Utilizzo di IAM in AWS CLI - AWS Command Line Interface
Creazione di utenti e gruppi IAMAllegare una policy gestita da IAM a un utenteImpostazione di una password iniziale per un utente IAMCreazione di una chiave di accesso per un utente IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di IAM in AWS CLI

Un'introduzione a AWS Identity and Access Management

È possibile accedere alle funzionalità di AWS Identity and Access Management (IAM) utilizzando AWS Command Line Interface (AWS CLI). Per elencare i AWS CLI comandi per IAM, usa il seguente comando.

aws iam help

Questo argomento mostra esempi di AWS CLI comandi che eseguono attività comuni per IAM.

Prima di eseguire qualsiasi comando, imposta le tue credenziali di default. Per ulteriori informazioni, consulta Configurazione delle impostazioni per AWS CLI.

Per ulteriori informazioni sul servizio IAM, consulta la Guida per l'utente AWS Identity and Access Management.

Creazione di utenti e gruppi IAM

Per creare un gruppo e aggiungervi un nuovo utente

  1. Utilizza il comando create-group per creare il gruppo.

    $ aws iam create-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52.834Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    }
}

  2. Utilizza il comando create-user per creare l'utente.

    $ aws iam create-user --user-name MyUser
{
    "User": {
        "UserName": "MyUser",
        "Path": "/",
        "CreateDate": "2018-12-14T03:13:02.581Z",
        "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/MyUser"
    }
}

  3. Utilizza il comando add-user-to-group per aggiungere l'utente al gruppo.

    $ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup

  4. Per verificare che il gruppo MyIamGroup contenga MyUser, utilizza il comando get-group.

    $ aws iam get-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    },
    "Users": [
        {
            "UserName": "MyUser",
            "Path": "/",
            "CreateDate": "2018-12-14T03:13:02Z",
            "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/MyUser"
        }
    ],
    "IsTruncated": "false"
}

Allegare una policy gestita da IAM a un utente

La policy nell'esempio fornisce all'utente "Power User Access" (Accesso utenti avanzati).

Per allegare una policy gestita da IAM a un utente

  1. Determina l'Amazon Resource Name (ARN) della policy da allegare. Il comando seguente utilizza list-policies per trovare l'ARN del criterio con il nome PowerUserAccess. Quindi, archivia l'ARN in una variabile di ambiente.

    $ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text)       ~
$ echo $POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess

  2. Per collegare la policy, utilizza il comando attach-user-policy e fai riferimento alla variabile di ambiente che contiene l'ARN della policy.

    $ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN

  3. Verifica che la policy sia collegata all'utente eseguendo il comando list-attached-user-policies.

    $ aws iam list-attached-user-policies --user-name MyUser
{
    "AttachedPolicies": [
        {
            "PolicyName": "PowerUserAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
        }
    ]
}

Per ulteriori informazioni, consulta la sezione relativa all'accesso alle risorse di gestione. Questo argomento fornisce collegamenti a una panoramica delle autorizzazioni e delle politiche e collegamenti a esempi di politiche per l'accesso ad Amazon S3, EC2 Amazon e altri servizi.

Impostazione di una password iniziale per un utente IAM

Il comando seguente consente create-login-profile di impostare una password iniziale per l'utente specificato. Quando l'utente accede per la prima volta, deve modificare la password in qualcosa che solo l'utente conosce.

$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required
{
    "LoginProfile": {
        "UserName": "MyUser",
        "CreateDate": "2018-12-14T17:27:18Z",
        "PasswordResetRequired": true
    }
}

È possibile utilizzare il update-login-profile comando per modificare la password di un utente.

$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword

Creazione di una chiave di accesso per un utente IAM

È possibile utilizzare il comando per creare una chiave di accesso per un utente. Una chiave di accesso è un set di credenziali di sicurezza costituito da un ID chiave di accesso e una chiave segreta.

Un utente può creare solo due chiavi di accesso alla volta. Se provi a creare un terzo set, il comando restituisce un errore LimitExceeded.

$ aws iam create-access-key --user-name MyUser
{
    "AccessKey": {
        "UserName": "MyUser",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "Status": "Active",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "CreateDate": "2018-12-14T17:34:16Z"
    }
}

Usa il comando per eliminare una chiave di accesso per un utente. Specifica la chiave di accesso da eliminare utilizzando l'ID chiave di accesso.

$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE