Exemples d'IAM utilisant AWS CLI

Pour ajouter un ID client (audience) à un fournisseur Open-ID Connect (OIDC)

La commande add-client-id-to-open-id-connect-provider suivante ajoute l’ID client my-application-ID au fournisseur OIDC nommé server.example.com.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Cette commande ne produit aucun résultat.

Pour créer un fournisseur OIDC, utilisez la commande create-open-id-connect-provider.

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS  IAM.

Pour ajouter un rôle à un profil d’instance

La commande add-role-to-instance-profile suivante ajoute le rôle nommé S3Access au profil d’instance nommé Webserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Cette commande ne produit aucun résultat.

Pour créer un profil d’instance, utilisez la commande create-instance-profile.

Pour plus d'informations, consultez la section Utilisation d'un rôle IAM pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le guide de l'utilisateur AWS IAM.

Pour ajouter un utilisateur à un groupe IAM

La commande add-user-to-group suivante ajoute un utilisateur IAM nommé Bob au groupe IAM nommé Admins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Ajout et suppression d’utilisateurs dans un groupe IAM dans le Guide de l’utilisateur AWS IAM.

Pour attacher une politique gérée à un groupe IAM

La attach-group-policy commande suivante associe la politique AWS gérée nommée ReadOnlyAccess au groupe IAM nomméFinance.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Politiques gérées et politiques en ligne dans le Guide de l’utilisateur AWS IAM.

Pour attacher une politique gérée à un rôle IAM

La attach-role-policy commande suivante associe la politique AWS gérée nommée ReadOnlyAccess au rôle IAM nomméReadOnlyRole.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Politiques gérées et politiques en ligne dans le Guide de l’utilisateur AWS IAM.

Pour attacher une politique gérée à un utilisateur IAM

La attach-user-policy commande suivante associe la politique AWS gérée nommée AdministratorAccess à l'utilisateur IAM nomméAlice.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Politiques gérées et politiques en ligne dans le Guide de l’utilisateur AWS IAM.

Pour changer le mot de passe de votre utilisateur IAM

Pour modifier le mot de passe de votre utilisateur IAM, nous vous recommandons d’utiliser le paramètre --cli-input-json pour transmettre un fichier JSON contenant vos anciens et nouveaux mots de passe. Grâce à cette méthode, vous pouvez utiliser des mots de passe forts contenant des caractères non alphanumériques. Il peut être difficile d’utiliser des mots de passe contenant des caractères non alphanumériques lorsque vous les transmettez en tant que paramètres de ligne de commande. Pour utiliser le paramètre --cli-input-json, commencez par utiliser la commande change-password avec le paramètre --generate-cli-skeleton, comme dans l’exemple suivant.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

La commande précédente crée un fichier JSON appelé change-password.json que vous pouvez utiliser pour renseigner vos anciens et nouveaux mots de passe. Par exemple, le fichier peut ressembler à ce qui suit.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Ensuite, pour modifier votre mot de passe, réutilisez la commande change-password, en passant cette fois le paramètre --cli-input-json pour spécifier votre fichier JSON. La commande change-password suivante utilise le paramètre --cli-input-json avec un fichier JSON appelé change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Cette commande ne produit aucun résultat.

Cette commande ne peut être appelée que par les utilisateurs IAM. Si cette commande est appelée à l'aide des informations d'identification du AWS compte (root), elle renvoie une InvalidUserType erreur.

Pour plus d’informations, consultez Comment un utilisateur IAM modifie son propre mot de passe dans le Guide de l’utilisateur AWS  IAM.

Pour créer une clé d’accès pour un utilisateur IAM

La commande create-access-key suivante créer une clé d’accès (un ID de clé d’accès et une clé d’accès secrète) pour l’utilisateur IAM nommé Bob.

aws iam create-access-key \
    --user-name Bob

Sortie :

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Conservez votre clé d’accès secrète dans un emplacement sécurisé. Si elle est perdue, elle ne peut pas être récupérée et vous devez créer une nouvelle clé.

Pour de plus amples informations, veuillez consulter Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un alias de compte

La create-account-alias commande suivante crée l'alias examplecorp de votre AWS compte.

aws iam create-account-alias \
    --account-alias examplecorp

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Votre identifiant de AWS compte et son alias dans le guide de l'utilisateur AWS IAM.

Pour créer un groupe IAM

La commande create-group suivante crée un groupe IAM nommé Admins.

aws iam create-group \
    --group-name Admins

Sortie :

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Pour plus d’informations, consultez la section Création de groupes d’utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un profil d’instance

La commande create-instance-profile suivante crée un profil d’instance nommé Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Sortie :

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Pour ajouter un rôle à un profil d’instance, utilisez la commande add-role-to-instance-profile.

Pour plus d'informations, consultez la section Utilisation d'un rôle IAM pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le guide de l'utilisateur AWS IAM.

Pour générer le mot de passe d’un utilisateur IAM

Pour générer le mot de passe d’un utilisateur IAM, nous vous recommandons d’utiliser le paramètre --cli-input-json pour transmettre un fichier JSON contenant le mot de passe. Grâce à cette méthode, vous pouvez générer un mot de passe fort contenant des caractères non alphanumériques. Il peut être difficile de générer un mot de passe contenant des caractères non alphanumériques lorsque vous le transmettez en tant que paramètre de la ligne de commande.

Pour utiliser le paramètre --cli-input-json, commencez par utiliser la commande create-login-profile avec le paramètre --generate-cli-skeleton, comme dans l’exemple suivant.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

La commande précédente crée un fichier JSON appelé create-login-profile .json que vous pouvez utiliser pour renseigner les informations d'une create-login-profile commande suivante. Par exemple :

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Ensuite, pour générer le mot de passe d’un utilisateur IAM, réutilisez la commande create-login-profile, en passant cette fois le paramètre --cli-input-json pour spécifier votre fichier JSON. La create-login-profile commande suivante utilise le --cli-input-json paramètre avec un fichier JSON appelé create-login-profile .json.

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Sortie :

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Si le nouveau mot de passe enfreint la politique de mot de passe du compte, la commande renvoie une erreur PasswordPolicyViolation.

Pour modifier le mot de passe d’un utilisateur qui en possède déjà un, utilisez update-login-profile. Pour définir une politique de mot de passe pour le compte, utilisez la commande update-account-password-policy.

Si la politique de mot de passe du compte le permet, les utilisateurs IAM peuvent modifier leurs propres mots de passe à l’aide de la commande change-password.

Pour de plus amples informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS  IAM.

Pour créer un fournisseur OpenID Connect (OIDC)

Pour créer un fournisseur OpenID Connect (OIDC), nous vous recommandons d’utiliser le paramètre --cli-input-json pour transmettre un fichier JSON contenant les paramètres requis. Lorsque vous créez un fournisseur OIDC, vous devez transmettre l’URL du fournisseur, qui doit commencer par https://. Il peut être difficile de transmettre l’URL en tant que paramètre de ligne de commande, car les deux points (:) et les barres obliques (/) ont une signification particulière dans certains environnements de ligne de commande. L’utilisation du paramètre --cli-input-json permet de contourner cette limitation.

Pour utiliser le paramètre --cli-input-json, commencez par utiliser la commande create-open-id-connect-provider avec le paramètre --generate-cli-skeleton, comme dans l’exemple suivant.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

La commande précédente crée un fichier JSON appelé create-open-id-connect -provider.json que vous pouvez utiliser pour renseigner les informations d'une commande suivante. create-open-id-connect-provider Par exemple :

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Ensuite, pour créer le fournisseur OpenID Connect (OIDC), réutilisez la commande create-open-id-connect-provider, en passant cette fois le paramètre --cli-input-json pour spécifier votre fichier JSON. La create-open-id-connect-provider commande suivante utilise le --cli-input-json paramètre avec un fichier JSON appelé create-open-id-connect -provider.json.

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Sortie :

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Pour obtenir des informations sur les fournisseurs OIDC, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) dans le Guide de l’utilisateur AWS  IAM.

