guide de l’utilisateur Amazon EC2.

Pour modifier le statut d’une clé publique SSH

La commande update-ssh-public-key suivante modifie le statut de la clé publique spécifiée sur Inactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Utilisation de clés SSH et SSH avec CodeCommit dans le Guide de l’utilisateur AWS IAM.

Pour modifier le nom d’un utilisateur IAM

La commande update-user suivante fait passer le nom de l’utilisateur IAM de Bob à Robert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez la section Affectation d’un nouveau nom à un groupe IAM dans le Guide de l’utilisateur AWS IAM.

Pour charger un certificat de serveur sur votre compte AWS

La commande upload-server-certificate suivante charge un certificat de serveur sur votre compte AWS. Dans cet exemple, le certificat se trouve dans le fichier public_key_cert_file.pem, la clé privée associée se trouve dans le fichier my_private_key.pem et la chaîne de certificats fournie par l’autorité de certification (CA) se trouve dans le fichier my_certificate_chain_file.pem. Lorsque le chargement du fichier est terminé, ce dernier est disponible sous le nom myServerCertificate. Les paramètres commençant par file:// indiquent à la commande de lire le contenu du fichier et de l’utiliser comme valeur de paramètre au lieu du nom du fichier lui-même.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Sortie :

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Pour plus d’informations, consultez Création, chargement et suppression de certificats de serveur dans le Guide de l’utilisateur IAM.

Pour charger un certificat de signature pour un utilisateur IAM

La commande upload-signing-certificate suivante charge un certificat de signature pour l’utilisateur IAM nommé Bob.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Sortie :

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

Le certificat se trouve dans un fichier au format PEM nommé certificate.pem.

Pour plus d’informations, consultez Création, chargement et suppression de certificats de serveur dans le Guide de l’utilisateur IAM.

Pour charger une clé publique SSH et l’associer à un utilisateur

La commande upload-ssh-public-key suivante charge la clé publique trouvée dans le fichier sshkey.pub et l’attache à l’utilisateur sofia.

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Pour plus d’informations sur la façon de générer des clés dans un format adapté à cette commande, consultez SSH et Linux, macOS ou Unix : configuration des clés publiques et privées pour Git et CodeCommit ou SSH et Windows : configuration des clés publiques et privées pour Git et CodeCommit dans le Guide de l’utilisateur AWS CodeCommit.