Esempi IAM che utilizzano AWS CLI

Per aggiungere un ID client (pubblico) a un provider Open-ID Connect (OIDC)

Il comando add-client-id-to-open-id-connect-provider seguente aggiunge l'ID client my-application-ID al provider OIDC denominato server.example.com.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Questo comando non produce alcun output.

Per creare un provider OIDC, utilizzare il comando create-open-id-connect-provider.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per aggiungere un ruolo a un profilo dell'istanza

Il comando add-role-to-instance-profile seguente aggiunge il ruolo denominato S3Access al profilo dell'istanza denominato Webserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Questo comando non produce alcun output.

Per creare un profilo dell'istanza, utilizza il comando create-instance-profile.

Per ulteriori informazioni, consulta Usare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella AWS IAM User Guide.

Come aggiungere un utente a un gruppo IAM

Il comando add-user-to-group seguente aggiunte l'utente IAM denominato Bob al gruppo IAM denominato Admins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Aggiunta e rimozione di utenti in un gruppo di utenti IAM nella Guida per l'utente IAM AWS .

Per collegare una policy gestita a un gruppo IAM

Il attach-group-policy comando seguente collega la policy AWS gestita denominata ReadOnlyAccess al gruppo IAM denominatoFinance.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy gestite e policy inline nella Guida per l'utente IAM AWS .

Come collegare una policy gestita a un ruolo IAM

Il attach-role-policy comando seguente collega la policy AWS gestita denominata ReadOnlyAccess al ruolo IAM denominatoReadOnlyRole.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy gestite e policy inline nella Guida per l'utente IAM AWS .

Come collegare una policy gestita a un utente IAM

Il attach-user-policy comando seguente collega la policy AWS gestita denominata AdministratorAccess all'utente IAM denominatoAlice.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy gestite e policy inline nella Guida per l'utente IAM AWS .

Per modificare la password per l'utente IAM

Per modificare la password per il tuo utente IAM, ti consigliamo di utilizzare il parametro --cli-input-json per passare un file JSON che contenga la vecchia e la nuova password. Con questo metodo, potrai utilizzare password complesse con caratteri non alfanumerici. Quando le password vengono passate come parametri della riga di comando può essere difficile utilizzare password con caratteri non alfanumerici. Per utilizzare il parametro --cli-input-json, inizia a utilizzare il comando change-password con il parametro --generate-cli-skeleton, come nell'esempio seguente.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

Il comando precedente crea un file JSON chiamato change-password.json che può essere utilizzato per inserire la vecchia e la nuova password. Ad esempio, il file potrebbe avere il seguente aspetto.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Quindi, per modificare la password, usa nuovamente il comando change-password, questa volta passando il parametro per specificare il file JSON --cli-input-json. Il comando change-password seguente utilizza il parametro --cli-input-json con un file JSON chiamato change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Questo comando non produce alcun output.

Questo comando può essere chiamato solo dagli utenti IAM. Se questo comando viene chiamato utilizzando le credenziali AWS dell'account (root), restituisce un InvalidUserType errore.

Per ulteriori informazioni, consulta Come permettere a un utente IAM di cambiare la propria password nella Guida per l'utente di AWS IAM.

Come creare una chiave di accesso per un utente IAM

Il comando create-access-key seguente crea una chiave di accesso (ID chiave di accesso e chiave di accesso segreta) per l'utente IAM denominato Bob.

aws iam create-access-key \
    --user-name Bob

Output:

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Conserva la chiave di accesso segreta in un luogo sicuro. Se viene persa, non può essere recuperata e dovrai creare una nuova chiave di accesso.

Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM AWS .

Come Creare l'alias di un account

Il create-account-alias comando seguente crea l'alias examplecorp per il tuo AWS account.

aws iam create-account-alias \
    --account-alias examplecorp

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Your AWS account ID and its alias nella AWS IAM User Guide.

Come creare un gruppo IAM

Il comando create-group seguente crea un gruppo IAM denominato Admins.

aws iam create-group \
    --group-name Admins

Output:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Per ulteriori informazioni, consulta Creazione di gruppi di utenti IAM nella Guida per l'utente IAM AWS .

Come creare un profilo dell'istanza

Il comando create-instance-profile seguente crea un profilo dell'istanza denominato Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Output:

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Per aggiungere un ruolo a un profilo dell'istanza, usa il comando add-role-to-instance-profile.

Per ulteriori informazioni, consulta Usare un ruolo IAM per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella AWS IAM User Guide.

Per creare una password per un utente IAM

Per creare una password per un utente IAM, ti consigliamo di utilizzare il parametro --cli-input-json per passare un file JSON che contenga la password. Con questo metodo, potrai creare una password complessa con caratteri non alfanumerici. Quando le password vengono passate come parametri della riga di comando può essere difficile utilizzare password con caratteri non alfanumerici.

Per utilizzare il parametro --cli-input-json, inizia a utilizzare il comando create-login-profile con il parametro --generate-cli-skeleton, come nell'esempio seguente.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

Il comando precedente crea un file JSON chiamato create-login-profile .json che è possibile utilizzare per inserire le informazioni per un comando successivo. create-login-profile Per esempio:

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Quindi, per modificare la password per un utente IAM, usa nuovamente il comando create-login-profile, questa volta passando il parametro --cli-input-json per specificare il file JSON. Il create-login-profile comando seguente utilizza il --cli-input-json parametro con un file JSON chiamato .json. create-login-profile

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Output:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Se la nuova password viola la policy delle password dell'account, il comando restituisce un errore PasswordPolicyViolation.

Per modificare la password di un utente che ne ha già una, usa update-login-profile. Per impostare una policy delle password per l'account, usa il comando update-account-password-policy.

Se la policy delle password dell'account lo consente, gli utenti IAM possono modificare le proprie password utilizzando il comando change-password.

Per ulteriori informazioni, consulta Gestione delle password per gli utenti IAM nella Guida per l'utente di AWS .

Per creare un provider IAM OpenID Connect (OIDC)

Per creare un provider OpenID Connect (OIDC), consigliamo di utilizzare il parametro --cli-input-json per passare un file JSON che contenga i parametri richiesti. Quando si crea un provider OIDC, è necessario passare l'URL del provider e l'URL deve iniziare con https://. Può essere difficile passare l'URL come parametro della riga di comando, perché i caratteri due punti (:) e barra (/) hanno un significato speciale in alcuni ambienti della riga di comando. L'utilizzo del parametro --cli-input-json consente di aggirare questa limitazione.