Pour plus d’informations sur l’obtention d’empreintes numériques pour un fournisseur OIDC, consultez Obtention de l’empreinte numérique pour un fournisseur d’identité OpenID Connect dans le Guide de l’utilisateur AWS  IAM

Pour créer une nouvelle version de la politique gérée

Cet exemple crée une nouvelle version v2 de la politique IAM dont l’ARN est arn:aws:iam::123456789012:policy/MyPolicy et en fait la version par défaut.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Sortie :

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Pour plus d’informations, consultez Gestion des versions des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : Pour créer une politique gérée par le client

La commande suivante crée une politique gérée par le client nommée my-policy. Le fichier policy.json est un document JSON dans le dossier actuel qui accorde un accès en lecture seule au dossier shared dans un compartiment Amazon S3 nommé amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json

Contenu de policy.json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/shared/*"
            ]
        }
    ]
}

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Pour plus d'informations sur l'utilisation de fichiers comme entrée pour les paramètres de chaîne, voir Spécifier les valeurs des paramètres pour la AWS CLI dans le guide de l'utilisateur de la AWS CLI.

Exemple 2 : Pour créer une politique gérée par le client avec une description

La commande suivante crée une politique gérée par le client nommée my-policy avec une description immuable.

Le fichier policy.json est un document JSON dans le dossier actuel qui accorde un accès à toutes les actions Pull, List et Get dans un compartiment Amazon S3 nommé amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for amzn-s3-demo-bucket"

Contenu de policy.json

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Pour en savoir plus sur les politiques basées sur l’identité, consultez Politiques basées sur l’identité et Politiques basées sur une ressource dans le Guide de l’utilisateur AWS IAM.

Exemple 3 : pour créer une politique gérée par le client avec des balises

La commande suivante crée une politique gérée par le client nommée my-policy avec des balises. Cet exemple utilise le paramètre --tags avec les balises au format JSON suivantes : '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Le paramètre --tags peut également être utilisé avec des balises au format abrégé : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

Le fichier policy.json est un document JSON dans le dossier actuel qui accorde un accès à toutes les actions Pull, List et Get dans un compartiment Amazon S3 nommé amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Contenu de policy.json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Sortie :

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {
        ]
    }
}

Pour plus d’informations sur les politiques de balisage, consultez Balisage des politiques gérées par le client dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : Pour créer un rôle IAM

La commande create-role suivante crée un rôle nommé Test-Role et lui attache une politique d’approbation.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Sortie :

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La politique d’approbation est définie sous la forme d’un document JSON dans le fichier Test-Role-Trust-Policy.json. (Le nom et l’extension du fichier n’ont aucune importance.) La politique d’approbation doit spécifier un principal.

Pour attacher une politique des autorisations à un rôle, utilisez la commande put-role-policy.

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 2 : Pour créer un rôle IAM avec une durée de session maximale spécifiée

La commande create-role suivante crée un rôle nommé Test-Role et définit une durée de session maximale de 7 200 secondes (2 heures).

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Pour plus d'informations, consultez la section Modification de la durée maximale de session (AWS API) d'un rôle dans le guide de l'utilisateur AWS IAM.

Exemple 3 : Pour créer un rôle IAM avec des balises

La commande suivante crée un rôle IAM Test-Role avec des balises. Cet exemple utilise l’indicateur de paramètre --tags avec les balises au format JSON suivantes : '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. L’indicateur --tags peut également être utilisé avec des balises au format raccourci : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Pour plus d’informations, veuillez consulter Étiquette de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un fournisseur SAML

Cet exemple crée un nouveau fournisseur SAML dans IAM nommé MySAMLProvider. Il est décrit par le document de métadonnées SAML présent dans le fichier SAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Sortie :

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un rôle lié à un service

L'create-service-linked-roleexemple suivant crée un rôle lié à un service pour le AWS service spécifié et y joint la description spécifiée.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Sortie :

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur AWS IAM.

Création d'un ensemble d'informations d'identification spécifiques au service pour un utilisateur

L'create-service-specific-credentialexemple suivant crée un nom d'utilisateur et un mot de passe qui ne peuvent être utilisés que pour accéder au service configuré.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour les connexions HTTPS CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Exemple 1 : Pour créer un utilisateur IAM

La commande create-user suivante crée un utilisateur IAM nommé Bob dans le compte actuel.

aws iam create-user \
    --user-name Bob

Sortie :

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Pour plus d'informations, consultez la section Création d'un utilisateur IAM dans votre AWS compte dans le guide de l'utilisateur AWS IAM.

Exemple 2 : Pour créer un utilisateur IAM à un chemin spécifié

La commande create-user suivante crée un utilisateur IAM nommé Bob au chemin spécifié.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Sortie :

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Pour plus d’informations, consultez Identifiants IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 3 : Pour créer un utilisateur IAM avec des balises

La commande create-user suivante crée un utilisateur IAM nommé Bob avec des balises. Cet exemple utilise l’indicateur de paramètre --tags avec les balises au format JSON suivantes : '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. L’indicateur --tags peut également être utilisé avec des balises au format raccourci : 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Sortie :

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Pour plus d’informations, consultez Étiquette d’utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 3 : Pour créer un utilisateur IAM avec une limite des autorisations définie

La create-user commande suivante crée un utilisateur IAM dont le nom correspond à la limite Bob d'autorisations d'FullAccessAmazonS3.

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Sortie :

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Pour plus d’informations, consultez Limites d’autorisations pour les entités IAM dans le Guide de l’utilisateur AWS IAM.

Pour créer un dispositif MFA virtuel

Cet exemple crée un dispositif MFA virtuel appelé BobsMFADevice. Il crée un fichier, appelé QRCode.png, qui contient les informations d’amorçage et le place dans le répertoire C:/. La méthode d’amorçage utilisée dans cet exemple est QRCodePNG.

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Sortie :

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS  IAM.

Pour désactiver un dispositif MFA

Cette commande désactive le dispositif MFA virtuel, dont l’ARN est arn:aws:iam::210987654321:mfa/BobsMFADevice, associé à l’utilisateur Bob.

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS  IAM.

Pour décoder un message d'échec d'autorisation

L'decode-authorization-messageexemple suivant décode le message renvoyé par la EC2 console lors de la tentative de lancement d'une instance sans les autorisations requises.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

La sortie est formatée sous la forme d'une chaîne de texte JSON d'une seule ligne que vous pouvez analyser avec n'importe quel processeur de texte JSON.

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Pour plus d'informations, consultez Comment décoder un message d'échec d'autorisation après avoir reçu une erreur « UnauthorizedOperation » lors du lancement d'une EC2 instance ? dans AWS Re:post.

Pour supprimer une clé d’accès d’un utilisateur IAM

La commande delete-access-key suivante supprime la clé d’accès spécifiée (un ID de clé d’accès rapide et une clé d’accès secrète) de l’utilisateur IAM nommé Bob.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Cette commande ne produit aucun résultat.

Pour répertorier les clés d’accès définies pour un utilisateur IAM, utilisez la commande list-access-keys.

Pour de plus amples informations, veuillez consulter Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un alias de compte

La commande delete-account-alias suivante supprime les alias mycompany du compte actuel.

aws iam delete-account-alias \
    --account-alias mycompany

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Votre identifiant de AWS compte et son alias dans le guide de l'utilisateur AWS IAM.

Pour supprimer la politique de mot de passe du compte actuel

La commande delete-account-password-policy suivante supprime la politique de mot de passe du compte actuel.

aws iam delete-account-password-policy

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez la section Définition d’une politique de mot de passe du compte pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une politique d’un groupe IAM

La commande delete-group-policy suivante supprime la politique nommée ExamplePolicy du groupe nommé Admins.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Cette commande ne produit aucun résultat.

Pour voir les politiques attachées à un groupe, utilisez la commande list-group-policies.

Pour plus d’informations, consultez Gestion des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un groupe IAM

La commande delete-group suivante supprime un groupe IAM nommé MyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez la section Suppression d’un groupe d’utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un profil d’instance

La commande delete-instance-profile suivante supprime un profil d’instance nommé ExampleInstanceProfile.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Cette commande ne produit aucun résultat.

Pour de plus amples informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour supprimer le mot de passe d’un utilisateur IAM

La commande delete-login-profile suivante supprime le mot de passe de l’utilisateur IAM nommé Bob.

aws iam delete-login-profile \
    --user-name Bob

Cette commande ne produit aucun résultat.

Pour de plus amples informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer un fournisseur d’identité IAM OpenID Connect

Cet exemple supprime le fournisseur OIDC IAM qui se connecte au fournisseur example.oidcprovider.com.

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS  IAM.

