Exemples d'IAM utilisant Tools for V5 PowerShell

Exemple 1 : cette commande ajoute l’ID client (ou audience) my-application-ID au fournisseur OIDC existant nommé server.example.com.

Add-IAMClientIDToOpenIDConnectProvider -ClientID "my-application-ID" -OpenIDConnectProviderARN "arn:aws:iam::123456789012:oidc-provider/server.example.com"

Exemple 1 : cet exemple ajoute une balise au rôle dans le service de gestion des identités

Add-IAMRoleTag -RoleName AdminRoleacess -Tag @{ Key = 'abac'; Value = 'testing'}

Exemple 1 : cette commande ajoute le rôle nommé S3Access à un profil d’instance existant nommé webserver. Pour créer le profil d’instance, utilisez la commande New-IAMInstanceProfile. Après avoir créé le profil d'instance et l'avoir associé à un rôle à l'aide de cette commande, vous pouvez l'associer à une EC2 instance. Pour ce faire, utilisez l’applet de commande New-EC2Instance avec le paramètre InstanceProfile_Arn ou InstanceProfile-Name pour lancer la nouvelle instance.

Add-IAMRoleToInstanceProfile -RoleName "S3Access" -InstanceProfileName "webserver"

Exemple 1 : cet exemple ajoute une balise à l’utilisateur dans le service de gestion des identités

Add-IAMUserTag -UserName joe -Tag @{ Key = 'abac'; Value = 'testing'}

Exemple 1 : cette commande ajoute l’utilisateur nommé Bob au groupe nommé Admins.

Add-IAMUserToGroup -UserName "Bob" -GroupName "Admins"

Exemple 1 : cette commande désactive le dispositif MFA matériel associé à l’utilisateur Bob et possédant le numéro de série 123456789012.

Disable-IAMMFADevice -UserName "Bob" -SerialNumber "123456789012"

Exemple 2 : cette commande désactive le dispositif MFA virtuel associé à l’utilisateur David qui possède l’ARN arn:aws:iam::210987654321:mfa/David. Notez que le dispositif MFA virtuel n’est pas supprimé du compte. Le dispositif virtuel est toujours présent et apparaît dans la sortie de la commande Get-IAMVirtualMFADevice. Avant de pouvoir créer un dispositif MFA virtuel pour le même utilisateur, vous devez supprimer l’ancien à l’aide de la Remove-IAMVirtualMFADevice commande.

Disable-IAMMFADevice -UserName "David" -SerialNumber "arn:aws:iam::210987654321:mfa/David"

Exemple 1 : cette commande modifie le mot de passe de l’utilisateur qui exécute la commande. Cette commande ne peut être appelée que par les utilisateurs IAM. Si cette commande est appelée lorsque vous êtes connecté avec les informations d'identification du AWS compte (root), elle renvoie une erreur. InvalidUserType

Edit-IAMPassword -OldPassword "MyOldP@ssw0rd" -NewPassword "MyNewP@ssw0rd"

Exemple 1 : cette commande active le dispositif MFA matériel dont le numéro de série est 987654321098 et l’associe à l’utilisateur Bob. Elle inclut les deux premiers codes en séquence provenant du dispositif.

Enable-IAMMFADevice -UserName "Bob" -SerialNumber "987654321098" -AuthenticationCode1 "12345678" -AuthenticationCode2 "87654321"

Exemple 2 : cet exemple crée et active un dispositif MFA virtuel. La première commande crée le dispositif virtuel et renvoie la représentation de l’objet du dispositif dans la variable $MFADevice. Vous pouvez utiliser les propriétés .Base32StringSeed ou QRCodePng pour configurer l’application logicielle de l’utilisateur. La commande finale attribue le dispositif à l’utilisateur David, en identifiant le dispositif par son numéro de série. La commande synchronise également le dispositif AWS en incluant les deux premiers codes en séquence à partir du dispositif MFA virtuel.

$MFADevice = New-IAMVirtualMFADevice -VirtualMFADeviceName "MyMFADevice"
# see example for New-IAMVirtualMFADevice to see how to configure the software program with PNG or base32 seed code
Enable-IAMMFADevice -UserName "David" -SerialNumber -SerialNumber $MFADevice.SerialNumber -AuthenticationCode1 "24681357" -AuthenticationCode2 "13572468"

Exemple 1 : cette commande répertorie les clés d’accès de l’utilisateur IAM nommé Bob. Notez que vous ne pouvez pas répertorier les clés d’accès secrètes des utilisateurs IAM. Si les clés d’accès secrètes sont perdues, vous devez générer de nouvelles clés d’accès à l’applet de commande New-IAMAccessKey.

Get-IAMAccessKey -UserName "Bob"

Sortie :

AccessKeyId                CreateDate                   Status              UserName
-----------                ----------                   ------              --------
AKIAIOSFODNN7EXAMPLE       12/3/2014 10:53:41 AM        Active              Bob
AKIAI44QH8DHBEXAMPLE       6/6/2013 8:42:26 PM          Inactive            Bob

Exemple 1 : renvoie le nom d’utilisateur propriétaire et les informations relatives à la dernière utilisation de la clé d’accès fournie.

Get-IAMAccessKeyLastUsed -AccessKeyId ABCDEXAMPLE

Exemple 1 : cette commande renvoie l’alias de compte pour l’ Compte AWS.

Get-IAMAccountAlias

Sortie :

ExampleCo

Exemple 1 : Cet exemple obtient les détails d'autorisation concernant les identités du AWS compte et affiche la liste des éléments de l'objet renvoyé, y compris les utilisateurs, les groupes et les rôles. Par exemple, la propriété UserDetailList affiche des informations sur les utilisateurs. Des informations similaires sont disponibles dans les propriétés RoleDetailList et GroupDetailList.

$Details=Get-IAMAccountAuthorizationDetail
$Details

Sortie :

GroupDetailList : {Administrators, Developers, Testers, Backup}
IsTruncated     : False
Marker          : 
RoleDetailList  : {TestRole1, AdminRole, TesterRole, clirole...}
UserDetailList  : {Administrator, Bob, BackupToS3, }

$Details.UserDetailList

Sortie :

Arn            : arn:aws:iam::123456789012:user/Administrator
CreateDate     : 10/16/2014 9:03:09 AM
GroupList      : {Administrators}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE1
UserName       : Administrator
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/Bob
CreateDate     : 4/6/2015 12:54:42 PM
GroupList      : {Developers}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE2
UserName       : bab
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/BackupToS3
CreateDate     : 1/27/2015 10:15:08 AM
GroupList      : {Backup}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE3
UserName       : BackupToS3
UserPolicyList : {BackupServicePermissionsToS3Buckets}

Exemple 1 : cet exemple affiche les détails de la politique de mot de passe du compte actuel. Si aucune politique de mot de passe n’est définie pour le compte, la commande renvoie une erreur NoSuchEntity.

Get-IAMAccountPasswordPolicy

Sortie :

AllowUsersToChangePassword : True
ExpirePasswords            : True
HardExpiry                 : False
MaxPasswordAge             : 90
MinimumPasswordLength      : 8
PasswordReusePrevention    : 20
RequireLowercaseCharacters : True
RequireNumbers             : True
RequireSymbols             : False
RequireUppercaseCharacters : True

Exemple 1 : cet exemple renvoie des informations sur l’utilisation des entités IAM et sur les quotas IAM actuels dans Compte AWS.

Get-IAMAccountSummary

Sortie :

Key                                        Value
Users                                      7
GroupPolicySizeQuota                       5120
PolicyVersionsInUseQuota                   10000
ServerCertificatesQuota                    20
AccountSigningCertificatesPresent          0
AccountAccessKeysPresent                   0
Groups                                     3
UsersQuota                                 5000
RolePolicySizeQuota                        10240
UserPolicySizeQuota                        2048
GroupsPerUserQuota                         10
AssumeRolePolicySizeQuota                  2048
AttachedPoliciesPerGroupQuota              2
Roles                                      9
VersionsPerPolicyQuota                     5
GroupsQuota                                100
PolicySizeQuota                            5120
Policies                                   5
RolesQuota                                 250
ServerCertificates                         0
AttachedPoliciesPerRoleQuota               2
MFADevicesInUse                            2
PoliciesQuota                              1000
AccountMFAEnabled                          1
Providers                                  2
InstanceProfilesQuota                      100
MFADevices                                 4
AccessKeysPerUserQuota                     2
AttachedPoliciesPerUserQuota               2
SigningCertificatesPerUserQuota            2
PolicyVersionsInUse                        4
InstanceProfiles                           1
...