Per utilizzare il parametro --cli-input-json, inizia a utilizzare il comando create-open-id-connect-provider con il parametro --generate-cli-skeleton, come nell'esempio seguente.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

Il comando precedente crea un file JSON chiamato create-open-id-connect -provider.json che è possibile utilizzare per inserire le informazioni per un comando successivo. create-open-id-connect-provider Per esempio:

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Successivamente, per creare il provider OpenID Connect (OIDC), utilizza nuovamente il comando create-open-id-connect-provider, questa volta passando il parametro --cli-input-json per specificare il file JSON. Il create-open-id-connect-provider comando seguente utilizza il --cli-input-json parametro con un file JSON chiamato -provider.json. create-open-id-connect

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Output:

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Per ulteriori informazioni sui provider OIDC, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per ulteriori informazioni su come ottenere impronte digitali per un provider OIDC, consulta Ottenere l'impronta personale per un provider di identità OpenID Connect nella Guida per l'utente di AWS IAM.

Per creare una nuova versione di una policy gestita

Questo esempio crea una nuova versione v2 della policy IAM il cui ARN è arn:aws:iam::123456789012:policy/MyPolicy e la rende la versione predefinita.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Output:

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Per ulteriori informazioni, consulta Controllo delle versioni delle policy IAM nella Guida per l'utente IAM AWS .

Esempio 1: Come creare una policy gestita dal cliente

Il comando seguente crea una policy gestita dal cliente denominata my-policy. Il file policy.json è un documento JSON nella cartella corrente che consente l'accesso in sola lettura alla cartella shared in un bucket Amazon S3 denominato amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json

Contenuto di policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/shared/*"
            ]
        }
    ]
}

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Per ulteriori informazioni sull'utilizzo dei file come input per i parametri di stringa, consultate Specificare i valori dei parametri per la AWS CLI nella Guida per l'utente della AWS CLI.

Esempio 2: Come creare una policy gestita dal cliente con una descrizione

Il comando seguente crea una policy gestita dal cliente denominata my-policy con una descrizione non modificabile.

Il file policy.json è un documento JSON nella cartella corrente che consente l'accesso in sola lettura a tutte le operazioni Put, List e Get per un bucket Amazon S3 denominato amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for amzn-s3-demo-bucket"

Contenuto di policy.json:

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Per ulteriori informazioni sulle policy basate sull'identità consulta Policy basate sulle identità e policy basate su risorse nella Guida per l'utente IAM AWS .

Esempio 3: creare una policy gestita dal cliente con i tag

Il comando seguente crea una policy gestita dal cliente denominata my-policy con tag. Questo esempio utilizza il parametro --tags con i seguenti tag in formato JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. In alternativa, il parametro --tags può essere utilizzato con i tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

Il file policy.json è un documento JSON nella cartella corrente che consente l'accesso in sola lettura a tutte le operazioni Put, List e Get per un bucket Amazon S3 denominato amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Contenuto di policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Output:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {
        ]
    }
}

Per ulteriori informazioni sulle policy di applicazione di tag, consulta Applicazione di tag a policy gestite dal cliente nella Guida per l'utente IAM AWS .

Esempio 1: Come creare un ruolo IAM

Il comando create-role seguente crea un ruolo denominato Test-Role e collega una policy di attendibilità a tale ruolo.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Output:

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

La policy di attendibilità è definita come documento JSON nel file Test-Role-Trust-Policy.json. (Il nome e l'estensione del file non hanno importanza.) La policy di attendibilità deve specificare un principale.

Per collegare una policy di autorizzazioni a un ruolo, usa il comando put-role-policy.

Per ulteriori informazioni, consulta Creazione di ruoli IAM nella Guida per l’utente IAM AWS .

Esempio 2: Come creare un ruolo IAM con una durata massima della sessione specificata

Il comando create-role seguente crea un ruolo denominato Test-Role e imposta una durata massima della sessione di 7200 secondi (2 ore).

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Output:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Per ulteriori informazioni, consulta Modificare la durata massima della sessione (AWS API) di un ruolo nella Guida per l'utente AWS IAM.

Esempio 3: Come creare un ruolo IAM con tag

Il comando seguente crea un ruolo IAM Test-Role con tag. Questo esempio utilizza il flag del parametro --tags con i seguenti tag in formato JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. In alternativa, il flag --tags può essere utilizzato con tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Output:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Per ulteriori informazioni, consulta Applicazione di tag a ruoli IAM nella Guida per l'utente di IAM AWS .

Come creare un provider SAML

Questo esempio crea un nuovo provider SAML in IAM denominato MySAMLProvider. È descritto dal documento di metadati SAML che si trova nel file SAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Output:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM AWS .

Come creare un ruolo collegato a un servizio

L'create-service-linked-roleesempio seguente crea un ruolo collegato al servizio per il AWS servizio specificato e allega la descrizione specificata.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Output:

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Per ulteriori informazioni, consulta Utilizzo di ruoli collegati a servizi nella Guida per l'utente di IAM AWS .

Crea un set di credenziali specifiche del servizio per un utente

L'create-service-specific-credentialesempio seguente crea un nome utente e una password che possono essere utilizzati per accedere solo al servizio configurato.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Per ulteriori informazioni, consulta Creare credenziali Git per le connessioni HTTPS CodeCommit nella Guida per l'AWS CodeCommit utente.

Esempio 1: Come creare un utente IAM

Il comando create-user seguente crea un utente IAM denominato Bob nell'account corrente.

aws iam create-user \
    --user-name Bob

Output:

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Per ulteriori informazioni, consulta Creating an IAM user in your AWS account nella AWS IAM User Guide.

Esempio 2: Come creare un utente IAM in un percorso specificato

Il comando create-user seguente crea un utente IAM denominato Bob nel percorso specificato.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Output:

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Per ulteriori informazioni, consulta Identificatori IAM nella Guida per l'utente di IAM AWS .

Esempio 3: Come creare un utente IAM con tag

Il comando create-user seguente crea un utente IAM denominato Bob con tag. Questo esempio utilizza il flag del parametro --tags con i seguenti tag in formato JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. In alternativa, il flag --tags può essere utilizzato con tag in formato abbreviato: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Output:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Per ulteriori informazioni, consulta Applicazione di tag a utenti IAM nella Guida per l'utente di IAM AWS .