Pour supprimer une version d’une politique gérée

Cet exemple supprime la version identifiée v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Cette commande ne produit aucun résultat.

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une politique IAM

Cet exemple supprime la politique dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Cette commande ne produit aucun résultat.

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une limite des autorisations d’un rôle IAM

L’exemple delete-role-permissions-boundary suivant supprime la limite des autorisations pour le rôle IAM spécifié. Pour appliquer une limite des autorisations à un rôle, utilisez la commande put-role-permissions-boundary.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Cette commande ne produit aucun résultat.

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une politique d’un rôle IAM

La commande delete-role-policy suivante supprime la politique nommée ExamplePolicy du rôle nommé Test-Role.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un rôle IAM

La commande delete-role suivante supprime le rôle nommé Test-Role.

aws iam delete-role \
    --role-name Test-Role

Cette commande ne produit aucun résultat.

Pour pouvoir supprimer un rôle, vous devez le supprimer de tout profil d’instance (remove-role-from-instance-profile), détacher toutes les politiques gérées (detach-role-policy) et supprimer toutes les politiques intégrées attachées au rôle (delete-role-policy).

Pour plus d’informations, consultez Création de rôles IAM et Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un fournisseur SAML

Cet exemple supprime le fournisseur IAM SAML 2.0 dont l’ARN est arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un certificat de serveur de votre AWS compte

La delete-server-certificate commande suivante supprime le certificat de serveur spécifié de votre AWS compte.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Cette commande ne produit aucun résultat.

Pour répertorier les certificats de serveur disponibles dans votre AWS compte, utilisez la list-server-certificates commande.

Pour de plus amples informations, veuillez consulter Gestion des certificats de serveur dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un rôle lié à un service

L’exemple delete-service-linked-role suivant supprime le rôle lié à un service spécifié dont vous n’avez plus besoin. La suppression s’effectue de manière asynchrone. Vous pouvez vérifier le statut de la suppression et si elle est terminée à l’aide de la commande get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Sortie :

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : Supprimer les informations d'identification spécifiques au service pour l'utilisateur demandeur

L'delete-service-specific-credentialexemple suivant supprime les informations d'identification spécifiques au service spécifiées pour l'utilisateur qui fait la demande. Le service-specific-credential-id est fourni lorsque vous créez l'identifiant et vous pouvez le récupérer à l'aide de la list-service-specific-credentials commande.

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Cette commande ne produit aucun résultat.

Exemple 2 : Supprimer les informations d'identification spécifiques à un service pour un utilisateur spécifié

L'delete-service-specific-credentialexemple suivant supprime les informations d'identification spécifiques au service spécifiées pour l'utilisateur spécifié. Le service-specific-credential-id est fourni lorsque vous créez l'identifiant et vous pouvez le récupérer à l'aide de la list-service-specific-credentials commande.

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour les connexions HTTPS CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Pour supprimer un certificat de signature d’un utilisateur IAM

La commande delete-signing-certificate suivante supprime le certificat de signature spécifié pour l’utilisateur IAM nommé Bob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Cette commande ne produit aucun résultat.

Pour obtenir l’ID d’un certificat de signature, utilisez la commande list-signing-certificates.

Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.

Pour supprimer une clé publique SSH attachée à un utilisateur IAM

La delete-ssh-public-key commande suivante supprime la clé publique SSH spécifiée attachée à l'utilisateur IAM. sofia

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Utiliser les clés SSH et SSH avec CodeCommit dans le guide de l'utilisateur AWS IAM.

Pour supprimer une limite des autorisations d’un utilisateur IAM

L’exemple delete-user-permissions-boundary suivant supprime la limite des autorisations attachée à l’utilisateur IAM nommé intern. Pour appliquer une limite des autorisations à un utilisateur, utilisez la commande put-user-permissions-boundary.

aws iam delete-user-permissions-boundary \
    --user-name intern

Cette commande ne produit aucun résultat.

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour supprimer une politique d’un utilisateur IAM

La commande delete-user-policy suivante supprime la politique spécifiée de l’utilisateur IAM nommé Bob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Cette commande ne produit aucun résultat.

Pour obtenir une liste des politiques d’un utilisateur IAM, utilisez la commande list-user-policies.

Pour plus d'informations, consultez la section Création d'un utilisateur IAM dans votre AWS compte dans le guide de l'utilisateur AWS IAM.

Pour supprimer un utilisateur IAM

La commande delete-user suivante supprime l’utilisateur IAM nommé Bob du compte actuel.

aws iam delete-user \
    --user-name Bob

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez la section Suppression d’un utilisateur IAM dans le Guide de l’utilisateur AWS IAM.

Pour retirer un dispositif MFA virtuel

La commande delete-virtual-mfa-device suivante supprime le dispositif MFA spécifié du compte actuel.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Désactivation des dispositifs MFA dans le Guide de l’utilisateur AWS  IAM.

Pour détacher une politique d’un groupe

Cet exemple supprime la politique gérée, dont l’ARN est arn:aws:iam::123456789012:policy/TesterAccessPolicy, du rôle nommé Testers.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez la section Gestion des groupes IAM dans le Guide de l’utilisateur AWS IAM.

Pour détacher une politique d’un rôle

Cet exemple supprime la politique gérée avec l’ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy du rôle nommé FedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour détacher une politique d’un utilisateur

Cet exemple supprime la politique gérée avec l’ARN arn:aws:iam::123456789012:policy/TesterPolicy de l’utilisateur Bob.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Modification des autorisations pour un utilisateur IAM dans le Guide de l’utilisateur AWS IAM.

Pour désactiver RootCredentialsManagement cette fonctionnalité dans votre organisation

La disable-organizations-root-credentials-management commande suivante désactive la gestion des informations d'identification des utilisateurs root privilégiés sur les comptes membres de votre organisation.

aws iam disable-organizations-root-credentials-management

Sortie :

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d'informations, consultez la section Centralisation de l'accès root pour les comptes des membres dans le guide de l'utilisateur AWS IAM.

Pour désactiver RootSessions cette fonctionnalité dans votre organisation

La disable-organizations-root-sessions commande suivante désactive les sessions utilisateur root pour les tâches privilégiées sur les comptes membres de votre organisation.

aws iam disable-organizations-root-sessions

Sortie :

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d'informations, consultez la section Centralisation de l'accès root pour les comptes des membres dans le guide de l'utilisateur AWS IAM.

Pour activer un dispositif MFA

Après avoir utilisé la create-virtual-mfa-device commande pour créer un dispositif MFA virtuel, vous pouvez attribuer le dispositif MFA à un utilisateur. L’exemple enable-mfa-device suivant attribue le dispositif MFA, dont le numéro de série est arn:aws:iam::210987654321:mfa/BobsMFADevice, à l’utilisateur Bob. La commande synchronise également le dispositif AWS en incluant les deux premiers codes en séquence à partir du dispositif MFA virtuel.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Cette commande ne produit aucun résultat.

Pour de plus d’informations, consultez Activation d’un dispositif virtuel d’authentification multifactorielle (MFA) dans le Guide de l’utilisateur AWS  IAM.

Pour activer RootCredentialsManagement cette fonctionnalité dans votre organisation

La enable-organizations-root-credentials-management commande suivante permet de gérer les informations d'identification des utilisateurs root privilégiés sur les comptes membres de votre organisation.

aws iam enable-organizations-root-credentials-management

Sortie :

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d'informations, consultez la section Centralisation de l'accès root pour les comptes des membres dans le guide de l'utilisateur AWS IAM.

Pour activer RootSessions cette fonctionnalité dans votre organisation

La enable-organizations-root-sessions commande suivante permet au compte de gestion ou à l'administrateur délégué d'effectuer des tâches privilégiées sur les comptes des membres de votre organisation.

aws iam enable-organizations-root-sessions

Sortie :

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d'informations, consultez la section Centralisation de l'accès root pour les comptes des membres dans le guide de l'utilisateur AWS IAM.

Pour générer un rapport sur les informations d’identification

L'exemple suivant tente de générer un rapport d'identification pour le AWS compte.

aws iam generate-credential-report

Sortie :

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Pour plus d'informations, consultez la section Obtenir des rapports d'identification pour votre AWS compte dans le guide de l'utilisateur AWS IAM.

Exemple 1 : pour générer un rapport d'accès pour un root dans une organisation

L'generate-organizations-access-reportexemple suivant lance une tâche en arrière-plan afin de créer un rapport d'accès pour la racine spécifiée dans une organisation. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant la get-organizations-access-report commande.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Sortie :

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Exemple 2 : pour générer un rapport d'accès pour un compte dans une organisation

L'generate-organizations-access-reportexemple suivant lance une tâche en arrière-plan pour créer un rapport d'accès pour l'ID de compte 123456789012 dans l'organisationo-4fxmplt198. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant la get-organizations-access-report commande.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Sortie :

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Exemple 3 : Pour générer un rapport d'accès pour un compte dans une unité organisationnelle d'une organisation

L'generate-organizations-access-reportexemple suivant lance une tâche en arrière-plan pour créer un rapport d'accès pour l'ID de compte 234567890123 dans une unité ou-c3xb-lmu7j2yg organisationnelle de l'organisationo-4fxmplt198. Vous pouvez afficher le rapport une fois qu'il a été créé en exécutant la get-organizations-access-report commande.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Sortie :

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Pour obtenir des informations sur les racines et les unités organisationnelles de votre organisation, utilisez les organizations list-organizational-units-for-parent commandes organizations list-roots et.

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de l'utilisateur AWS IAM.

Exemple 1 : pour générer un rapport d’accès aux services pour une politique personnalisée

L’exemple generate-service-last-accessed-details suivant lance une tâche en arrière-plan pour générer un rapport répertoriant les services auxquels accèdent les utilisateurs IAM et les autres entités avec une politique personnalisée nommée intern-boundary. Vous pouvez afficher le rapport une fois qu’il a été créé en exécutant la commande get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Sortie :

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Exemple 2 : pour générer un rapport d'accès aux services pour la AdministratorAccess politique AWS gérée

L'generate-service-last-accessed-detailsexemple suivant lance une tâche en arrière-plan pour générer un rapport répertoriant les services auxquels accèdent les utilisateurs IAM et les autres entités avec la AdministratorAccess politique AWS gérée. Vous pouvez afficher le rapport une fois qu’il a été créé en exécutant la commande get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Sortie :

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de l'utilisateur AWS IAM.

Pour récupérer des informations relatives au moment où la clé d’accès spécifiée a été utilisée pour la dernière fois

L’exemple suivant récupère des informations relatives au moment où la clé d’accès ABCDEXAMPLE a été utilisée pour la dernière fois.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Sortie :

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Pour de plus amples informations, veuillez consulter Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les utilisateurs, les groupes, les rôles et les politiques IAM d'un AWS compte

La get-account-authorization-details commande suivante renvoie des informations sur tous les utilisateurs, groupes, rôles et politiques IAM du AWS compte.

aws iam get-account-authorization-details

Sortie :

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::amzn-s3-demo-bucket",
                                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Pour plus d’informations, veuillez consulter Consignes pour les audits de sécuritéAWS dans le Guide de l’utilisateur AWS IAM.

Pour afficher la politique de mot de passe du compte actuel

La commande get-account-password-policy suivante affiche les détails de la politique de mot de passe du compte actuel.

aws iam get-account-password-policy

Sortie :

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Si aucune politique de mot de passe n’est définie pour le compte, la commande renvoie une erreur NoSuchEntity.

Pour plus d’informations, consultez la section Définition d’une politique de mot de passe du compte pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer des informations sur l’utilisation des entités IAM et les quotas IAM dans le compte actuel

La commande get-account-summary suivante renvoie des informations sur l’utilisation actuelle des entités IAM et les quotas IAM actuels dans le compte.

aws iam get-account-summary

Sortie :

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Pour plus d'informations sur les limites des entités, consultez les quotas IAM et AWS STS dans le guide de l'utilisateur AWS IAM.

Exemple 1 : pour répertorier les clés de contexte référencées par une ou plusieurs politiques JSON personnalisées fournies en paramètre sur la ligne de commande

La commande get-context-keys-for-custom-policy suivante analyse chaque politique fournie et répertorie les clés de contexte utilisées par ces politiques. Utilisez cette commande pour identifier les valeurs de clé de contexte que vous devez fournir pour utiliser correctement les commandes simulate-custom-policy et simulate-custom-policy du simulateur de politiques. Vous pouvez également récupérer la liste des clés de contexte utilisées par toutes les politiques associées à un utilisateur ou à un rôle IAM à l’aide de la commande get-context-keys-for-custom-policy. Les valeurs des paramètres qui commencent par file:// ordonnent à la commande de lire le fichier et d’utiliser son contenu comme valeur du paramètre au lieu du nom du fichier lui-même.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Exemple 2 : pour répertorier les clés de contexte référencées par une ou plusieurs politiques JSON personnalisées fournies en entrée de fichier

La commande get-context-keys-for-custom-policy suivante est identique à l’exemple précédent, sauf que les politiques sont fournies dans un fichier plutôt que sous forme de paramètre. Comme la commande attend une liste de chaînes JSON, et non une liste de structures JSON, le fichier doit être structuré comme suit, bien que vous puissiez le réduire en une seule unité.

[
    "Policy1",
    "Policy2"
]

Ainsi, un fichier contenant la politique de l’exemple précédent doit ressembler à ce qui suit. Vous devez échapper chaque guillemet double intégré dans la chaîne de politique en le faisant précéder d’une barre oblique inverse ’’.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Ce fichier peut ensuite être soumis à la commande suivante.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Pour plus d'informations, consultez la section Utilisation du simulateur de politique IAM (AWS CLI et AWS API) dans le guide de l'utilisateur AWS IAM.

Pour répertorier les clés de contexte référencées par toutes les politiques associées à un principal IAM

La commande get-context-keys-for-principal-policy suivante permet de récupérer toutes les politiques associées à l’utilisateur saanvi et aux groupes dont elle est membre. Elle analyse ensuite chacune d’elles et répertorie les clés de contexte utilisées par ces politiques. Utilisez cette commande pour identifier les valeurs de clé de contexte que vous devez fournir pour utiliser correctement les commandes simulate-custom-policy et simulate-principal-policy. Vous pouvez également récupérer la liste des clés de contexte utilisées par une politique JSON arbitraire à l’aide de la commande get-context-keys-for-custom-policy.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Sortie :

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Pour plus d'informations, consultez la section Utilisation du simulateur de politique IAM (AWS CLI et AWS API) dans le guide de l'utilisateur AWS IAM.

Pour obtenir un rapport sur les informations d’identification

Cet exemple ouvre le rapport renvoyé et le transmet au pipeline sous la forme d’un tableau de lignes de texte.

aws iam get-credential-report

Sortie :

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Pour plus d'informations, consultez la section Obtenir des rapports d'identification pour votre AWS compte dans le guide de l'utilisateur AWS IAM.

Pour obtenir des informations sur une politique attachée à un groupe IAM

La commande get-group-policy suivante permet d’obtenir des informations sur la politique spécifiée attachée au groupe nommé Test-Group.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Sortie :

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Pour plus d’informations, consultez Gestion des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir un groupe IAM

Cet exemple renvoie des informations sur le groupe IAM Admins.

aws iam get-group \
    --group-name Admins

Sortie :

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Pour plus d’informations, consultez Identités IAM (utilisateurs, groupes et rôles) dans le Guide de l’utilisateur AWS  IAM.

Pour obtenir des informations sur un profil d’instance

La commande get-instance-profile suivante permet d’obtenir des informations sur le profil d’instance nommé ExampleInstanceProfile.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Sortie :

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Pour de plus amples informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour obtenir des informations sur le mot de passe d’un utilisateur IAM

La commande get-login-profile suivante permet d’obtenir des informations sur le mot de passe de l’utilisateur IAM nommé Bob.

aws iam get-login-profile \
    --user-name Bob

Sortie :

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

La commande get-login-profile peut être utilisée pour vérifier qu’un utilisateur IAM possède un mot de passe. La commande renvoie une erreur NoSuchEntity si aucun mot de passe n’est défini pour l’utilisateur.

Vous ne pouvez pas afficher un mot de passe à l’aide de cette commande. Si le mot de passe est perdu, vous pouvez le réinitialiser (update-login-profile) pour l’utilisateur. Vous pouvez également supprimer le profil de connexion (delete-login-profile) de l’utilisateur, puis en recréer un (create-login-profile).

Pour de plus amples informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS  IAM.

Pour récupérer des informations sur une clé de sécurité FIDO

L'exemple de get-mfa-device commande suivant permet de récupérer des informations sur la clé de sécurité FIDO spécifiée.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Sortie :

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS  IAM.

Pour renvoyer des informations sur le fournisseur OpenID Connect spécifié

Cet exemple renvoie des informations sur le fournisseur OpenID Connect dont l’ARN est arn:aws:iam::123456789012:oidc-provider/server.example.com.

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Sortie :

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS  IAM.

Pour récupérer un rapport d'accès

L'get-organizations-access-reportexemple suivant affiche un rapport d'accès généré précédemment pour une entité AWS Organizations. Pour générer un rapport, utilisez la commande generate-organizations-access-report.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de l'utilisateur AWS IAM.

Pour récupérer des informations sur la version spécifiée de la politique gérée spécifiée

Cet exemple renvoie le document de politique pour la version v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Sortie :

{
    "PolicyVersion": {
        "Document": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer des informations sur la politique gérée spécifiée

Cet exemple renvoie des détails sur la politique gérée dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Sortie :

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir des informations sur une politique attachée à un rôle IAM

La commande get-role-policy suivante permet d’obtenir des informations sur la politique spécifiée attachée au rôle nommé Test-Role.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Sortie :

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir des informations sur un rôle IAM

La commande get-role suivante permet d’obtenir des informations sur le rôle nommé Test-Role.

aws iam get-role \
    --role-name Test-Role

Sortie :

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La commande affiche la politique d’approbation attachée au rôle. Pour répertorier les politiques des autorisations attachées à un rôle, utilisez la commande list-role-policies.

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer le métadocument du fournisseur SAML

Cet exemple extrait les informations relatives au fournisseur SAML 2.0 dont l’ARM est le nom arn:aws:iam::123456789012:saml-provider/SAMLADFS. La réponse inclut le document de métadonnées que vous avez obtenu du fournisseur d'identité pour créer l'entité du fournisseur AWS SAML ainsi que les dates de création et d'expiration.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Sortie :

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour obtenir des informations sur un certificat de serveur associé à votre AWS compte

La get-server-certificate commande suivante permet de récupérer tous les détails relatifs au certificat de serveur spécifié dans votre AWS compte.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Sortie :

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Pour répertorier les certificats de serveur disponibles dans votre AWS compte, utilisez la list-server-certificates commande.

Pour de plus amples informations, veuillez consulter Gestion des certificats de serveur dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour récupérer un rapport d’accès aux services contenant les détails d’un service

L’exemple get-service-last-accessed-details-with-entities suivant extrait un rapport contenant des informations détaillées sur les utilisateurs IAM et les autres entités ayant accédé au service spécifié. Pour générer un rapport, utilisez la commande generate-service-last-accessed-details. Pour obtenir une liste des services auxquels on accède à l’aide d’espaces de noms, utilisez get-service-last-accessed-details.

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de l'utilisateur AWS IAM.

Pour récupérer un rapport d’accès aux services

L’exemple get-service-last-accessed-details suivant récupère un rapport généré précédemment qui répertorie les services auxquels accèdent les entités IAM. Pour générer un rapport, utilisez la commande generate-service-last-accessed-details.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Sortie :

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Pour plus d'informations, voir Affiner les autorisations lors de AWS l'utilisation des dernières informations consultées dans le Guide de l'utilisateur AWS IAM.

Pour vérifier le statut d’une requête de suppression d’un rôle lié à un service

L’exemple get-service-linked-role-deletion-status suivant affiche le statut d’une requête précédente de suppression d’un rôle lié à un service. L’opération de suppression s’effectue de manière asynchrone. Lorsque vous effectuez la requête, vous obtenez une valeur DeletionTaskId que vous fournissez en tant que paramètre de cette commande.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Sortie :

{
"Status": "SUCCEEDED"
}

Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : Pour récupérer une clé publique SSH attachée à un utilisateur IAM sous forme codée SSH

La get-ssh-public-key commande suivante récupère la clé publique SSH spécifiée auprès de l'utilisateur IAM. sofia La sortie est encodée en SSH.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Exemple 2 : Pour récupérer une clé publique SSH attachée à un utilisateur IAM sous forme codée PEM

La get-ssh-public-key commande suivante récupère la clé publique SSH spécifiée auprès de l'utilisateur IAM. sofia La sortie est encodée au format PEM.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Pour plus d'informations, consultez la section Utiliser les clés SSH et SSH avec CodeCommit dans le guide de l'utilisateur AWS IAM.

Pour répertorier les détails de la politique d’un utilisateur IAM

La commande get-user-policy suivante répertorie les détails de la politique spécifiée qui est attachée à l’utilisateur IAM nommé Bob.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Sortie :

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Pour obtenir une liste des politiques d’un utilisateur IAM, utilisez la commande list-user-policies.

Pour de plus amples informations, veuillez consulter Policies and permissions in IAM (Stratégies et autorisations dans IAM) dans le AWS IAM Guide de l’utilisateur.

Pour obtenir des informations sur un utilisateur IAM

La commande get-user suivante permet d’obtenir des informations sur l’utilisateur IAM nommé Paulo.

aws iam get-user \
    --user-name Paulo

Sortie :

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Pour plus d’informations, consultez la section Gestion des utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier la clé d'accès IDs d'un utilisateur IAM

La list-access-keys commande suivante répertorie les clés d'accès IDs pour l'utilisateur IAM nomméBob.

aws iam list-access-keys \
    --user-name Bob

Sortie :

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

Vous ne pouvez pas répertorier les clés d’accès secrètes des utilisateurs IAM. Si les clés d’accès secrètes sont perdues, vous devez créer de nouvelles clés d’accès à l’aide de la commande create-access-keys.

Pour de plus amples informations, veuillez consulter Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier des alias de compte

La commande list-account-aliases suivante répertorie les alias du compte actuel.

aws iam list-account-aliases

Sortie :

{
    "AccountAliases": [
    "mycompany"
    ]
}

Pour plus d'informations, consultez la section Votre identifiant de AWS compte et son alias dans le guide de l'utilisateur AWS IAM.

Pour répertorier toutes les politiques gérées attachées au groupe spécifié

Cet exemple renvoie les noms et ARNs les politiques gérées attachés au groupe IAM nommé Admins dans le AWS compte.

aws iam list-attached-group-policies \
    --group-name Admins

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier toutes les politiques gérées qui sont attachées au rôle spécifié

Cette commande renvoie les noms et ARNs les politiques gérées associées au rôle IAM nommé SecurityAuditRole dans le AWS compte.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier toutes les politiques gérées attachées à l’utilisateur spécifié

Cette commande renvoie les noms et ARNs les politiques gérées pour l'utilisateur IAM nommé Bob dans le AWS compte.

aws iam list-attached-user-policies \
    --user-name Bob

Sortie :

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier tous les utilisateurs, groupes et rôles auxquels la politique gérée spécifiée est attachée

Cet exemple renvoie une liste des groupes, des rôles et des utilisateurs IAM auxquels la politique arn:aws:iam::123456789012:policy/TestPolicy est attachée.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Sortie :

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier toutes les politiques en ligne attachées au groupe spécifié

La commande list-group-policies suivante répertorie les noms des politiques en ligne attachées au groupe IAM nommé Admins dans le compte actuel.

aws iam list-group-policies \
    --group-name Admins

Sortie :

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Pour plus d’informations, consultez Gestion des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les groupes auxquels l’utilisateur IAM appartient

La commande list-groups-for-user suivante affiche les groupes auxquels l’utilisateur IAM nommé Bob appartient.

aws iam list-groups-for-user \
    --user-name Bob

Sortie :

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Pour plus d’informations, consultez la section Gestion des groupes IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les groupes IAM du compte actuel

La commande list-groups suivante répertorie les groupes IAM du compte actuel.

aws iam list-groups

Sortie :

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Pour plus d’informations, consultez la section Gestion des groupes IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises associées à un profil d'instance

La list-instance-profile-tags commande suivante permet de récupérer la liste des balises associées au profil d'instance spécifié.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour répertorier les profils d’instance d’un rôle IAM

La commande list-instance-profiles-for-role suivante répertorie les profils d’instance associés au rôle Test-Role.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Sortie :

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Pour de plus amples informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les profils d’instance du compte

La commande list-instance-profiles suivante répertorie les profils d’instance associés au compte actuel.

aws iam list-instance-profiles

Sortie :

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Pour de plus amples informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les tags attachés à un périphérique MFA

La list-mfa-device-tags commande suivante permet de récupérer la liste des balises associées au périphérique MFA spécifié.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour répertorier tous les dispositifs MFA d’un utilisateur spécifique

Cet exemple renvoie des informations sur le dispositif MFA attribué à l’utilisateur IAM Bob.

aws iam list-mfa-devices \
    --user-name Bob

Sortie :

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS  IAM.