Exemple 1 : Cette commande renvoie les noms et ARNs les politiques gérées attachés au groupe IAM nommé Admins dans le AWS compte. Pour consulter la liste des politiques intégrées au groupe, utilisez la commande Get-IAMGroupPolicyList.

Get-IAMAttachedGroupPolicyList -GroupName "Admins"

Sortie :

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit
arn:aws:iam::aws:policy/AdministratorAccess               AdministratorAccess

Exemple 1 : Cette commande renvoie les noms et ARNs les politiques gérées associées au rôle IAM nommé SecurityAuditRole dans le AWS compte. Pour consulter la liste des politiques en ligne intégrées au rôle, utilisez la commande Get-IAMRolePolicyList.

Get-IAMAttachedRolePolicyList -RoleName "SecurityAuditRole"

Sortie :

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit

Exemple 1 : Cette commande renvoie les noms et ARNs les politiques gérées pour l'utilisateur IAM nommé Bob dans le AWS compte. Pour voir la liste des politiques en ligne qui sont intégrées à l’utilisateur IAM, utilisez la commande Get-IAMUserPolicyList.

Get-IAMAttachedUserPolicyList -UserName "Bob"

Sortie :

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/TesterPolicy                      TesterPolicy

Exemple 1 : cet exemple extrait toutes les clés de contexte présentes dans le JSON de la politique fourni. Afin de fournir plusieurs politiques, vous pouvez spécifier une liste de valeurs séparées par des virgules.

$policy1 = '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForCustomPolicy -PolicyInputList $policy1,$policy2

Exemple 1 : cet exemple extrait toutes les clés de contexte présentes dans le JSON de politique fourni et les politiques attachées à l’entité IAM (utilisateur/rôle, etc.). Pour : PolicyInputList vous pouvez fournir une liste de valeurs multiples sous forme de valeurs séparées par des virgules.

$policy1 = '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17",		 	 	 "Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForPrincipalPolicy -PolicyInputList $policy1,$policy2 -PolicySourceArn arn:aws:iam::852640994763:user/TestUser

Exemple 1 : cet exemple ouvre le rapport renvoyé et le transmet au pipeline sous la forme d’un tableau de lignes de texte. La première ligne est l’en-tête avec les noms de colonnes séparés par des virgules. Chaque ligne successive est la ligne de détail d’un utilisateur, chaque champ étant séparé du suivant par une virgule. Avant de pouvoir consulter le rapport, vous devez le générer à l’aide de l’applet de commande Request-IAMCredentialReport. Pour récupérer le rapport sous forme de chaîne unique, utilisez à la -Raw place de -AsTextArray. L’alias -SplitLines est également accepté pour le commutateur -AsTextArray. Pour obtenir la liste complète des colonnes dans sortie, consultez la référence de l’API du service. Notez que si vous n’utilisez pas -AsTextArray ou -SplitLines, vous devez extraire le texte de la propriété .Content à l’aide de la classe .NET StreamReader.

Request-IAMCredentialReport

Sortie :

Description                                                         State
-----------                                                         -----
No report exists. Starting a new report generation task             STARTED

Get-IAMCredentialReport -AsTextArray

Sortie :

      user,arn,user_creation_time,password_enabled,password_last_used,password_last_changed,password_next_rotation,mfa_active,access_key_1_active,access_key_1_last_rotated,access_key_2_active,access_key_2_last_rotated,cert_1_active,cert_1_last_rotated,cert_2_active,cert_2_last_rotated root_account,arn:aws:iam::123456789012:root,2014-10-15T16:31:25+00:00,not_supported,2015-04-20T17:41:10+00:00,not_supported,not_supported,true,false,N/A,false,N/A,false,N/A,false,N/A
Administrator,arn:aws:iam::123456789012:user/Administrator,2014-10-16T16:03:09+00:00,true,2015-04-20T15:18:32+00:00,2014-10-16T16:06:00+00:00,N/A,false,true,2014-12-03T18:53:41+00:00,true,2015-03-25T20:38:14+00:00,false,N/A,false,N/A
Bill,arn:aws:iam::123456789012:user/Bill,2015-04-15T18:27:44+00:00,false,N/A,N/A,N/A,false,false,N/A,false,N/A,false,2015-04-20T20:00:12+00:00,false,N/A

Exemple 1 : cet exemple renvoie une liste de groupes, de rôles et d’utilisateurs IAM auxquels la politique arn:aws:iam::123456789012:policy/TestPolicy est attachée.

Get-IAMEntitiesForPolicy -PolicyArn "arn:aws:iam::123456789012:policy/TestPolicy"

Sortie :

IsTruncated  : False
Marker       : 
PolicyGroups : {}
PolicyRoles  : {testRole}
PolicyUsers  : {Bob, Theresa}

Exemple 1 : cet exemple renvoie des informations sur le groupe IAM Testers, y compris une collection de tous les utilisateurs IAM appartenant au groupe.

$results = Get-IAMGroup -GroupName "Testers"
$results

Sortie :

Group                                     IsTruncated           Marker                Users
-----                                     -----------           ------                -----
Amazon.IdentityManagement.Model.Group     False                                       {Theresa, David}

$results.Group

Sortie :

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : 3RHNZZGQJ7QHMAEXAMPLE1
GroupName  : Testers
Path       : /

$results.Users

Sortie :

Arn              : arn:aws:iam::123456789012:user/Theresa
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : 4OSVDDJJTF4XEEXAMPLE2
UserName         : Theresa

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE3
UserName         : David

Exemple 1 : cet exemple renvoie la liste des groupes IAM auxquels David appartient l’utilisateur IAM.

Get-IAMGroupForUser -UserName David

Sortie :

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE2
GroupName  : Testers
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE3
GroupName  : Developers
Path       : /

Exemple 1 : Cet exemple renvoie une collection de tous les groupes IAM définis dans le fichier actuel Compte AWS.

Get-IAMGroupList

Sortie :

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE2
GroupName  : Developers
Path       : /

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE3
GroupName  : Testers
Path       : /

Exemple 1 : cet exemple renvoie des informations sur la politique intégrée nommée PowerUserAccess-Testers pour le groupe Testers. La propriété PolicyDocument est encodée sous forme d’URL. Elle est décodée dans cet exemple à l’aide de la méthode .NET UrlDecode.

$results = Get-IAMGroupPolicy -GroupName Testers -PolicyName PowerUserAccess-Testers
$results

Sortie :

GroupName     PolicyDocument                                              PolicyName
---------     --------------                                              ----------
Testers       %7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20... PowerUserAccess-Testers

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"
      ]
    }
  ]
}

Exemple 1 : cet exemple renvoie la liste des politiques en ligne intégrées au groupe Testers. Pour obtenir les politiques gérées attachées au groupe, utilisez la commande Get-IAMAttachedGroupPolicyList.

Get-IAMGroupPolicyList -GroupName Testers

Sortie :

Deny-Assume-S3-Role-In-Production
PowerUserAccess-Testers

Exemple 1 : Cet exemple renvoie les détails du profil d'instance nommé ec2instancerole défini dans le AWS compte courant.

Get-IAMInstanceProfile -InstanceProfileName ec2instancerole

Sortie :

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

Exemple 1 : cet exemple renvoie les détails du profil d’instance associé au rôle ec2instancerole.

Get-IAMInstanceProfileForRole -RoleName ec2instancerole

Sortie :

      Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
      CreateDate          : 2/17/2015 2:49:04 PM
      InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
      InstanceProfileName : ec2instancerole
      Path                : /
      Roles               : {ec2instancerole}

Exemple 1 : Cet exemple renvoie une collection des profils d'instance définis dans le fichier actuel Compte AWS.