Esempio 3: Come creare un utente IAM con un limite delle autorizzazioni impostato

Il create-user comando seguente crea un utente IAM denominato Bob con il limite delle autorizzazioni di AmazonS3. FullAccess

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Output:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l'utente di IAM AWS .

Per creare un dispositivo MFA virtuale

Questo esempio crea un nuovo dispositivo MFA virtuale chiamato BobsMFADevice. Crea un file che contiene le informazioni di bootstrap chiamate QRCode.png e le inserisce nella directory C:/. Il metodo bootstrap utilizzato in questo esempio è QRCodePNG.

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Output:

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella AWS Guida per l'utente IAM.

Per disattivare un dispositivo MFA

Questo comando disattiva il dispositivo MFA virtuale con l'ARN arn:aws:iam::210987654321:mfa/BobsMFADevice associato all'utente Bob.

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella AWS Guida per l'utente IAM.

Per decodificare un messaggio di errore di autorizzazione

L'decode-authorization-messageesempio seguente decodifica il messaggio restituito dalla EC2 console quando si tenta di avviare un'istanza senza le autorizzazioni richieste.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

L'output è formattato come una stringa di testo JSON a riga singola che può essere analizzata con qualsiasi elaboratore di testo JSON.

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Per ulteriori informazioni, vedi Come posso decodificare un messaggio di errore di autorizzazione dopo aver ricevuto un errore "UnauthorizedOperation" durante l'avvio di un'istanza? EC2 in AWS Re:post.

Come eliminare una chiave di accesso per un utente IAM

Il comando delete-access-key seguente elimina la chiave di accesso specificata (ID chiave di accesso e chiave di accesso segreta) per l'utente IAM denominato Bob.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Questo comando non produce alcun output.

Per elencare le chiavi di accesso definite per un utente IAM, usa il comando list-access-keys.

Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM AWS .

Come eliminare l'alias di un account

Il comando delete-account-alias seguente rimuove l'alias mycompany per l'account corrente.

aws iam delete-account-alias \
    --account-alias mycompany

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Your AWS account ID and its alias nella AWS IAM User Guide.

Per eliminare la policy delle password dell'account corrente

Il comando delete-account-password-policy seguente rimuove la policy delle password per l'account corrente.

aws iam delete-account-password-policy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Impostazione di una policy delle password dell'account per utenti IAM nella Guida per l'utente di IAM AWS .

Come eliminare una policy da un gruppo IAM

Il comando delete-group-policy seguente elimina la policy denominata ExamplePolicy dal gruppo denominato Admins.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per visualizzare le policy collegate a un gruppo, usa il comando list-group-policies.

Per ulteriori informazioni, consulta Gestione delle policy IAM nella Guida per l’utente IAM AWS .

Come eliminare un gruppo IAM

Il comando delete-group seguente elimina un gruppo IAM denominato MyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Eliminazione di un gruppo di utenti IAM nella Guida per l'utente di IAM AWS .

Come eliminare un profilo dell'istanza

Il comando delete-instance-profile seguente elimina un profilo dell'istanza denominato ExampleInstanceProfile.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Utilizzo dei profili dell'istanza nella Guida per l'utente di IAM AWS .

Per eliminare una password per un utente IAM

Il comando delete-login-profile seguente elimina la password per l'utente IAM denominato Bob.

aws iam delete-login-profile \
    --user-name Bob

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestione delle password per gli utenti IAM nella Guida per l'utente di AWS .

Per eliminare un provider di identità OpenID Connect IAM

Questo esempio elimina il provider OIDC IAM che si connette al provider example.oidcprovider.com.

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per eliminare una versione di una policy gestita

Questo esempio elimina la versione identificata come v2 dalla policy il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come eliminare una policy IAM

Questo esempio elimina la policyu il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Per eliminare un limite delle autorizzazioni da un ruolo IAM

L'esempio delete-role-permissions-boundary seguente elimina il limite delle autorizzazioni per il ruolo IAM specificato. Per applicare un limite delle autorizzazioni a un ruolo, usa il comando put-role-permissions-boundary.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come rimuovere una policy da un ruolo IAM

Il comando delete-role-policy seguente rimuove la policy denominata ExamplePolicy dal ruolo denominato Test-Role.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modifica di un ruolo nella Guida per l'utente di IAM AWS .

Come eliminare un ruolo IAM

Il comando delete-role seguente rimuove il ruolo denominato Test-Role.

aws iam delete-role \
    --role-name Test-Role

Questo comando non produce alcun output.

Per poter eliminare un ruolo, devi prima rimuovere il ruolo da qualunque profilo dell'istanza (remove-role-from-instance-profile), scollegare eventuali policy gestite (detach-role-policy) ed eliminare tutte le policy inline collegate al ruolo (delete-role-policy).

Per ulteriori informazioni, consulta Ruoli IAM e Utilizzo dei profili dell'istanza nella AWS Guida per l'utente di IAM.

Come eliminare un provider SAML

Questo esempio elimina il provider SAML 2.0 IAM il cui ARN è arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM AWS .

Per eliminare un certificato server dal tuo AWS account

Il delete-server-certificate comando seguente rimuove il certificato del server specificato dal tuo AWS account.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Questo comando non produce alcun output.

Per elencare i certificati server disponibili nel tuo AWS account, usa il list-server-certificates comando.

Per ulteriori informazioni, consulta Gestione dei certificati server in IAM nella Guida per l'utente IAM AWS .

Come eliminare un ruolo collegato a un servizio

L'esempio delete-service-linked-role seguente elimina il ruolo collegato al servizio specificato che non è più necessario. L'eliminazione avviene in modo asincrono. Puoi anche controllare lo stato dell'eliminazione e confermare quando è stata completata utilizzando il comando get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Output:

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Per ulteriori informazioni, consulta Utilizzo di ruoli collegati a servizi nella Guida per l'utente di IAM AWS .

Esempio 1: eliminare una credenziale specifica del servizio per l'utente richiedente

L'delete-service-specific-credentialesempio seguente elimina la credenziale specifica del servizio specificata per l'utente che effettua la richiesta. service-specific-credential-idViene fornita al momento della creazione della credenziale ed è possibile recuperarla utilizzando il comando. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Questo comando non produce alcun output.

Esempio 2: Eliminare una credenziale specifica del servizio per un utente specificato

L'delete-service-specific-credentialesempio seguente elimina la credenziale specifica del servizio specificata per l'utente specificato. service-specific-credential-idViene fornita al momento della creazione della credenziale ed è possibile recuperarla utilizzando il comando. list-service-specific-credentials

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creare credenziali Git per le connessioni HTTPS CodeCommit nella Guida per l'AWS CodeCommit utente.