Pour répertorier les tags attachés à un fournisseur d'identité compatible avec OpenID Connect (OIDC)

La list-open-id-connect-provider-tags commande suivante permet de récupérer la liste des balises associées au fournisseur d'identité OIDC spécifié.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour répertorier les informations relatives aux fournisseurs OpenID Connect dans le compte AWS

Cet exemple renvoie une liste des ARNS de tous les fournisseurs OpenID Connect définis dans AWS le compte courant.

aws iam list-open-id-connect-providers

Sortie :

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS  IAM.

Pour répertorier les fonctionnalités d'accès root centralisé activées pour votre organisation

La list-organizations-features commande suivante répertorie les fonctionnalités d'accès root centralisé activées pour votre organisation.

aws iam list-organizations-features

Sortie :

{
    "EnabledFeatures": [
        "RootCredentialsManagement",
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Pour plus d'informations, consultez la section Gestion centralisée de l'accès root pour les comptes des membres dans le guide de l'utilisateur AWS IAM.

Pour répertorier les politiques qui accordent un accès principal au service spécifié

L'list-policies-granting-service-accessexemple suivant extrait la liste des politiques qui accordent à l'utilisateur IAM l'sofiaaccès au AWS CodeCommit service.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Sortie :

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Pour plus d'informations, consultez la section Utilisation d'IAM avec CodeCommit : informations d'identification Git, clés SSH et clés AWS d'accès dans le guide de l'utilisateur AWS IAM.

Pour répertorier les politiques gérées disponibles pour votre AWS compte

Cet exemple renvoie une collection des deux premières politiques gérées disponibles dans le AWS compte courant.

aws iam list-policies \
    --max-items 3

Sortie :

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises associées à une politique gérée

La list-policy-tags commande suivante permet de récupérer la liste des balises associées à la politique gérée spécifiée.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour récupérer des informations sur les versions de la politique gérée spécifiée

Cet exemple renvoie la liste des versions disponibles de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Sortie :

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Pour de plus amples informations, veuillez consulter Politiques et autorisations dans IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les politiques attachées à un rôle IAM

La commande list-role-policies suivante répertorie les noms des politiques des autorisations pour le rôle IAM spécifié.

aws iam list-role-policies \
    --role-name Test-Role

Sortie :

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Pour voir la politique d’approbation attachée à un rôle, utilisez la commande get-role. Pour voir les détails d’une politique des autorisations, utilisez la commande get-role-policy.

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises attachées à un rôle

La commande list-role-tags suivante permet de récupérer la liste des balises associées au rôle spécifié.

aws iam list-role-tags \
    --role-name production-role

Sortie :

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour répertorier les rôles IAM du compte actuel

La commande list-roles suivante répertorie les rôles IAM du compte actuel.

aws iam list-roles

Sortie :

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises associées à un fournisseur SAML

La list-saml-provider-tags commande suivante permet de récupérer la liste des balises associées au fournisseur SAML spécifié.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour répertorier les fournisseurs SAML dans le compte AWS

Cet exemple extrait la liste des fournisseurs SAML 2.0 créés dans le compte courant AWS .

aws iam list-saml-providers

Sortie :

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour répertorier les balises associées à un certificat de serveur

La list-server-certificate-tags commande suivante permet de récupérer la liste des balises associées au certificat de serveur spécifié.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Sortie :

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour répertorier les certificats de serveur de votre AWS compte

La list-server-certificates commande suivante répertorie tous les certificats de serveur stockés et disponibles pour utilisation dans votre AWS compte.

aws iam list-server-certificates

Sortie :

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Pour de plus amples informations, veuillez consulter Gestion des certificats de serveur dans IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : Répertorier les informations d'identification spécifiques au service pour un utilisateur

L'list-service-specific-credentialsexemple suivant affiche toutes les informations d'identification spécifiques au service attribuées à l'utilisateur spécifié. Les mots de passe ne sont pas inclus dans la réponse.

aws iam list-service-specific-credentials \
    --user-name sofia

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Exemple 2 : Répertorier les informations d'identification spécifiques au service pour un utilisateur filtré vers un service spécifique

L'list-service-specific-credentialsexemple suivant affiche les informations d'identification spécifiques au service attribuées à l'utilisateur qui fait la demande. La liste est filtrée pour inclure uniquement les informations d'identification pour le service spécifié. Les mots de passe ne sont pas inclus dans la réponse.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour les connexions HTTPS CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Pour récupérer une liste d'informations d'identification

L'list-service-specific-credentialsexemple suivant répertorie les informations d'identification générées pour l'accès HTTPS aux AWS CodeCommit référentiels pour un utilisateur nommédeveloper.

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Sortie :

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour les connexions HTTPS CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Pour répertorier les certificats de signature d’un utilisateur IAM

La commande list-signing-certificates suivante répertorie les certificats de signature de l’utilisateur IAM nommé Bob.

aws iam list-signing-certificates \
    --user-name Bob

Sortie :

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.

Pour répertorier les clés publiques SSH associées à un utilisateur IAM

L'list-ssh-public-keysexemple suivant répertorie les clés publiques SSH associées à l'utilisateur IAM. sofia

aws iam list-ssh-public-keys \
    --user-name sofia

Sortie :

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Pour plus d'informations, consultez la section Utiliser les clés SSH et SSH avec CodeCommit dans le guide de l'utilisateur AWS IAM

Pour répertorier les politiques d’un utilisateur IAM

La commande list-user-policies suivante répertorie les politiques attachées à l’utilisateur IAM nommé Bob.

aws iam list-user-policies \
    --user-name Bob

Sortie :

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Pour plus d'informations, consultez la section Création d'un utilisateur IAM dans votre AWS compte dans le guide de l'utilisateur AWS IAM.

Pour répertorier les balises attachées à un utilisateur

La commande list-user-tags suivante extrait la liste des balises associées à l’utilisateur IAM spécifié.

aws iam list-user-tags \
    --user-name alice

Sortie :

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour répertorier les utilisateurs IAM

La commande list-users suivante répertorie les utilisateurs IAM du compte actuel.

aws iam list-users

Sortie :

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Pour plus d’informations, consultez la section Liste des utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour afficher la liste des dispositifs MFA virtuels

La commande list-virtual-mfa-devices suivante répertorie les dispositifs MFA virtuels qui ont été configurés pour le compte actuel.

aws iam list-virtual-mfa-devices

Sortie :

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Pour de plus d’informations, consultez Activation d’un dispositif virtuel d’authentification multifactorielle (MFA) dans le Guide de l’utilisateur AWS  IAM.

Pour ajouter une politique à un groupe

La commande put-group-policy suivante ajoute une politique au groupe IAM nommé Admins.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Cette commande ne produit aucun résultat.

La politique est définie sous la forme d'un document JSON dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour plus d’informations, consultez Gestion des politiques IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour appliquer une limite des autorisations basée sur une politique personnalisée à un rôle IAM

L’exemple put-role-permissions-boundary suivant applique la politique personnalisée nommée intern-boundary comme limite des autorisations pour le rôle IAM spécifié.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Cette commande ne produit aucun résultat.

Exemple 2 : pour appliquer une limite d'autorisation basée sur une politique AWS gérée à un rôle IAM

L'put-role-permissions-boundaryexemple suivant applique la PowerUserAccess politique AWS gérée comme limite d'autorisations pour le rôle IAM spécifié.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour attacher une politique d’autorisation à un rôle IAM

La commande put-role-policy suivante ajoute une politique d’autorisation au rôle nommé Test-Role.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Cette commande ne produit aucun résultat.

La politique est définie sous la forme d'un document JSON dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour attacher une politique d’approbation à un rôle, utilisez la commande update-assume-role-policy.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour appliquer une limite des autorisations basée sur une politique personnalisée à un utilisateur IAM

L’exemple put-user-permissions-boundary suivant applique une politique personnalisée nommée intern-boundary comme limite des autorisations pour l’utilisateur IAM spécifié.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Cette commande ne produit aucun résultat.