Get-IAMInstanceProfileList

Sortie :

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

Exemple 1 : cet exemple renvoie la date de création du mot de passe et indique si une réinitialisation du mot de passe est requise pour l’utilisateur IAM David.

Get-IAMLoginProfile -UserName David

Sortie :

CreateDate                   PasswordResetRequired                 UserName
----------                   ---------------------                 --------
12/10/2014 3:39:44 PM        False                                 David

Exemple 1 : cet exemple renvoie des informations sur le dispositif MFA attribué à l’utilisateur IAM David. Dans cet exemple, vous pouvez voir qu’il s’agit d’un dispositif virtuel, car le SerialNumber est un ARN au lieu du numéro de série réel du dispositif physique.

Get-IAMMFADevice -UserName David

Sortie :

EnableDate                  SerialNumber                           UserName
----------                  ------------                           --------
4/8/2015 9:41:10 AM         arn:aws:iam::123456789012:mfa/David    David

Exemple 1 : cet exemple renvoie des informations sur le fournisseur OpenID Connect dont l’ARN est arn:aws:iam::123456789012:oidc-provider/accounts.google.com. La ClientIDList propriété est une collection qui contient tous les clients IDs définis pour ce fournisseur.

Get-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/oidc.example.com

Sortie :

ClientIDList         CreateDate                ThumbprintList                               Url
------------         ----------                --------------                               ---
{MyOIDCApp}          2/3/2015 3:00:30 PM       {12345abcdefghijk67890lmnopqrst98765uvwxy}   oidc.example.com

Exemple 1 : cet exemple renvoie une liste des ARN de tous les fournisseurs OpenID Connect définis dans l’ Compte AWS actuel.

Get-IAMOpenIDConnectProviderList

Sortie :

Arn
---
arn:aws:iam::123456789012:oidc-provider/server.example.com
arn:aws:iam::123456789012:oidc-provider/another.provider.com

Exemple 1 : cet exemple renvoie des détails sur la politique gérée dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

Sortie :

Arn              : arn:aws:iam::aws:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 2/6/2015 10:40:08 AM

Exemple 1 : Cet exemple renvoie une collection des trois premières politiques gérées disponibles dans le AWS compte courant. Comme il n'-scopeest pas spécifié, il utilise par défaut all et inclut à la fois des politiques AWS gérées et des politiques gérées par le client.

Get-IAMPolicyList -MaxItem 3

Sortie :

Arn              : arn:aws:iam::aws:policy/AWSDirectConnectReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : AWSDirectConnectReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:08 AM
      
Arn              : arn:aws:iam::aws:policy/AmazonGlacierReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:27 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : NJKMU274MET4EEXAMPLE2
PolicyName       : AmazonGlacierReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:27 AM
      
Arn              : arn:aws:iam::aws:policy/AWSMarketplaceFullAccess
AttachmentCount  : 0
CreateDate       : 2/11/2015 9:21:45 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : 5ULJSO2FYVPYGEXAMPLE3
PolicyName       : AWSMarketplaceFullAccess
UpdateDate       : 2/11/2015 9:21:45 AM

Exemple 2 : Cet exemple renvoie un ensemble des deux premières politiques gérées par le client disponibles dans le AWS compte courant. Il utilise -Scope local pour limiter la sortie aux seules politiques gérées par le client.

Get-IAMPolicyList -Scope local -MaxItem 2

Sortie :

Arn              : arn:aws:iam::123456789012:policy/MyLocalPolicy
AttachmentCount  : 0
CreateDate       : 2/12/2015 9:39:09 AM
DefaultVersionId : v2
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : SQVCBLC4VAOUCEXAMPLE4
PolicyName       : MyLocalPolicy
UpdateDate       : 2/12/2015 9:39:53 AM

Arn              : arn:aws:iam::123456789012:policy/policyforec2instancerole
AttachmentCount  : 1
CreateDate       : 2/17/2015 2:51:38 PM
DefaultVersionId : v11
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : X5JPBLJH2Z2SOEXAMPLE5
PolicyName       : policyforec2instancerole
UpdateDate       : 2/18/2015 8:52:31 AM

Exemple 1 : cet exemple renvoie le document de politique pour la version v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MyManagedPolicy Le document de politique contenu dans la propriété Document est encodé sous forme d’URL et est décodé dans cet exemple à l’aide de la méthode .NET UrlDecode.

$results = Get-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy -VersionId v2
$results

Sortie :

CreateDate             Document                                        IsDefaultVersion     VersionId
----------             --------                                        ----------------     ---------
2/12/2015 9:39:53 AM   %7B%0A%20%20%22Version%22%3A%20%222012-10...    True                 v2

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
$policy = [System.Web.HttpUtility]::UrlDecode($results.Document)
$policy
{
  "Version":"2012-10-17",		 	 	 
  "Statement": 
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"
      ]
    }
}

Exemple 1 : cet exemple renvoie la liste des versions disponibles de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MyManagedPolicy. Pour obtenir le document de politique pour une version spécifique, utilisez la commande Get-IAMPolicyVersion et spécifiez le VersionId de celle que vous souhaitez.

Get-IAMPolicyVersionList -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy

Sortie :

CreateDate                   Document                 IsDefaultVersion                  VersionId
----------                   --------                 ----------------                  ---------
2/12/2015 9:39:53 AM                                  True                              v2
2/12/2015 9:39:09 AM                                  False                             v1

Exemple 1 : cet exemple renvoie les détails du lamda_exec_role. Il inclut le document de politique d’approbation qui spécifie la personne capable d’assumer ce rôle. Le document de politique est encodé sous forme d’URL et peut être décodé à l’aide de la méthode .NET UrlDecode. Dans cet exemple, tous les espaces blancs ont été supprimés de la politique originale avant qu’elle ne soit chargée dans la politique. Pour consulter les documents de politique d’autorisation qui déterminent ce qu’une personne assumant le rôle peut faire, utilisez Get-IAMRolePolicy pour les politiques en ligne, et Get-IAMPolicyVersion pour les politiques gérées attachées.

$results = Get-IamRole -RoleName lambda_exec_role
$results | Format-List

Sortie :

Arn                      : arn:aws:iam::123456789012:role/lambda_exec_role
AssumeRolePolicyDocument : %7B%22Version%22%3A%222012-10-17%22%2C%22Statement%22%3A%5B%7B%22Sid%22
                           %3A%22%22%2C%22Effect%22%3A%22Allow%22%2C%22Principal%22%3A%7B%22Service
                           %22%3A%22lambda.amazonaws.com%22%7D%2C%22Action%22%3A%22sts%3AAssumeRole
                           %22%7D%5D%7D
CreateDate               : 4/2/2015 9:16:11 AM
Path                     : /
RoleId                   : 2YBIKAIBHNKB4EXAMPLE1
RoleName                 : lambda_exec_role

$policy = [System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
$policy

Sortie :

{"Version":"2012-10-17",		 	 	 "Statement":[{"Sid":"","Effect":"Allow","Principal":{"Service":"lambda.amazonaws.com"},"Action":"sts:AssumeRole"}]}

Exemple 1 : cet exemple extrait une liste de tous les rôles IAM dans l Compte AWS.

Get-IAMRoleList

Exemple 1 : cet exemple renvoie le document de politique d’autorisations pour la politique nommée oneClick_lambda_exec_role_policy qui est intégrée au rôle IAM lamda_exec_role. Le document de politique qui en résulte est encodé sous forme d’URL. Elle est décodée dans cet exemple à l’aide de la méthode .NET UrlDecode.

$results = Get-IAMRolePolicy -RoleName lambda_exec_role -PolicyName oneClick_lambda_exec_role_policy
$results

Sortie :

PolicyDocument                                            PolicyName                           UserName
--------------                                            ----------                           --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    oneClick_lambda_exec_role_policy     lambda_exec_role

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)

Sortie :

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:*"
      ],
      "Resource": "arn:aws:logs:us-east-1:555555555555:log-group:/aws/lambda/aws-example-function:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*"
      ]
    }
  ]
}

Exemple 1 : cet exemple renvoie la liste des noms des politiques en ligne intégrées au rôle IAM lamda_exec_role. Pour consulter les détails d’une politique en ligne, utilisez la commande Get-IAMRolePolicy.

Get-IAMRolePolicyList -RoleName lambda_exec_role

Sortie :

oneClick_lambda_exec_role_policy

Exemple 1 : cet exemple récupère la balise associée au rôle.

Get-IAMRoleTagList -RoleName MyRoleName

Exemple 1 : cet exemple extrait les détails du fournisseur SAML 2.0 dont l’ARN est arn:aws:iam::123456789012:saml-provider/SAMLADFS. La réponse inclut le document de métadonnées que vous avez obtenu du fournisseur d'identité pour créer l'entité du fournisseur AWS SAML ainsi que les dates de création et d'expiration.

Get-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Sortie :

CreateDate                 SAMLMetadataDocument                                          ValidUntil
----------                 --------------------                                          ----------
12/23/2014 12:16:55 PM    <EntityDescriptor ID="_12345678-1234-5678-9012-example1...    12/23/2114 12:16:54 PM

Exemple 1 : cet exemple extrait la liste des fournisseurs SAML 2.0 créés dans l’ Compte AWS actuel. Il renvoie l’ARN, la date de création et la date d’expiration pour chaque fournisseur SAML.

Get-IAMSAMLProviderList

Sortie :

Arn                                                 CreateDate                      ValidUntil
---                                                 ----------                      ----------
arn:aws:iam::123456789012:saml-provider/SAMLADFS    12/23/2014 12:16:55 PM          12/23/2114 12:16:54 PM

Exemple 1 : cet exemple extrait les détails du certificat de serveur nommé MyServerCertificate. Vous trouverez les détails du certificat dans les propriétés CertificateBody et ServerCertificateMetadata.

$result = Get-IAMServerCertificate -ServerCertificateName MyServerCertificate
$result | format-list

Sortie :

CertificateBody           : -----BEGIN CERTIFICATE-----
                            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                            NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                            -----END CERTIFICATE-----
CertificateChain          : 
ServerCertificateMetadata : Amazon.IdentityManagement.Model.ServerCertificateMetadata

$result.ServerCertificateMetadata

Sortie :

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

Exemple 1 : cet exemple extrait la liste des certificats de serveur qui ont été chargés sur l’ Compte AWS actuel.

Get-IAMServerCertificateList

Sortie :

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

Exemple 1 : cet exemple fournit des détails sur le dernier service auquel a accédé l’entité IAM (utilisateur, groupe, rôle ou politique) associée à l’appel de la requête.

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

Sortie :

f0b7a819-eab0-929b-dc26-ca598911cb9f

Get-IAMServiceLastAccessedDetail -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f

Exemple 1 : cet exemple fournit l’horodatage du dernier accès au service dans la requête par cette entité IAM respective.

$results = Get-IAMServiceLastAccessedDetailWithEntity -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f -ServiceNamespace ec2
$results

Sortie :

EntityDetailsList : {Amazon.IdentityManagement.Model.EntityDetails}
Error             : 
IsTruncated       : False
JobCompletionDate : 12/29/19 11:19:31 AM
JobCreationDate   : 12/29/19 11:19:31 AM
JobStatus         : COMPLETED
Marker            : 

$results.EntityDetailsList

Sortie :

EntityInfo                                 LastAuthenticated
----------                                 -----------------
Amazon.IdentityManagement.Model.EntityInfo 11/16/19 3:47:00 PM

$results.EntityInfo

Sortie :

Arn  : arn:aws:iam::123456789012:user/TestUser
Id   : AIDA4NBK5CXF5TZHU1234
Name : TestUser
Path : /
Type : USER

Exemple 1 : cet exemple extrait les détails du certificat de signature associé à l’utilisateur nommé Bob.

Get-IAMSigningCertificate -UserName Bob

Sortie :

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

Exemple 1 : cet exemple permet de récupérer des informations sur l’utilisateur nommé David.

Get-IAMUser -UserName David

Sortie :

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE1
UserName         : David

Exemple 2 : cet exemple récupère les détails de l’utilisateur IAM actuellement connecté.

Get-IAMUser

Sortie :

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 10/16/2014 9:03:09 AM
PasswordLastUsed : 3/4/2015 12:12:33 PM
Path             : /
UserId           : 7K3GJEANSKZF2EXAMPLE2
UserName         : Bob

Exemple 1 : Cet exemple récupère une collection d'utilisateurs dans le fichier actuel Compte AWS.

Get-IAMUserList

Sortie :

      Arn              : arn:aws:iam::123456789012:user/Administrator
      CreateDate       : 10/16/2014 9:03:09 AM
      PasswordLastUsed : 3/4/2015 12:12:33 PM
      Path             : /
      UserId           : 7K3GJEANSKZF2EXAMPLE1
      UserName         : Administrator
      
      Arn              : arn:aws:iam::123456789012:user/Bob
      CreateDate       : 4/6/2015 12:54:42 PM
      PasswordLastUsed : 1/1/0001 12:00:00 AM
      Path             : /
      UserId           : L3EWNONDOM3YUEXAMPLE2
      UserName         : bab
      
      Arn              : arn:aws:iam::123456789012:user/David
      CreateDate       : 12/10/2014 3:39:27 PM
      PasswordLastUsed : 3/19/2015 8:44:04 AM
      Path             : /
      UserId           : Y4FKWQCXTA52QEXAMPLE3
      UserName         : David

Exemple 1 : cet exemple extrait les détails de la politique intégrée nommée Davids_IAM_Admin_Policy intégrée dans le nom de l’utilisateur IAM David. Le document de politique est encodé sous forme d’URL.

$results = Get-IAMUserPolicy -PolicyName Davids_IAM_Admin_Policy -UserName David
$results

Sortie :

PolicyDocument                                            PolicyName                    UserName
--------------                                            ----------                    --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    Davids_IAM_Admin_Policy       David

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetUser",
        "iam:ListUsers"
      ],
      "Resource": [
        "arn:aws:iam::111122223333:user/*"
      ]
    }
  ]
}

Exemple 1 : cet exemple extrait la liste des noms des politiques en ligne intégrées à l’utilisateur IAM nommé David.

Get-IAMUserPolicyList -UserName David

Sortie :

Davids_IAM_Admin_Policy

Exemple 1 : cet exemple extrait la balise associée à l’utilisateur.

Get-IAMUserTagList -UserName joe

Exemple 1 : Cet exemple récupère un ensemble de dispositifs MFA virtuels assignés aux utilisateurs du compte. AWS La propriété User de chaque dispositif est un objet contenant les détails de l’utilisateur IAM auquel le dispositif est attribué.

Get-IAMVirtualMFADevice -AssignmentStatus Assigned

Sortie :

Base32StringSeed : 
EnableDate       : 4/13/2015 12:03:42 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/David
User             : Amazon.IdentityManagement.Model.User

Base32StringSeed : 
EnableDate       : 4/13/2015 12:06:41 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/root-account-mfa-device
User             : Amazon.IdentityManagement.Model.User

Exemple 1 : cet exemple crée une paire de clés d’accès et de clés d’accès secrètes et les attribue à l’utilisateur David. Prenez soin d’enregistrer les valeurs AccessKeyId et SecretAccessKey dans un fichier, car c’est la seule fois où vous pouvez obtenir les SecretAccessKey. Vous ne pourrez pas la récupérer ultérieurement. Si vous perdez votre clé d’accès secrète, vous devez créer une paire de clés.

New-IAMAccessKey -UserName David

Sortie :

AccessKeyId     : AKIAIOSFODNN7EXAMPLE
CreateDate      : 4/13/2015 1:00:42 PM
SecretAccessKey : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Status          : Active
UserName        : David

Exemple 1 : Dans cet exemple, l'alias de votre AWS compte est remplacé parmycompanyaws. L'adresse de la page de connexion utilisateur devient panyaws.signin.aws.amazon.com/console. https://mycom L’URL d’origine utilisant le numéro de votre ID de compte au lieu de l’alias (https://<accountidnumber>.signin.aws.amazon.com/console) continue de fonctionner. Cependant, toute définition basée sur un alias précédemment définie URLs cesse de fonctionner.

New-IAMAccountAlias -AccountAlias mycompanyaws

Exemple 1 : cet exemple crée un groupe IAM nommé Developers.

New-IAMGroup -GroupName Developers

Sortie :

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 4/14/2015 11:21:31 AM
GroupId    : QNEJ5PM4NFSQCEXAMPLE1
GroupName  : Developers
Path       : /

Exemple 1 : cet exemple crée un profil d’instance IAM nommé ProfileForDevEC2Instance. Vous devez exécuter la commande Add-IAMRoleToInstanceProfile séparément pour associer le profil d’instance à un rôle IAM existant qui fournit des autorisations à l’instance. Enfin, attachez le profil d'instance à une EC2 instance lorsque vous la lancez. Pour ce faire, utilisez l’applet de commande New-EC2Instance avec le paramètre InstanceProfile_Arn ou InstanceProfile_Name.

New-IAMInstanceProfile -InstanceProfileName ProfileForDevEC2Instance

Sortie :

Arn                 : arn:aws:iam::123456789012:instance-profile/ProfileForDevEC2Instance
CreateDate          : 4/14/2015 11:31:39 AM
InstanceProfileId   : DYMFXL556EY46EXAMPLE1
InstanceProfileName : ProfileForDevEC2Instance
Path                : /
Roles               : {}

Exemple 1 : cet exemple crée un mot de passe (temporaire) pour l’utilisateur IAM nommé Bob et définit l’indicateur qui oblige l’utilisateur à modifier le mot de passe lors de la prochaine connexion de Bob.

New-IAMLoginProfile -UserName Bob -Password P@ssw0rd -PasswordResetRequired $true

Sortie :

CreateDate                    PasswordResetRequired                UserName
----------                    ---------------------                --------
4/14/2015 12:26:30 PM         True                                 Bob

Exemple 1 : cet exemple crée un fournisseur IAM OIDC associé au service de fournisseur compatible OIDC figurant sur l’URL https://example.oidcprovider.com et l’ID client my-testapp-1. Le fournisseur OIDC fournit l’empreinte numérique. Pour authentifier l'empreinte numérique, suivez les étapes indiquées sur http://docs.aws.amazon. com/IAM/latest/UserGuide/identity- providers-oidc-obtain-thumbprint .html.

New-IAMOpenIDConnectProvider -Url https://example.oidcprovider.com -ClientIDList my-testapp-1 -ThumbprintList 990F419EXAMPLEECF12DDEDA5EXAMPLE52F20D9E

Sortie :

arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Exemple 1 : Cet exemple crée une nouvelle stratégie IAM dans le AWS compte courant nommée Le fichier MySamplePolicy.json fournit MySamplePolicy le contenu de la stratégie. Notez que vous devez utiliser le paramètre booléen -Raw pour traiter correctement le fichier de politique JSON.

New-IAMPolicy -PolicyName MySamplePolicy -PolicyDocument (Get-Content -Raw MySamplePolicy.json)

Sortie :

Arn              : arn:aws:iam::123456789012:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 4/14/2015 2:45:59 PM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : LD4KP6HVFE7WGEXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 4/14/2015 2:45:59 PM

Exemple 1 : cet exemple crée une version « v2 » de la politique IAM dont l’ARN est arn:aws:iam::123456789012:policy/MyPolicy et en fait la version par défaut. Le fichier NewPolicyVersion.json fournit le contenu de la politique. Notez que vous devez utiliser le paramètre booléen -Raw pour traiter correctement le fichier de politique JSON.

New-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -PolicyDocument (Get-content -Raw NewPolicyVersion.json) -SetAsDefault $true

Sortie :

CreateDate                           Document                  IsDefaultVersion             VersionId
----------                           --------                  ----------------             ---------
4/15/2015 10:54:54 AM                                          True                         v2

Exemple 1 : cet exemple crée un rôle nommé MyNewRole et y attache la politique trouvée dans le fichier NewRoleTrustPolicy.json. Notez que vous devez utiliser le paramètre booléen -Raw pour traiter correctement le fichier de politique JSON. Le document de politique affiché dans la sortie est codé en URL. Il est décodé dans cet exemple à l’aide de la méthode .NET UrlDecode.

$results = New-IAMRole -AssumeRolePolicyDocument (Get-Content -raw NewRoleTrustPolicy.json) -RoleName MyNewRole
$results

Sortie :

Arn                      : arn:aws:iam::123456789012:role/MyNewRole
AssumeRolePolicyDocument : %7B%0D%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0D%0A%20%20%22Statement%22
                           %3A%20%5B%0D%0A%20%20%20%20%7B%0D%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C
                           %0D%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0D%0A%20%20%20%20%20%20
                           %22Principal%22%3A%20%7B%0D%0A%20%20%20%20%20%20%20%20%22AWS%22%3A%20%22arn%3Aaws
                           %3Aiam%3A%3A123456789012%3ADavid%22%0D%0A%20%20%20%20%20%20%7D%2C%0D%0A%20%20%20
                           %20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0D%0A%20%20%20%20%7D%0D%0A%20
                           %20%5D%0D%0A%7D
CreateDate               : 4/15/2015 11:04:23 AM
Path                     : /
RoleId                   : V5PAJI2KPN4EAEXAMPLE1
RoleName                 : MyNewRole

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:David"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Exemple 1 : cet exemple crée une entité de fournisseur SAML dans IAM. Il est nommé MySAMLProvider et est décrit par le document de métadonnées SAML trouvé dans le fichier SAMLMetaData.xml, qui a été téléchargé séparément depuis le site Web du fournisseur de services SAML.

New-IAMSAMLProvider -Name MySAMLProvider -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

Sortie :

arn:aws:iam::123456789012:saml-provider/MySAMLProvider

Exemple 1 : cet exemple crée un rôle lié à un service pour le service de mise à l’échelle automatique.

New-IAMServiceLinkedRole -AWSServiceName autoscaling.amazonaws.com -CustomSuffix RoleNameEndsWithThis -Description "My service-linked role to support autoscaling"

Exemple 1 : cet exemple crée un utilisateur IAM nommé Bob. Si Bob doit se connecter à la AWS console, vous devez exécuter la commande séparément New-IAMLoginProfile pour créer un profil de connexion avec un mot de passe. Si Bob doit exécuter AWS PowerShell des commandes CLI multiplateformes ou effectuer des appels d' AWS API, vous devez exécuter la New-IAMAccessKey commande séparément pour créer des clés d'accès.

New-IAMUser -UserName Bob

Sortie :

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 4/22/2015 12:02:11 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : AIDAJWGEFDMEMEXAMPLE1
UserName         : Bob

Exemple 1 : cet exemple crée un dispositif MFA virtuel. Les lignes 2 et 3 extraient la valeur Base32StringSeed dont le logiciel MFA virtuel a besoin pour créer un compte (comme alternative au code QR). Après avoir configuré le programme avec la valeur, obtenez deux codes d’authentification séquentiels auprès du programme. Enfin, utilisez la dernière commande pour associer le dispositif MFA virtuel à l’utilisateur IAM Bob et synchroniser le compte avec les deux codes d’authentification.

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$SR = New-Object System.IO.StreamReader($Device.Base32StringSeed)
$base32stringseed = $SR.ReadToEnd()
$base32stringseed   
CZWZMCQNW4DEXAMPLE3VOUGXJFZYSUW7EXAMPLECR4NJFD65GX2SLUDW2EXAMPLE

Sortie :

-- Pause here to enter base-32 string seed code into virtual MFA program to register account. --

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

Exemple 2 : cet exemple crée un dispositif MFA virtuel. Les lignes 2 et 3 extraient la valeur QRCodePNG et l’écrivent dans un fichier. Cette image peut être numérisée par le logiciel MFA virtuel pour créer un compte (au lieu de saisir manuellement la valeur Base32StringSeed ). Après avoir créé le compte dans votre programme MFA virtuel, obtenez deux codes d’authentification séquentiels et saisissez-les dans les dernières commandes pour associer le dispositif MFA virtuel à l’utilisateur IAM Bob et synchroniser le compte

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$BR = New-Object System.IO.BinaryReader($Device.QRCodePNG)
$BR.ReadBytes($BR.BaseStream.Length) | Set-Content -Encoding Byte -Path QRCode.png

Sortie :

 -- Pause here to scan PNG with virtual MFA program to register account. -- 

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

Exemple 1 : cet exemple charge un nouveau certificat de serveur sur le compte IAM. Les fichiers contenant le corps du certificat, la clé privée et (éventuellement) la chaîne de certificats doivent tous être codés au format PEM. Notez que les paramètres nécessitent le contenu réel des fichiers plutôt que les noms de fichiers. Vous devez utiliser le paramètre booléen -Raw pour traiter correctement le contenu du fichier.

Publish-IAMServerCertificate -ServerCertificateName MyTestCert -CertificateBody (Get-Content -Raw server.crt) -PrivateKey (Get-Content -Raw server.key)

Sortie :

Arn                   : arn:aws:iam::123456789012:server-certificate/MyTestCert
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /
ServerCertificateId   : ASCAJIEXAMPLE7J7HQZYW
ServerCertificateName : MyTestCert
UploadDate            : 4/21/2015 11:14:16 AM

Exemple 1 : cet exemple charge un nouveau certificat de signature X.509 et l’associe à l’utilisateur IAM nommé Bob. Le fichier contenant le corps du certificat est codé au format PEM. Le paramètre CertificateBody nécessite le contenu réel du fichier de certificat plutôt que le nom du fichier. Vous devez utiliser le paramètre booléen -Raw pour traiter correctement le fichier.

Publish-IAMSigningCertificate -UserName Bob -CertificateBody (Get-Content -Raw SampleSigningCert.pem)

Sortie :

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCEXAMPLEHMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

Exemple 1 : cet exemple associe la politique gérée par le client, nommée TesterPolicy, au groupe IAM Testers. Les utilisateurs de ce groupe sont immédiatement affectés par les autorisations définies dans la version par défaut de cette politique.

Register-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

Exemple 2 : Cet exemple associe la politique AWS gérée nommée AdministratorAccess au groupe Admins IAM. Les utilisateurs de ce groupe sont immédiatement affectés par les autorisations définies dans la version la plus récente de cette politique.

Register-IAMGroupPolicy -GroupName Admins -PolicyArn arn:aws:iam::aws:policy/AdministratorAccess

Exemple 1 : Cet exemple associe la politique AWS gérée nommée SecurityAudit au rôle CoSecurityAuditors IAM. Les utilisateurs qui assument ce rôle sont immédiatement affectés par les autorisations définies dans la version la plus récente de cette politique.

Register-IAMRolePolicy -RoleName CoSecurityAuditors -PolicyArn arn:aws:iam::aws:policy/SecurityAudit

Exemple 1 : Cet exemple attache la politique AWS gérée nommée AmazonCognitoPowerUser à l'utilisateur Bob IAM. L’utilisateur est immédiatement affecté par les autorisations définies dans la version la plus récente de cette politique.

Register-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::aws:policy/AmazonCognitoPowerUser

Exemple 1 : Cet exemple supprime la paire de clés AWS d'accès avec l'ID AKIAIOSFODNN7EXAMPLE de clé de l'utilisateur nomméBob.

Remove-IAMAccessKey -AccessKeyId AKIAIOSFODNN7EXAMPLE -UserName Bob -Force

Exemple 1 : Cet exemple supprime l'alias de compte de votre Compte AWS. La page de connexion de l'utilisateur avec l'alias https://mycom panyaws.signin.aws.amazon.com/console ne fonctionne plus. Vous devez plutôt utiliser l'URL d'origine avec votre numéro d' Compte AWS identification sur https ://.signin.aws.amazon.com/console. <accountidnumber>

Remove-IAMAccountAlias -AccountAlias mycompanyaws

Exemple 1 : Cet exemple supprime la politique de mot de passe pour le Compte AWS et rétablit toutes les valeurs par défaut d'origine. Si aucune politique de mot de passe n'existe actuellement, le message d'erreur suivant s'affiche : PasswordPolicy Impossible de trouver la politique de compte portant le nom.

Remove-IAMAccountPasswordPolicy

Exemple 1 : Cet exemple supprime l'ID client My-TestApp-3 de la liste des clients IDs associés au fournisseur IAM OIDC dont l'ARN est l'ARN. arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Remove-IAMClientIDFromOpenIDConnectProvider -ClientID My-TestApp-3 -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Exemple 1 : cet exemple supprime le groupe IAM nommé MyTestGroup. La première commande supprime tous les utilisateurs IAM membres du groupe, et la seconde supprime le groupe IAM. Les deux commandes fonctionnent sans qu’aucune invite de confirmation ne soit requise.

(Get-IAMGroup -GroupName MyTestGroup).Users | Remove-IAMUserFromGroup -GroupName MyTestGroup -Force
Remove-IAMGroup -GroupName MyTestGroup -Force

Exemple 1 : cet exemple supprime la politique en ligne nommée TesterPolicy du groupe IAM Testers. Les utilisateurs de ce groupe perdent immédiatement les autorisations définies dans cette politique.

Remove-IAMGroupPolicy -GroupName Testers -PolicyName TestPolicy

Exemple 1 : Cet exemple supprime le profil d' EC2 instance nomméMyAppInstanceProfile. La première commande détache tous les rôles du profil d’instance, puis la seconde commande supprime le profil d’instance.

(Get-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile).Roles | Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyAppInstanceProfile
Remove-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile

Exemple 1 : cet exemple supprime le profil de connexion de l’utilisateur IAM nommé Bob. Cela empêche l'utilisateur de se connecter à la AWS console. Cela n'empêche pas l'utilisateur d'exécuter des appels de AWS CLI ou d'API AWS à l'aide de clés d'accès qui peuvent toujours être associées au compte utilisateur. PowerShell

Remove-IAMLoginProfile -UserName Bob

Exemple 1 : cet exemple supprime le fournisseur IAM OIDC qui se connecte au fournisseur example.oidcprovider.com. Assurez-vous de mettre à jour ou de supprimer tous les rôles qui font référence à ce fournisseur dans l’élément Principal de la politique d’approbation du rôle.

Remove-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Exemple 1 : cet exemple supprime la politique dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy. Avant de supprimer la politique, vous devez commencer par supprimer toutes les versions, à l’exception de la politique par défaut, en exécutant Remove-IAMPolicyVersion. Vous devez également détacher la politique de tous les utilisateurs, groupes ou rôles IAM.

Remove-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

Exemple 2 : cet exemple supprime une politique en supprimant d’abord toutes les versions de politique autres que celles par défaut, en la détachant de toutes les entités IAM auxquelles elle est attachée, puis en supprimant la politique elle-même. La première ligne extrait l’objet de politique. La deuxième ligne extrait toutes les versions de la politique qui ne sont pas marquées comme étant la version par défaut dans une collection et supprime ensuite chaque politique de la collection. La troisième ligne extrait tous les utilisateurs, groupes et rôles IAM auxquels la politique est attachée. Les lignes quatre à six détachent la politique de chaque entité attachée. La dernière ligne utilise cette commande pour supprimer la politique gérée ainsi que la version par défaut restante. L’exemple inclut le paramètre booléen -Force sur toute ligne qui en a besoin pour supprimer les invites de confirmation.

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
$attached = Get-IAMEntitiesForPolicy -PolicyArn $pol.Arn
$attached.PolicyGroups | Unregister-IAMGroupPolicy -PolicyArn $pol.arn
$attached.PolicyRoles | Unregister-IAMRolePolicy -PolicyArn $pol.arn
$attached.PolicyUsers | Unregister-IAMUserPolicy -PolicyArn $pol.arn
Remove-IAMPolicy $pol.Arn -Force

Exemple 1 : cet exemple supprime la version identifiée comme v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MySamplePolicy.

Remove-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy -VersionID v2

Exemple 2 : cet exemple supprime une politique en supprimant d’abord toutes les versions de politique autres que celles par défaut, puis en supprimant la politique elle-même. La première ligne extrait l’objet de politique. La deuxième ligne extrait toutes les versions de politique qui ne sont pas signalées comme étant par défaut dans une collection, puis utilise cette commande pour supprimer chaque politique de la collection. La dernière ligne supprime la politique elle-même ainsi que la version par défaut restante. Notez que pour supprimer correctement une politique gérée, vous devez également la détacher de tous les utilisateurs, groupes ou rôles à l’aide des commandes Unregister-IAMUserPolicy, Unregister-IAMGroupPolicy et Unregister-IAMRolePolicy. Consultez l’exemple pour l’applet de commande Remove-IAMPolicy.