Per eliminare un certificato di firma per un utente IAM

Il comando delete-signing-certificate seguente elimina il certificato di firma specificato per l'utente IAM denominato Bob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Questo comando non produce alcun output.

Per ottenere l'ID per un certificato di firma, utilizza il comando list-signing-certificates.

Per ulteriori informazioni, consulta Gestire i certificati di firma nella Amazon EC2 User Guide.

Per eliminare una chiave pubblica SSH collegata a un utente IAM

Il delete-ssh-public-key comando seguente elimina la chiave pubblica SSH specificata allegata all'utente IAM. sofia

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Use SSH keys e SSH with CodeCommit nella IAM User Guide.AWS

Per eliminare un limite delle autorizzazioni da un utente IAM

L'esempio delete-user-permissions-boundary seguente elimina il limite delle autorizzazioni collegato all'utente IAM denominato intern. Per applicare un limite delle autorizzazioni a un utente, usa il comando put-user-permissions-boundary.

aws iam delete-user-permissions-boundary \
    --user-name intern

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come rimuovere una policy da un utente IAM

Il comando delete-user-policy seguente rimuove la policy specificata dall'utente IAM denominato Bob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Questo comando non produce alcun output.

Per ottenere un elenco di policy per un utente IAM, usa il comando list-user-policies.

Per ulteriori informazioni, consulta Creating an IAM user in your AWS account nella AWS IAM User Guide.

Come eliminare un utente IAM

Il comando delete-user seguente rimuove l'utente IAM denominato Bob dall'account corrente.

aws iam delete-user \
    --user-name Bob

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Eliminazione di un utente IAM nella Guida per l'utente di IAM AWS .

Per rimuovere un dispositivo MFA virtuale

Il comando delete-virtual-mfa-device seguente rimuove il dispositivo MFA specificato dall'account corrente.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Disattivazione dei dispositivi MFA nella Guida per l'utente di AWS IAM.

Per scollegare una policy da un gruppo

Questo esempio rimuove la policy gestita con l'ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy dal gruppo denominato Testers.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestione di gruppi di utenti IAM nella Guida per l'utente IAM AWS .

Come scollegare una policy da un ruolo

Questo esempio rimuove la policy gestita con l'ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy dal ruolo denominato FedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modifica di un ruolo nella Guida per l'utente di IAM AWS .

Come scollegare una policy da un utente

Questo esempio rimuove la policy gestita con l'ARN arn:aws:iam::123456789012:policy/TesterPolicy dall'utente Bob.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente di IAM AWS .

Per disabilitare la RootCredentialsManagement funzionalità nella propria organizzazione

Il disable-organizations-root-credentials-management comando seguente disabilita la gestione delle credenziali degli utenti root con privilegi tra gli account membri dell'organizzazione.

aws iam disable-organizations-root-credentials-management

Output:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Centralizzare l'accesso root per gli account dei membri nella Guida per l'utente IAM, ad es.AWS

Per disabilitare la RootSessions funzionalità nella propria organizzazione

Il disable-organizations-root-sessions comando seguente disabilita le sessioni utente root per le attività con privilegi tra gli account dei membri dell'organizzazione.

aws iam disable-organizations-root-sessions

Output:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Centralizzare l'accesso root per gli account dei membri nella Guida per l'utente AWS IAM.

Per abilitare un dispositivo MFA

Dopo aver utilizzato il comando create-virtual-mfa-device per creare un nuovo dispositivo MFA virtuale, è possibile assegnare il dispositivo MFA a un utente. L'esempio enable-mfa-device seguente assegna il dispositivo MFA con il numero di serie arn:aws:iam::210987654321:mfa/BobsMFADevice all'utente Bob. Il comando sincronizza inoltre il dispositivo con AWS l'inclusione dei primi due codici in sequenza dal dispositivo MFA virtuale.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Abilitazione di un dispositivo di autenticazione a più fattori (MFA) virtuale nella Guida per l'utente di AWS IAM.

Per abilitare la RootCredentialsManagement funzionalità nella tua organizzazione

Il enable-organizations-root-credentials-management comando seguente consente la gestione delle credenziali degli utenti root con privilegi tra gli account membri dell'organizzazione.

aws iam enable-organizations-root-credentials-management

Output:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Centralizzare l'accesso root per gli account dei membri nella Guida per l'utente AWS IAM.

Per abilitare la RootSessions funzionalità nella tua organizzazione

Il enable-organizations-root-sessions comando seguente consente all'account di gestione o all'amministratore delegato di eseguire attività privilegiate sugli account dei membri dell'organizzazione.

aws iam enable-organizations-root-sessions

Output:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Centralizzare l'accesso root per gli account dei membri nella Guida per l'utente AWS IAM.

Come generare un report delle credenziali

L'esempio seguente tenta di generare un rapporto sulle credenziali per l' AWS account.

aws iam generate-credential-report

Output:

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Per ulteriori informazioni, consulta Ottenere i report sulle credenziali per il tuo AWS account nella AWS IAM User Guide.

Esempio 1: generare un rapporto di accesso per una radice in un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per la radice specificata in un'organizzazione. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Output:

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Esempio 2: generare un rapporto di accesso per un account in un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per l'ID dell'account 123456789012 nell'organizzazioneo-4fxmplt198. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Output:

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Esempio 3: generare un rapporto di accesso per un account in un'unità organizzativa di un'organizzazione

L'generate-organizations-access-reportesempio seguente avvia un processo in background per creare un rapporto di accesso per l'ID dell'account 234567890123 ou-c3xb-lmu7j2yg nell'unità organizzativa dell'organizzazioneo-4fxmplt198. È possibile visualizzare il report dopo averlo creato eseguendo il get-organizations-access-report comando.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Output:

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Per ottenere dettagli sulle radici e sulle unità organizzative dell'organizzazione, utilizza i organizations list-organizational-units-for-parent comandi organizations list-roots and.

Per ulteriori informazioni, consulta Raffinamento delle autorizzazioni nell' AWS utilizzo delle ultime informazioni a cui si accede nella AWS IAM User Guide.