Exemple 2 : pour appliquer une limite d'autorisation basée sur une politique AWS gérée à un utilisateur IAM

L'put-user-permissions-boundaryexemple suivant applique la politique AWS gérée PowerUserAccess nommée limite d'autorisations pour l'utilisateur IAM spécifié.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez la rubrique Ajout et suppression d’autorisations basées sur l’identité IAM du Guide de l’utilisateur AWS IAM.

Pour attacher une politique à un utilisateur IAM

La commande put-user-policy suivante attache une politique à l’utilisateur IAM nommé Bob.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Cette commande ne produit aucun résultat.

La politique est définie sous la forme d'un document JSON dans le fichier AdminPolicy.json. (Le nom et l’extension du fichier n’ont aucune importance.)

Pour plus d’informations, consultez la rubrique Ajout et suppression d’autorisations basées sur l’identité IAM du Guide de l’utilisateur AWS IAM.

Pour supprimer l'ID client spécifié de la liste des clients IDs enregistrés pour le fournisseur IAM OpenID Connect spécifié

Cet exemple supprime l'ID client My-TestApp-3 de la liste des clients IDs associés au fournisseur IAM OIDC dont l'ARN est l'ARN. arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS  IAM.

Pour supprimer un rôle d’un profil d’instance

La commande remove-role-from-instance-profile suivante supprime la politique nommée Test-Role du profil d’instance nommé ExampleInstanceProfile.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Pour de plus amples informations, consultez Utilisation de profils d’instance dans le Guide de l’utilisateur AWS IAM.

Pour supprimer un utilisateur d’un groupe IAM

La commande remove-user-from-group suivante supprime l’utilisateur nommé Bob du groupe IAM nommé Admins.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Ajout et suppression d’utilisateurs dans un groupe IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : réinitialisation du mot de passe pour un identifiant spécifique au service attaché à l'utilisateur qui fait la demande

L'reset-service-specific-credentialexemple suivant génère un nouveau mot de passe cryptographiquement fort pour les informations d'identification spécifiques au service spécifiées associées à l'utilisateur qui fait la demande.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Exemple 2 : réinitialiser le mot de passe d'un identifiant spécifique à un service associé à un utilisateur spécifié

L'reset-service-specific-credentialexemple suivant génère un nouveau mot de passe cryptographiquement fort pour un identifiant spécifique au service attaché à l'utilisateur spécifié.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Sortie :

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour les connexions HTTPS CodeCommit dans le Guide de AWS CodeCommit l'utilisateur.

Pour resynchroniser un dispositif MFA

L’exemple resync-mfa-device suivant synchronise le dispositif MFA associé à l’utilisateur IAM Bob, et dont l’ARN est arn:aws:iam::123456789012:mfa/BobsMFADevice, avec un programme d’authentification qui a fourni les deux codes d’authentification.

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Utilisation de l’authentification multifactorielle (MFA) dans AWS dans le Guide de l’utilisateur AWS  IAM.

Pour définir la version spécifiée de la politique spécifiée comme la version par défaut de la politique.

Cet exemple définit la version v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MyPolicy en tant que version active par défaut.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Pour de plus amples informations, veuillez consulter Policies and permissions in IAM (Stratégies et autorisations dans IAM) dans le AWS IAM Guide de l’utilisateur.

Pour définir la version du jeton de point de terminaison global

L'set-security-token-service-preferencesexemple suivant configure Amazon STS pour utiliser les jetons de version 2 lorsque vous vous authentifiez auprès du point de terminaison global.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion du AWS STS dans une AWS région dans le guide de l'utilisateur AWS IAM.

Exemple 1 : pour simuler les effets de toutes les politiques IAM associées à un utilisateur ou à un rôle IAM

Ce qui suit simulate-custom-policy montre comment fournir à la fois la politique, définir les valeurs des variables et simuler un appel d'API pour voir s'il est autorisé ou refusé. L'exemple suivant montre une politique qui permet l'accès à la base de données uniquement après une date et une heure spécifiées. La simulation réussit car les actions simulées et la aws:CurrentTime variable spécifiée répondent toutes aux exigences de la politique.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Exemple 2 : pour simuler une commande interdite par la politique

L'simulate-custom-policyexemple suivant montre les résultats de la simulation d'une commande interdite par la politique. Dans cet exemple, la date fournie est antérieure à celle requise par la condition de la police.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Pour plus d'informations, consultez la section Tester les politiques IAM avec le simulateur de politiques IAM dans le guide de l'utilisateur AWS IAM.

Exemple 1 : pour simuler les effets d'une politique IAM arbitraire

Ce qui suit simulate-principal-policy montre comment simuler un utilisateur appelant une action d'API et déterminer si les politiques associées à cet utilisateur autorisent ou refusent l'action. Dans l'exemple suivant, l'utilisateur dispose d'une politique qui autorise uniquement l'codecommit:ListRepositoriesaction.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Exemple 2 : Pour simuler les effets d'une commande interdite

L'simulate-custom-policyexemple suivant montre les résultats de la simulation d'une commande interdite par l'une des politiques de l'utilisateur. Dans l'exemple suivant, l'utilisateur dispose d'une politique qui autorise l'accès à une base de données DynamoDB uniquement après une certaine date et heure. Dans le cadre de la simulation, l'utilisateur tente d'accéder à la base de données avec une aws:CurrentTime valeur antérieure à celle autorisée par les conditions de la politique.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Sortie :

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Pour plus d'informations, consultez la section Tester les politiques IAM avec le simulateur de politiques IAM dans le guide de l'utilisateur AWS IAM.

Pour ajouter une balise à un profil d'instance

La tag-instance-profile commande suivante ajoute une balise avec un nom de département au profil d'instance spécifié.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour ajouter une étiquette à un appareil MFA

La tag-mfa-device commande suivante ajoute une balise portant le nom du département au périphérique MFA spécifié.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour ajouter un tag à un fournisseur d'identité compatible avec OpenID Connect (OIDC)

La tag-open-id-connect-provider commande suivante ajoute une balise avec un nom de département au fournisseur d'identité OIDC spécifié.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour ajouter un tag à une politique gérée par le client

La tag-policy commande suivante ajoute une balise avec un nom de département à la politique gérée par le client spécifiée.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour ajouter une balise à un rôle

La commande tag-role suivante ajoute une balise avec un nom de département au rôle spécifié.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour ajouter une balise à un fournisseur SAML

La tag-saml-provider commande suivante ajoute une balise avec un nom de département au fournisseur SAML spécifié.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour ajouter une balise à un certificat de serveur

La tag-saml-provider commande suivante ajoute une balise avec un nom de département au certificat de serveur spécifié.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour ajouter une balise à un utilisateur

La commande tag-user suivante ajoute une balise avec le département associé à l’utilisateur spécifié.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer une balise d'un profil d'instance

La untag-instance-profile commande suivante supprime toute balise portant le nom de clé « Department » du profil d'instance spécifié.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer une étiquette d'un appareil MFA

La untag-mfa-device commande suivante supprime toute balise portant le nom de clé « Department » du périphérique MFA spécifié.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer une étiquette d'un fournisseur d'identité OIDC

La untag-open-id-connect-provider commande suivante supprime toute balise portant le nom de clé « Department » du fournisseur d'identité OIDC spécifié.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer un tag d'une politique gérée par le client

La untag-policy commande suivante supprime toute balise portant le nom de clé « Department » de la politique gérée par le client spécifiée.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer une balise d’un rôle

La commande untag-role suivante supprime toute balise portant le nom de clé « Départment » du rôle spécifié.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer une balise d'un fournisseur SAML

La untag-saml-provider commande suivante supprime toute balise portant le nom de clé « Department » du profil d'instance spécifié.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer une étiquette d'un certificat de serveur

La untag-server-certificate commande suivante supprime toute balise portant le nom de clé « Department » du certificat de serveur spécifié.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour supprimer une balise d’un utilisateur

La commande untag-user suivante supprime toute balise portant le nom de clé « Départment » de l’utilisateur spécifié.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Cette commande ne produit aucun résultat.

Pour plus d’informations, veuillez consulter Étiquetage de ressources IAM dans le Guide de l’utilisateur AWS  IAM.