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
Remove-IAMPolicy -PolicyArn $pol.Arn -force

Exemple 1 : cet exemple supprime le rôle nommé MyNewRole du compte IAM actuel. Avant de pouvoir supprimer le rôle, vous devez d’abord utiliser la commande Unregister-IAMRolePolicy pour détacher les politiques gérées. Les politiques en ligne sont supprimées avec le rôle.

Remove-IAMRole -RoleName MyNewRole

Exemple 2 : cet exemple détache toutes les politiques gérées du rôle nommé MyNewRole, puis supprime le rôle. La première ligne extrait toutes les politiques gérées associées au rôle en tant que collection, puis détache du rôle chaque politique de la collection. La deuxième ligne supprime le rôle lui-même. Les politiques en ligne sont supprimées en même temps que le rôle.

Get-IAMAttachedRolePolicyList -RoleName MyNewRole | Unregister-IAMRolePolicy -RoleName MyNewRole
Remove-IAMRole -RoleName MyNewRole

Exemple 1 : Cet exemple supprime le rôle nommé MyNewRole du profil d' EC2 instance nomméMyNewRole. Un profil d’instance créé dans la console IAM porte toujours le même nom que le rôle, comme dans cet exemple. Si vous les créez dans l’API ou la CLI, ils peuvent porter des noms différents.

Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyNewRole -RoleName MyNewRole -Force

Exemple 1 : cet exemple montre comment supprimer la limite des autorisations attachée à un rôle IAM.

Remove-IAMRolePermissionsBoundary -RoleName MyRoleName

Exemple 1 : cet exemple supprime la politique en ligne S3AccessPolicy intégrée au rôle IAM S3BackupRole.

Remove-IAMRolePolicy -PolicyName S3AccessPolicy -RoleName S3BackupRole

Exemple 1 : Cet exemple supprime la balise du rôle nommé « MyRoleName » avec la clé de balise « abac ». Pour supprimer plusieurs balises, fournissez une liste de clés de balises séparées par des virgules.

Remove-IAMRoleTag -RoleName MyRoleName -TagKey "abac","xyzw"

Exemple 1 : cet exemple supprime le fournisseur IAM SAML 2.0 dont l’ARN est arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

Remove-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Exemple 1 : cet exemple supprime le certificat de serveur nommé MyServerCert.

Remove-IAMServerCertificate -ServerCertificateName MyServerCert

Exemple 1 : cet exemple supprime le rôle lié au service. Notez que si le service utilise toujours ce rôle, l’exécution de cette commande se soldera par un échec.

Remove-IAMServiceLinkedRole -RoleName AWSServiceRoleForAutoScaling_RoleNameEndsWithThis

Exemple 1 : cet exemple supprime le certificat de signature portant l’ID Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU de l’utilisateur IAM nommé. Bob

Remove-IAMSigningCertificate -UserName Bob -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU

Exemple 1 : cet exemple supprime l’utilisateur IAM nommé Bob.

Remove-IAMUser -UserName Bob

Exemple 2 : cet exemple supprime l’utilisateur IAM nommé Theresa, ainsi que tous les éléments qui doivent être supprimés au préalable.

$name = "Theresa"

# find any groups and remove user from them
$groups = Get-IAMGroupForUser -UserName $name
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName $name -Force }

# find any inline policies and delete them
$inlinepols = Get-IAMUserPolicies -UserName $name
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName $name -Force}

# find any managed polices and detach them
$managedpols = Get-IAMAttachedUserPolicies -UserName $name
foreach ($pol in $managedpols) { Unregister-IAMUserPolicy -PolicyArn $pol.PolicyArn -UserName $name }

# find any signing certificates and delete them
$certs = Get-IAMSigningCertificate -UserName $name
foreach ($cert in $certs) { Remove-IAMSigningCertificate -CertificateId $cert.CertificateId -UserName $name -Force }

# find any access keys and delete them
$keys = Get-IAMAccessKey -UserName $name
foreach ($key in $keys) { Remove-IAMAccessKey -AccessKeyId $key.AccessKeyId -UserName $name -Force }

# delete the user's login profile, if one exists - note: need to use try/catch to suppress not found error
try { $prof = Get-IAMLoginProfile -UserName $name -ea 0 } catch { out-null }
if ($prof) { Remove-IAMLoginProfile -UserName $name -Force }

# find any MFA device, detach it, and if virtual, delete it.
$mfa = Get-IAMMFADevice -UserName $name
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

# finally, remove the user
Remove-IAMUser -UserName $name -Force

Exemple 1 : cet exemple supprime l’utilisateur IAM Bob du groupe Testers.

Remove-IAMUserFromGroup -GroupName Testers -UserName Bob

Exemple 2 : cet exemple trouve tous les groupes dont l’utilisateur IAM Theresa est membre, puis retire Theresa de ces groupes.

$groups = Get-IAMGroupForUser -UserName Theresa 
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName Theresa -Force }

Exemple 3 : cet exemple montre une autre méthode pour supprimer l’utilisateur IAM Bob du groupe Testers.

Get-IAMGroupForUser -UserName Bob | Remove-IAMUserFromGroup -UserName Bob -GroupName Testers -Force

Exemple 1 : cet exemple montre comment supprimer la limite des autorisations attachée à un utilisateur IAM.

Remove-IAMUserPermissionsBoundary -UserName joe

Exemple 1 : cet exemple supprime la politique en ligne nommée AccessToEC2Policy intégrée dans le nom de l’utilisateur IAM Bob.

Remove-IAMUserPolicy -PolicyName AccessToEC2Policy -UserName Bob

Exemple 2 : cet exemple recherche toutes les politiques en ligne qui sont intégrées dans l’utilisateur IAM nommé Theresa, puis les supprime.

$inlinepols = Get-IAMUserPolicies -UserName Theresa
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName Theresa -Force}

Exemple 1 : cet exemple supprime la balise de l’utilisateur nommée « joe » dont les clés de balise sont « abac » et « xyzw ». Pour supprimer plusieurs balises, fournissez une liste de clés de balises séparées par des virgules.

Remove-IAMUserTag -UserName joe -TagKey "abac","xyzw"

Exemple 1 : cet exemple supprime le dispositif MFA virtuel IAM dont l’ARN est arn:aws:iam::123456789012:mfa/bob.

Remove-IAMVirtualMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/bob

Exemple 2 : cet exemple vérifie si l’utilisateur IAM Theresa s’est vu attribuer un dispositif MFA. S’il en trouve un, le dispositif est désactivé pour l’utilisateur IAM. Si le dispositif est virtuel, il est également supprimé.

$mfa = Get-IAMMFADevice -UserName Theresa
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

Exemple 1 : cet exemple demande la génération d’un nouveau rapport, qui peut être effectué toutes les quatre heures. Si le dernier rapport est encore récent, le champ État est libellé comme suit : COMPLETE. Utilisez Get-IAMCredentialReport pour afficher le rapport complété.

Request-IAMCredentialReport

Sortie :

Description                                                    State
-----------                                                    -----
No report exists. Starting a new report generation task        STARTED

Exemple 1 : Cet exemple est une applet de commande équivalente à l' GenerateServiceLastAccessedDetails API. Cela fournit un identifiant de tâche qui peut être utilisé dans Get-IAMServiceLastAccessedDetail et Get- IAMService LastAccessedDetailWithEntity

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

Exemple 1 : cet exemple définit la version v2 de la politique dont l’ARN est arn:aws:iam::123456789012:policy/MyPolicy en tant que version active par défaut.

Set-IAMDefaultPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -VersionId v2

Exemple 1 : cet exemple montre comment définir la limite des autorisations pour un rôle IAM. Vous pouvez définir des politiques AWS gérées ou des politiques personnalisées comme limite d'autorisation.

Set-IAMRolePermissionsBoundary -RoleName MyRoleName -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

Exemple 1 : cet exemple montre comment définir la limite des autorisations pour l’utilisateur. Vous pouvez définir des politiques AWS gérées ou des politiques personnalisées comme limite d'autorisation.

Set-IAMUserPermissionsBoundary -UserName joe -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

Exemple 1 : cet exemple synchronise le dispositif MFA associé à l’utilisateur IAM Bob et dont l’ARN est arn:aws:iam::123456789012:mfa/bob avec un programme d’authentification qui a fourni les deux codes d’authentification.

Sync-IAMMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/theresa -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Bob

Exemple 2 : cet exemple synchronise le dispositif MFA IAM associé à l’utilisateur IAM Theresa avec un périphérique physique possédant le numéro de série ABCD12345678 et qui a fourni les deux codes d’authentification.

Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Theresa

Exemple 1 : cet exemple détache la politique de groupe géré dont l’ARN est arn:aws:iam::123456789012:policy/TesterAccessPolicy du groupe nommé Testers.

Unregister-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Exemple 2 : cet exemple trouve toutes les politiques gérées associées au groupe nommé Testers et les détache du groupe.

Get-IAMAttachedGroupPolicies -GroupName Testers | Unregister-IAMGroupPolicy -Groupname Testers

Exemple 1 : cet exemple détache la politique de groupe géré dont l’ARN est arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy du rôle nommé FedTesterRole.

Unregister-IAMRolePolicy -RoleName FedTesterRole -PolicyArn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Exemple 2 : cet exemple recherche toutes les politiques gérées associées au rôle nommé FedTesterRole et les détache du rôle.

Get-IAMAttachedRolePolicyList -RoleName FedTesterRole | Unregister-IAMRolePolicy -Rolename FedTesterRole

Exemple 1 : cet exemple détache la politique gérée dont l’ARN est arn:aws:iam::123456789012:policy/TesterPolicy de l’utilisateur IAM nommé Bob.

Unregister-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

Exemple 2 : cet exemple trouve toutes les politiques gérées associées à l’utilisateur IAM nommé Theresa et détache ces politiques de l’utilisateur.

Get-IAMAttachedUserPolicyList -UserName Theresa | Unregister-IAMUserPolicy -Username Theresa

Exemple 1 : cet exemple modifie le statut de la clé d’accès AKIAIOSFODNN7EXAMPLE, pour l’utilisateur IAM nommé Bob, à Inactive.

Update-IAMAccessKey -UserName Bob -AccessKeyId AKIAIOSFODNN7EXAMPLE -Status Inactive

Exemple 1 : cet exemple met à jour la politique de mot de passe du compte avec les paramètres spécifiés. Notez que les paramètres qui ne sont pas inclus dans la commande ne sont pas laissés inchangés. Au lieu de cela, ils sont réinitialisés aux valeurs par défaut.

Update-IAMAccountPasswordPolicy -AllowUsersToChangePasswords $true -HardExpiry $false -MaxPasswordAge 90 -MinimumPasswordLength 8 -PasswordReusePrevention 20 -RequireLowercaseCharacters $true -RequireNumbers $true -RequireSymbols $true -RequireUppercaseCharacters $true

Exemple 1 : cet exemple met à jour le rôle IAM nommé ClientRole avec une nouvelle politique d’approbation dont le contenu provient du fichier ClientRolePolicy.json. Notez que vous devez utiliser le paramètre booléen -Raw pour traiter correctement le contenu du fichier JSON.

Update-IAMAssumeRolePolicy -RoleName ClientRole -PolicyDocument (Get-Content -raw ClientRolePolicy.json)

Exemple 1 : cet exemple renomme le groupe IAM Testers en AppTesters.

Update-IAMGroup -GroupName Testers -NewGroupName AppTesters

Exemple 2 : dans cet exemple, le chemin du groupe IAM AppTesters est remplacé par /Org1/Org2/. Cela change l’ARN du groupe en arn:aws:iam::123456789012:group/Org1/Org2/AppTesters.

Update-IAMGroup -GroupName AppTesters -NewPath /Org1/Org2/

Exemple 1 : cet exemple définit un nouveau mot de passe temporaire pour l’utilisateur IAM Bob et demande à ce dernier de le modifier lors de sa prochaine connexion.

Update-IAMLoginProfile -UserName Bob -Password "P@ssw0rd1234" -PasswordResetRequired $true

Exemple 1 : cet exemple met à jour la liste des empreintes numériques des certificats pour le fournisseur OIDC dont l’ARN est arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com afin d’utiliser une nouvelle empreinte. Le fournisseur OIDC partage la nouvelle valeur lorsque le certificat associé au fournisseur change.

Update-IAMOpenIDConnectProviderThumbprint -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com -ThumbprintList 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Exemple 1 : cet exemple met à jour la description du rôle et la durée maximale de session (en secondes) pour laquelle la session d’un rôle peut être demandée.

Update-IAMRole -RoleName MyRoleName -Description "My testing role" -MaxSessionDuration 43200

Exemple 1 : cet exemple met à jour la description d’un rôle IAM dans votre compte.

Update-IAMRoleDescription -RoleName MyRoleName -Description "My testing role"

Exemple 1 : cet exemple met à jour le fournisseur SAML dans IAM, dont l’ARN est arn:aws:iam::123456789012:saml-provider/SAMLADFS, avec un nouveau document de métadonnées SAML issu du fichier SAMLMetaData.xml. Notez que vous devez utiliser le paramètre booléen -Raw pour traiter correctement le contenu du fichier JSON.

Update-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

Exemple 1 : cet exemple renomme le certificat nommé MyServerCertificate en MyRenamedServerCertificate.

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewServerCertificateName MyRenamedServerCertificate

Exemple 2 : cet exemple déplace le certificat nommé MyServerCertificate vers le chemin /Org1/Org2/. Cela change l’ARN de la ressource en arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate.

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewPath /Org1/Org2/

Exemple 1 : cet exemple met à jour le certificat associé à l’utilisateur IAM nommé Bob et dont l’ID de certificat est Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU pour le marquer comme inactif.

Update-IAMSigningCertificate -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU -UserName Bob -Status Inactive

Exemple 1 : cet exemple renomme l’utilisateur IAM Bob en Robert.

Update-IAMUser -UserName Bob -NewUserName Robert

Exemple 2 : cet exemple modifie le chemin de l’utilisateur IAM Bob en /Org1/Org2/, ce qui change effectivement l’ARN de l’utilisateur en arn:aws:iam::123456789012:user/Org1/Org2/bob.

Update-IAMUser -UserName Bob -NewPath /Org1/Org2/

Exemple 1 : cet exemple crée une politique en ligne nommée AppTesterPolicy et l’intègre au groupe IAM AppTesters. Si une politique en ligne portant le même nom existe déjà, elle est remplacée. Le contenu de la politique JSON provient du fichier apptesterpolicy.json. Notez que vous devez utiliser le paramètre -Raw pour traiter correctement le contenu du fichier JSON.

Write-IAMGroupPolicy -GroupName AppTesters -PolicyName AppTesterPolicy -PolicyDocument (Get-Content -Raw apptesterpolicy.json)

Exemple 1 : cet exemple crée une politique en ligne nommée FedTesterRolePolicy et l’intègre au rôle IAM. FedTesterRole Si une politique en ligne portant le même nom existe déjà, elle est remplacée. Le contenu de la politique JSON provient du fichier FedTesterPolicy.json. Notez que vous devez utiliser le paramètre -Raw pour traiter correctement le contenu du fichier JSON.

Write-IAMRolePolicy -RoleName FedTesterRole -PolicyName FedTesterRolePolicy -PolicyDocument (Get-Content -Raw FedTesterPolicy.json)

Exemple 1 : cet exemple crée une politique en ligne nommée EC2AccessPolicy et l’intègre à l’utilisateur IAM Bob. Si une politique en ligne portant le même nom existe déjà, elle est remplacée. Le contenu de la politique JSON provient du fichier EC2AccessPolicy.json. Notez que vous devez utiliser le paramètre -Raw pour traiter correctement le contenu du fichier JSON.

Write-IAMUserPolicy -UserName Bob -PolicyName EC2AccessPolicy -PolicyDocument (Get-Content -Raw EC2AccessPolicy.json)