Esempio 1: generare un report di accesso al servizio per una policy personalizzata

L'esempio generate-service-last-accessed-details seguente avvia un processo in background per generare un report che elenca i servizi a cui accedono gli utenti IAM e altre entità con una policy personalizzata denominata intern-boundary. È possibile visualizzare il report dopo averlo creato eseguendo il comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Output:

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Esempio 2: generare un rapporto di accesso al servizio per la AdministratorAccess politica AWS gestita

L'generate-service-last-accessed-detailsesempio seguente avvia un processo in background per generare un report che elenca i servizi a cui accedono gli utenti IAM e altre entità con la AdministratorAccess policy AWS gestita. È possibile visualizzare il report dopo averlo creato eseguendo il comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Output:

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Per ulteriori informazioni, consulta Refining permissions in AWS using last access information nella AWS IAM User Guide.

Come recuperare informazioni sull'ultimo utilizzo della chiave di accesso specificata

L'esempio seguente recupera informazioni sull'ultimo utilizzo della chiave di accesso ABCDEXAMPLE.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Output:

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM AWS .

Per elencare gli utenti, i gruppi, i ruoli e le politiche IAM di un AWS account

Il get-account-authorization-details comando seguente restituisce informazioni su tutti gli utenti, i gruppi, i ruoli e le politiche IAM presenti nell' AWS account.

aws iam get-account-authorization-details

Output:

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::amzn-s3-demo-bucket",
                                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Per ulteriori informazioni, consulta Linee guida sugli audit di sicurezza AWS nella Guida per l'utente di IAM AWS .

Come visualizzare la policy delle password dell'account corrente

Il comando get-account-password-policy seguente visualizza dettagli sulla policy delle password per l'account corrente.

aws iam get-account-password-policy

Output:

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Se non è definita alcuna policy delle password per l'account, il comando restituisce un errore NoSuchEntity.

Per ulteriori informazioni, consulta Impostazione di una policy delle password dell'account per utenti IAM nella Guida per l'utente di IAM AWS .

Come ottenere informazioni sull'utilizzo delle entità IAM e sulle quote IAM nell'account corrente

Il comando get-account-summary seguente restituisce informazioni sull'utilizzo corrente delle entità IAM e sulle quote correnti delle entità IAM nell'account.

aws iam get-account-summary

Output:

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Per ulteriori informazioni sulle limitazioni delle entità, consulta le quote IAM e AWS STS nella AWS IAM User Guide.

Esempio 1: per elencare le chiavi di contesto a cui fanno riferimento una o più policy JSON personalizzate fornite come parametro nella riga di comando

Il comando get-context-keys-for-custom-policy seguente analizza ogni policy fornita ed elenca le chiavi di contesto utilizzate da tali policy. Utilizza questo comando per identificare i valori delle chiavi di contesto che è necessario fornire per utilizzare correttamente i comandi simulate-custom-policy e simulate-custom-policy del simulatore di policy. Puoi anche recuperare l'elenco delle chiavi di contesto utilizzate da tutte le policy associate da un utente o ruolo IAM utilizzando il comando get-context-keys-for-custom-policy. I parametri che iniziano con file:// indicano al comando di leggere il file e di utilizzarne il contenuto come valore del parametro al posto del nome del file.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Esempio 2: per elencare le chiavi di contesto a cui fanno riferimento una o più policy JSON personalizzate fornite come input di file

Il comando get-context-keys-for-custom-policy seguente è uguale all'esempio precedente tranne per il fatto che le policy vengono fornite in un file anziché come parametro. Poiché il comando prevede un elenco di stringhe JSON e non un elenco di strutture JSON, il file deve essere strutturato come segue, sebbene sia possibile comprimerlo in un unico file.

[
    "Policy1",
    "Policy2"
]

Ad esempio, un file che contiene la policy dell'esempio precedente deve avere l'aspetto seguente. È necessario effettuare l'escape di ogni virgoletta doppia incorporata nella stringa della policy facendola precedere da una barra rovesciata ''.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Questo file può quindi essere inviato al seguente comando.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Per ulteriori informazioni, consulta Using the IAM Policy Simulator (AWS CLI AWS e API) nella IAM User AWS Guide.

Per visualizzare le chiavi di contesto a cui fanno riferimento tutte le policy associate a un principale IAM

Il comando get-context-keys-for-principal-policy seguente recupera tutte le policy collegate all'utente saanvi e ai gruppi di cui è membro. Quindi analizza ciascuna di esse ed elenca le chiavi di contesto utilizzate da tali policy. Utilizza questo comando per identificare i valori delle chiavi di contesto che è necessario fornire per utilizzare correttamente i comandi simulate-custom-policy e simulate-principal-policy. È inoltre possibile recuperare l'elenco delle chiavi di contesto utilizzate da una policy JSON arbitraria utilizzando il comando get-context-keys-for-custom-policy.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Output:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Per ulteriori informazioni, consulta Using the IAM Policy Simulator (AWS CLI AWS e API) nella IAM User AWS Guide.

Come ottenere un report delle credenziali

Questo esempio apre il report restituito e lo invia alla pipeline come array di righe di testo.

aws iam get-credential-report

Output:

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Per ulteriori informazioni, consulta Ottenere i report sulle credenziali per il tuo AWS account nella AWS IAM User Guide.

Per ottenere informazioni su una policy collegata a un gruppo IAM

Il comando get-group-policy seguente ottiene informazioni sulla policy specificata collegata al gruppo denominato Test-Group.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Output:

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Per ulteriori informazioni, consulta Gestione delle policy IAM nella Guida per l'utente IAM AWS .

Per ottenere un gruppo IAM

Questo esempio restituisce dettagli del gruppo IAM Admins.

aws iam get-group \
    --group-name Admins

Output:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Per ulteriori informazioni, consulta Identità IAM (utenti, gruppi e ruoli) nella Guida per l'utente di AWS IAM.

Per ottenere informazioni su un profilo dell'istanza

Il comando get-instance-profile seguente ottiene informazioni sul profilo dell'istanza denominato ExampleInstanceProfile.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Output:

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Per ulteriori informazioni, consulta Utilizzo dei profili dell'istanza nella Guida per l'utente di IAM AWS .

Per ottenere informazioni sulla password di un utente IAM

Il comando get-login-profile seguente ottiene informazioni sulla password per l'utente IAM denominato Bob.

aws iam get-login-profile \
    --user-name Bob

Output:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

Il comando get-login-profile può essere utilizzato per verificare che un utente IAM disponga di una password. Se non è definita alcuna password per l'utente, il comando restituisce un errore NoSuchEntity.