Pour activer ou désactiver une clé d’accès pour un utilisateur IAM

La commande update-access-key suivante désactive la clé d’accès spécifiée (un ID de clé d’accès rapide et une clé d’accès secrète) pour l’utilisateur IAM nommé Bob.

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Cette commande ne produit aucun résultat.

La désactivation de la clé signifie qu'elle ne peut pas être utilisée pour un accès programmatique à. AWS Cependant, la clé est toujours disponible et peut être réactivée.

Pour de plus amples informations, veuillez consulter Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour définir ou modifier la politique de mot de passe du compte actuel

La commande update-account-password-policy suivante définit la politique de mot de passe pour exiger une longueur minimale de huit caractères et un ou plusieurs chiffres dans le mot de passe.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Cette commande ne produit aucun résultat.

Les modifications apportées à la politique de mot de passe d’un compte affectent tous les nouveaux mots de passe créés pour les utilisateurs IAM du compte. Les modifications apportées à la politique des mots de passe n’affectent pas les mots de passe existants.

Pour plus d’informations, consultez la section Définition d’une politique de mot de passe du compte pour les utilisateurs IAM dans le Guide de l’utilisateur AWS IAM.

Pour mettre à jour la politique d’approbation d’un rôle IAM

La commande update-assume-role-policy suivante met à jour la politique d’approbation pour le rôle nommé Test-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Cette commande ne produit aucun résultat.

La politique d’approbation est définie sous la forme d’un document JSON dans le fichier Test-Role-Trust-Policy.json. (Le nom et l’extension du fichier n’ont aucune importance.) La politique d’approbation doit spécifier un principal.

Pour mettre à jour la politique des autorisations d’un rôle, utilisez la commande put-role-policy.

Pour plus d’informations, consultez Création de rôles IAM dans le Guide de l’utilisateur AWS IAM.

Pour renommer un groupe IAM

La commande update-group suivante remplace le nom du groupe IAM Test par Test-1.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez la section Affectation d’un nouveau nom à un groupe IAM dans le Guide de l’utilisateur AWS IAM.

Pour mettre à jour le mot de passe d’un utilisateur IAM

Par exemple, la commande suivante crée un utilisateur IAM nommé update-login-profile avec le mot de passe Bob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Cette commande ne produit aucun résultat.

Pour définir une politique de mot de passe pour le compte, utilisez la commande update-account-password-policy. Si le nouveau mot de passe enfreint la politique de mot de passe du compte, la commande renvoie une erreur PasswordPolicyViolation.

Si la politique de mot de passe du compte le permet, les utilisateurs IAM peuvent modifier leurs propres mots de passe à l’aide de la commande change-password.

Conservez le nouveau mot de passe en lieu sûr. Si le mot de passe est perdu, il ne peut pas être récupéré et vous devez recréer un à l’aide de la commande create-login-profile.

Pour de plus amples informations, consultez Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur AWS  IAM.

Pour remplacer la liste existante des empreintes numériques des certificats de serveur par une nouvelle liste

Cet exemple met à jour la liste des empreintes numériques des certificats pour le fournisseur OIDC dont l’ARN est arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com afin d’utiliser une nouvelle empreinte.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Création de fournisseurs d’identité OpenID Connect (OIDC) du Guide de l’utilisateur AWS  IAM.

Pour modifier la description d’un rôle IAM

La commande update-role suivante remplace le nom du rôle IAM production-role par Main production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Sortie :

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Pour plus d’informations, consultez Modification d’un rôle dans le AWS Guide de l’utilisateur IAM.

Pour modifier la description ou la durée de session d’un rôle IAM

La commande update-role suivante remplace la description du rôle IAM production-role par Main production role et définit la durée maximale de session à 12 heures.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez Modification d’un rôle dans le Guide de l’utilisateur AWS IAM.

Pour mettre à jour le document de métadonnées d’un fournisseur SAML existant

Cet exemple met à jour le fournisseur SAML dans IAM, dont l’ARN est arn:aws:iam::123456789012:saml-provider/SAMLADFS, avec un nouveau document de métadonnées SAML issu du fichier SAMLMetaData.xml.

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Sortie :

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Pour plus d’informations, consultez Création de fournisseurs d’identité SAML IAM dans le Guide de l’utilisateur AWS IAM.

Pour modifier le chemin ou le nom d'un certificat de serveur dans votre AWS compte

La commande update-server-certificate suivante fait passer le nom du certificat de myServerCertificate à myUpdatedServerCertificate. Il modifie également le chemin pour /cloudfront/ qu'il soit accessible par le CloudFront service Amazon. Cette commande ne produit aucun résultat. Vous pouvez afficher les résultats de la mise à jour en exécutant la commande list-server-certificates.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Cette commande ne produit aucun résultat.

Pour de plus amples informations, veuillez consulter Gestion des certificats de serveur dans IAM dans le Guide de l’utilisateur AWS IAM.

Exemple 1 : pour mettre à jour le statut des informations d'identification spécifiques au service de l'utilisateur demandeur

L'update-service-specific-credentialexemple suivant modifie le statut des informations d'identification spécifiées pour l'utilisateur à qui la demande est adresséeInactive.

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Cette commande ne produit aucun résultat.

Exemple 2 : pour mettre à jour le statut des informations d'identification spécifiques au service d'un utilisateur spécifié

L'update-service-specific-credentialexemple suivant fait passer le statut des informations d'identification de l'utilisateur spécifié à Inactif.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Créer des informations d'identification Git pour les connexions HTTPS CodeCommit dans le guide de AWS CodeCommit l'utilisateur

Pour activer ou désactiver un certificat de signature pour un utilisateur IAM

La commande update-signing-certificate suivante désactive le certificat de signature spécifié pour l’utilisateur IAM nommé Bob.

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Pour obtenir l’ID d’un certificat de signature, utilisez la commande list-signing-certificates.

Pour plus d'informations, consultez la section Gérer les certificats de signature dans le guide de EC2 l'utilisateur Amazon.

Pour modifier le statut d'une clé publique SSH

La update-ssh-public-key commande suivante change le statut de la clé publique spécifiée enInactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Utiliser les clés SSH et SSH avec CodeCommit dans le guide de l'utilisateur AWS IAM.

Pour modifier le nom d’un utilisateur IAM

La commande update-user suivante fait passer le nom de l’utilisateur IAM de Bob à Robert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Cette commande ne produit aucun résultat.

Pour plus d’informations, consultez la section Affectation d’un nouveau nom à un groupe IAM dans le Guide de l’utilisateur AWS IAM.

Pour télécharger un certificat de serveur sur votre AWS compte

La upload-server-certificatecommande suivante télécharge un certificat de serveur sur votre AWS compte. Dans cet exemple, le certificat se trouve dans le fichier public_key_cert_file.pem, la clé privée associée se trouve dans le fichier my_private_key.pem et la chaîne de certificats fournie par l’autorité de certification (CA) se trouve dans le fichier my_certificate_chain_file.pem. Lorsque le téléchargement du fichier est terminé, il est disponible sous le nom myServerCertificate. Les paramètres commençant par file:// indiquent à la commande de lire le contenu du fichier et de l’utiliser comme valeur de paramètre au lieu du nom du fichier lui-même.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Sortie :

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Pour de plus amples informations, veuillez consulter Creating, Uploading, and Deleting Server Certificates dans le guide d’utilisation d’IAM.

Pour charger un certificat de signature pour un utilisateur IAM

La commande upload-signing-certificate suivante charge un certificat de signature pour l’utilisateur IAM nommé Bob.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Sortie :

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

Le certificat se trouve dans un fichier au format PEM nommé certificate.pem.

Pour de plus amples informations, consultez Création, chargement et suppression de certificats de serveur dans le guide Utilisation d’IAM.

Pour télécharger une clé publique SSH et l'associer à un utilisateur

La upload-ssh-public-key commande suivante télécharge la clé publique trouvée dans le fichier sshkey.pub et l'attache à l'utilisateursofia.

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Sortie :

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Pour plus d'informations sur la façon de générer des clés dans un format adapté à cette commande, voir SSH et Linux, macOS ou Unix : configurer les clés publiques et privées pour Git et/ou SSH et CodeCommit Windows : configurer les clés publiques et privées pour Git et CodeCommit dans le Guide de l'AWS CodeCommit utilisateur.