Non è possibile visualizzare una password utilizzando questo comando. Se dimentichi la password, puoi reimpostare la password (update-login-profile) dell'utente. In alternativa, è possibile eliminare il profilo di accesso (delete-login-profile) per l'utente e quindi crearne uno nuovo (create-login-profile).

Per ulteriori informazioni, consulta Gestione delle password per gli utenti IAM nella Guida per l'utente di AWS .

Per recuperare informazioni su una chiave di sicurezza FIDO

Il seguente esempio di get-mfa-device comando recupera le informazioni sulla chiave di sicurezza FIDO specificata.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Output:

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella AWS Guida per l'utente IAM.

Per restituire informazioni sul provider OpenID Connect specificato

Questo esempio restituisce i dettagli del provider OpenID Connect il cui ARN è arn:aws:iam::123456789012:oidc-provider/server.example.com.

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Output:

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per recuperare un rapporto di accesso

L'get-organizations-access-reportesempio seguente visualizza un rapporto di accesso generato in precedenza per un'entità AWS Organizations. Per generare un report, utilizza il generate-organizations-access-report comando.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Output:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Per ulteriori informazioni, consulta Refining permissions in AWS using last access information nella AWS IAM User Guide.

Come recuperare informazioni sulla versione specificata della policy gestita specificata

Questo esempio restituisce il documento della policy per la versione v2 della policy il cui ARN è arn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Output:

{
    "PolicyVersion": {
        "Document": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come recuperare informazioni sulla policy gestita specificata

Questo esempio restituisce i dettagli sulla policy gestita il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Output:

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Per ottenere informazioni su una policy collegata a un ruolo IAM

Il comando get-role-policy seguente ottiene informazioni sulla policy specificata collegata al ruolo denominato Test-Role.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Output:

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Per ulteriori informazioni, consulta Creazione di ruoli IAM nella Guida per l'utente IAM AWS .

Come ottenere informazioni su un ruolo IAM

Il comando get-role seguente ottiene informazioni sul ruolo denominato Test-Role.

aws iam get-role \
    --role-name Test-Role

Output:

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

Il comando visualizza la policy di attendibilità associata al ruolo. Per elencare le policy di autorizzazioni collegate a un ruolo, usa il comando list-role-policies.

Per ulteriori informazioni, consulta Creazione di ruoli IAM nella Guida per l'utente IAM AWS .

Per recuperare il metadocumento del provider SAML

Questo esempio recupera i dettagli del provider SAML 2.0 il cui ARN è arn:aws:iam::123456789012:saml-provider/SAMLADFS. La risposta include il documento di metadati che hai ricevuto dal provider di identità per creare l'entità del provider AWS SAML, nonché le date di creazione e scadenza.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Output:

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM AWS .

Per ottenere dettagli su un certificato server nel tuo AWS account

Il get-server-certificate comando seguente recupera tutti i dettagli sul certificato server specificato nel tuo AWS account.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Output:

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Per elencare i certificati server disponibili nel tuo AWS account, usa il list-server-certificates comando.

Per ulteriori informazioni, consulta Gestione dei certificati server in IAM nella Guida per l'utente IAM AWS .

Per recuperare un report di accesso al servizio con i dettagli relativi a un servizio

L'esempio get-service-last-accessed-details-with-entities seguente recupera un report che contiene dettagli degli utenti IAM e altre entità che hanno avuto accesso al servizio specificato. Per generare un report, utilizza il generate-service-last-accessed-details comando. Per ottenere un elenco di servizi a cui si accede con gli spazi dei nomi, usa get-service-last-accessed-details.

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Output:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Per ulteriori informazioni, consulta Refining permissions in AWS using last access information nella AWS IAM User Guide.

Per recuperare un report di accesso al servizio

L'esempio get-service-last-accessed-details seguente recupera un report generato in precedenza che elenca i servizi a cui accedono le entità IAM. Per generare un report, utilizza il generate-service-last-accessed-details comando.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Output:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Per ulteriori informazioni, consulta Refining permissions in AWS using last access information nella AWS IAM User Guide.

Come verificare lo stato di una richiesta di eliminazione di un ruolo collegato a un servizio

L'esempio get-service-linked-role-deletion-status seguente visualizza lo stato di una precedente richiesta di eliminazione di un ruolo collegato a un servizio. L'operazione di eliminazione avviene in modo asincrono. Quando effettui la richiesta, ottieni un valore DeletionTaskId che hai fornito come parametro per questo comando.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Output:

{
"Status": "SUCCEEDED"
}

Per ulteriori informazioni, consulta Utilizzo di ruoli collegati a servizi nella Guida per l'utente di IAM AWS .

Esempio 1: recuperare una chiave pubblica SSH allegata a un utente IAM in formato codificato SSH

Il get-ssh-public-key comando seguente recupera la chiave pubblica SSH specificata dall'utente IAM. sofia L'output è in codifica SSH.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Output:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Esempio 2: recuperare una chiave pubblica SSH allegata a un utente IAM in formato codificato PEM

Il get-ssh-public-key comando seguente recupera la chiave pubblica SSH specificata dall'utente IAM. sofia L'output è in codifica PEM.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Output:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Per ulteriori informazioni, consulta Use SSH keys and SSH with CodeCommit nella IAM User Guide.AWS

Per visualizzare i dettagli della policy per un utente IAM

Il comando get-user-policy seguente riporta i dettagli della policy specificata collegata all'utente IAM denominato Bob.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Output:

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Per ottenere un elenco di policy per un utente IAM, usa il comando list-user-policies.

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come ottenere informazioni su un utente IAM

Il comando get-user seguente ottiene informazioni sull'utente IAM denominato Paulo.

aws iam get-user \
    --user-name Paulo

Output:

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Per ulteriori informazioni, consulta Gestione di utenti IAM nella Guida per l'utente IAM AWS .

Per elencare la chiave di accesso IDs per un utente IAM

Il list-access-keys comando seguente elenca le chiavi di accesso IDs per l'utente IAM denominatoBob.

aws iam list-access-keys \
    --user-name Bob

Output:

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

Non puoi elencare le chiavi di accesso segrete per gli utenti IAM. Se le chiavi di accesso segrete vengono perse, devi creare nuove chiavi di accesso utilizzando il comando create-access-keys.

Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM AWS .

Elencare gli alias di un account

Il comando list-account-aliases seguente elenca gli alias per l'account corrente.

aws iam list-account-aliases

Output:

{
    "AccountAliases": [
    "mycompany"
    ]
}

Per ulteriori informazioni, consulta Your AWS account ID and its alias nella AWS IAM User Guide.

Per visualizzare tutte le policy gestite collegate al gruppo specificato

Questo esempio restituisce i nomi e ARNs le politiche gestite allegate al gruppo IAM denominato Admins nell' AWS account.

aws iam list-attached-group-policies \
    --group-name Admins

Output:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come elencare tutte le policy gestite collegate al ruolo specificato

Questo comando restituisce i nomi e ARNs le politiche gestite allegate al ruolo IAM denominato SecurityAuditRole nell' AWS account.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Output:

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Per visualizzare tutte le policy gestite collegate all'utente specificato

Questo comando restituisce i nomi e ARNs le politiche gestite per l'utente IAM indicato Bob nell' AWS account.

aws iam list-attached-user-policies \
    --user-name Bob

Output:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Per visualizzare tutti gli utenti, i gruppi e i ruoli a cui è collegata la policy gestita specificata

Questo esempio restituisce un elenco di gruppi, ruoli e utenti IAM a cui è collegata la policy arn:aws:iam::123456789012:policy/TestPolicy.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Output:

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Per visualizzare tutte le policy in linea collegate al gruppo specificato

Il comando list-group-policies seguente elenca i nomi delle policy in linea collegate al gruppo IAM denominato Admins nell'account corrente.

aws iam list-group-policies \
    --group-name Admins

Output:

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Per ulteriori informazioni, consulta Gestione delle policy IAM nella Guida per l'utente IAM AWS .

Per visualizzare i gruppi a cui appartiene un utente IAM

Il comando list-groups-for-user seguente mostra i gruppi a cui appartiene l'utente IAM denominato Bob.

aws iam list-groups-for-user \
    --user-name Bob

Output:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Per ulteriori informazioni, consulta Gestione di gruppi di utenti IAM nella Guida per l’utente IAM AWS .

Come elencare i gruppi IAM per l'account corrente

Il comando list-groups seguente elenca i gruppi IAM nell'account corrente.

aws iam list-groups

Output:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Per ulteriori informazioni, consulta Gestione di gruppi di utenti IAM nella Guida per l’utente IAM AWS .

Per elencare i tag associati a un profilo di istanza

Il list-instance-profile-tags comando seguente recupera l'elenco dei tag associati al profilo di istanza specificato.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per visualizzare i profili dell'istanza per un ruolo IAM

Il comando list-instance-profiles-for-role seguente elenca i profili dell'istanza associati al ruolo Test-Role.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Output:

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Per ulteriori informazioni, consulta Utilizzo dei profili dell'istanza nella Guida per l'utente di IAM AWS .

Per elencare i profili dell'istanza per l'account

Il list-instance-profiles comando seguente elenca i profili dell'istanza associati all'account corrente.

aws iam list-instance-profiles

Output:

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Per ulteriori informazioni, consulta Utilizzo dei profili dell'istanza nella Guida per l'utente di IAM AWS .

Per elencare i tag allegati a un dispositivo MFA

Il list-mfa-device-tags comando seguente recupera l'elenco dei tag associati al dispositivo MFA specificato.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per elencare tutti i dispositivi MFA per un utente specificato

Questo esempio restituisce i dettagli del dispositivo MFA assegnato all'utente IAM Bob.

aws iam list-mfa-devices \
    --user-name Bob

Output:

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella AWS Guida per l'utente IAM.

Per elencare i tag allegati a un provider di identità compatibile con OpenID Connect (OIDC)

Il list-open-id-connect-provider-tags comando seguente recupera l'elenco dei tag associati al provider di identità OIDC specificato.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per elencare informazioni sui provider OpenID Connect presenti nell'account AWS

Questo esempio restituisce un elenco di ARNS di tutti i provider OpenID Connect definiti AWS nell'account corrente.

aws iam list-open-id-connect-providers

Output:

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per elencare le funzionalità di accesso root centralizzato abilitate per l'organizzazione

Il list-organizations-features comando seguente elenca le funzionalità di accesso root centralizzato abilitate per l'organizzazione.

aws iam list-organizations-features

Output:

{
    "EnabledFeatures": [
        "RootCredentialsManagement",
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Per ulteriori informazioni, consulta Gestire centralmente l'accesso root per gli account dei membri nella Guida per l'utente AWS IAM.

Per elencare le politiche che garantiscono l'accesso principale al servizio specificato

L'list-policies-granting-service-accessesempio seguente recupera l'elenco delle politiche che concedono all'utente IAM l'sofiaaccesso al AWS CodeCommit servizio.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Output:

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Using IAM with CodeCommit: credenziali Git, chiavi SSH e chiavi di AWS accesso nella AWS IAM User Guide.

Per elencare le politiche gestite disponibili per il tuo AWS account

Questo esempio restituisce una raccolta delle prime due politiche gestite disponibili nell' AWS account corrente.

aws iam list-policies \
    --max-items 3

Output:

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Per elencare i tag allegati a una politica gestita

Il list-policy-tags comando seguente recupera l'elenco dei tag associati alla politica gestita specificata.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per visualizzare le informazioni sulle versioni della policy gestita specificata

Questo esempio restituisce l'elenco delle versioni disponibili della policy il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Output:

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Come elencare le policy colegate a un ruolo IAM

Il comando list-role-policies seguente elenca i nomi delle policy di autorizzazione per il ruolo IAM specificato.

aws iam list-role-policies \
    --role-name Test-Role

Output:

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Per consultare la policy di attendibilità collegata a un ruolo, usa il comando get-role. Per visualizzare i dettagli di una policy di autorizzazioni, usa il comando get-role-policy.

Per ulteriori informazioni, consulta Creazione di ruoli IAM nella Guida per l’utente IAM AWS .

Elencare i tag collegati a un ruolo

Il seguente comando list-role-tags recupera l'elenco dei tag associati al ruolo specificato.

aws iam list-role-tags \
    --role-name production-role

Output:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Come elencare i ruoli IAM per l'account corrente

Il comando list-roles seguente elenca i ruoli IAM per l'account corrente.

aws iam list-roles

Output:

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Per ulteriori informazioni, consulta Creazione di ruoli IAM nella Guida per l'utente IAM AWS .

Per elencare i tag associati a un provider SAML

Il list-saml-provider-tags comando seguente recupera l'elenco dei tag associati al provider SAML specificato.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per elencare i provider SAML presenti nell'account AWS

Questo esempio recupera l'elenco dei provider SAML 2.0 creati nell'account corrente. AWS

aws iam list-saml-providers

Output:

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM AWS .

Per elencare i tag allegati a un certificato del server

Il list-server-certificate-tags comando seguente recupera l'elenco dei tag associati al certificato del server specificato.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Output:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per elencare i certificati del server presenti nel tuo AWS account

Il list-server-certificates comando seguente elenca tutti i certificati server archiviati e disponibili per l'uso nell' AWS account.

aws iam list-server-certificates

Output:

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Per ulteriori informazioni, consulta Gestione dei certificati server in IAM nella Guida per l’utente IAM AWS .

Esempio 1: Elenca le credenziali specifiche del servizio per un utente

L'list-service-specific-credentialsesempio seguente visualizza tutte le credenziali specifiche del servizio assegnate all'utente specificato. Le password non sono incluse nella risposta.

aws iam list-service-specific-credentials \
    --user-name sofia

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Esempio 2: Elenca le credenziali specifiche del servizio per un utente filtrato in base a un servizio specifico

L'list-service-specific-credentialsesempio seguente visualizza le credenziali specifiche del servizio assegnate all'utente che effettua la richiesta. L'elenco viene filtrato per includere solo le credenziali per il servizio specificato. Le password non sono incluse nella risposta.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Per ulteriori informazioni, consulta Creare credenziali Git per le connessioni HTTPS CodeCommit nella Guida per l'AWS CodeCommit utente.

Per recuperare un elenco di credenziali

L'list-service-specific-credentialsesempio seguente elenca le credenziali generate per l'accesso HTTPS ai AWS CodeCommit repository per un utente denominato. developer

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Output:

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Per ulteriori informazioni, consulta Creare credenziali Git per le connessioni HTTPS CodeCommit nella Guida per l'AWS CodeCommit utente.

Per elencare i certificati di firma per un utente IAM

Il comando list-signing-certificates seguente elenca i certificati di firma per l'utente IAM denominato Bob.

aws iam list-signing-certificates \
    --user-name Bob

Output:

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Per ulteriori informazioni, consulta Gestire i certificati di firma nella Amazon EC2 User Guide.

Per elencare le chiavi pubbliche SSH collegate a un utente IAM

L'list-ssh-public-keysesempio seguente elenca le chiavi pubbliche SSH collegate all'utente IAM. sofia

aws iam list-ssh-public-keys \
    --user-name sofia

Output:

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Per ulteriori informazioni, consulta Use SSH keys e SSH with CodeCommit nella IAM User Guide AWS

Per elencare le policy per un utente IAM

Il comando list-user-policies seguente elenca le policy collegate all'utente IAM denominato Bob.

aws iam list-user-policies \
    --user-name Bob

Output:

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Per ulteriori informazioni, consulta Creating an IAM user in your AWS account nella AWS IAM User Guide.

Elencare i tag collegati a un utente

Il seguente comando list-user-tags recupera l'elenco dei tag associati all'utente IAM specificato.

aws iam list-user-tags \
    --user-name alice

Output:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per elencare gli utenti IAM

Il comando list-users seguente elenca gli utenti IAM nell'account corrente.

aws iam list-users

Output:

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Per ulteriori informazioni, consulta Elencazione degli utenti IAM nella Guida per l'utente IAM AWS .

Per elencare i dispositivi MFA virtuale

Il comando list-virtual-mfa-devices seguente elenca i dispositivi MFA virtuali che sono stati configurati per l'account corrente.

aws iam list-virtual-mfa-devices

Output:

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Per ulteriori informazioni, consulta Abilitazione di un dispositivo di autenticazione a più fattori (MFA) virtuale nella Guida per l'utente di AWS IAM.

Come aggiungere una policy a un gruppo

Il comando put-group-policy seguente aggiunge una policy al gruppo IAM denominato Admins.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Questo comando non produce alcun output.

La policy è definita come documento JSON nel AdminPolicyfile.json. (Il nome e l'estensione del file non hanno importanza.)

Per ulteriori informazioni, consulta Gestione delle policy IAM nella Guida per l'utente IAM AWS .

Esempio 1: applicare un limite delle autorizzazioni basato su una policy personalizzata a un ruolo IAM

L'esempio put-role-permissions-boundary seguente applica la policy personalizzata denominata intern-boundary come limite delle autorizzazioni per il ruolo IAM specificato.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Questo comando non produce alcun output.

Esempio 2: applicare un limite di autorizzazioni basato su una policy AWS gestita a un ruolo IAM

L'put-role-permissions-boundaryesempio seguente applica la PowerUserAccess policy AWS gestita come limite di autorizzazioni per il ruolo IAM specificato.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modifica di un ruolo nella Guida per l'utente di IAM AWS .

Come collegare una policy di autorizzazioni a un ruolo IAM

Il comando put-role-policy seguente aggiunge una policy di autorizzazioni al ruolo denominato Test-Role.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Questo comando non produce alcun output.

La policy è definita come documento JSON nel AdminPolicyfile.json. (Il nome e l'estensione del file non hanno importanza.)

Per collegare una policy di attendibilità a un ruolo, usa il comando update-assume-role-policy.

Per ulteriori informazioni, consulta Modifica di un ruolo nella Guida per l’utente IAM AWS .

Esempio 1: applicare un limite delle autorizzazioni basato su una policy personalizzata a un utente IAM

L'esempio put-user-permissions-boundary seguente applica una policy personalizzata denominata intern-boundary come limite delle autorizzazioni per l'utente IAM specificato.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Questo comando non produce alcun output.

Esempio 2: applicare un limite di autorizzazioni basato su una policy AWS gestita a un utente IAM

L'put-user-permissions-boundaryesempio seguente applica la policy AWS gestita PowerUserAccess denominata limite delle autorizzazioni per l'utente IAM specificato.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente di IAM AWS .

Come collegare una policy a un utente IAM

Il comando put-user-policy seguente collega una policy al ruolo IAM denominato Bob.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Questo comando non produce alcun output.

La policy è definita come documento JSON nel AdminPolicyfile.json. (Il nome e l'estensione del file non hanno importanza.)

Per ulteriori informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente di IAM AWS .

Per rimuovere l'ID client specificato dall'elenco dei client IDs registrati per il provider IAM OpenID Connect specificato

Questo esempio rimuove l'ID client My-TestApp-3 dall'elenco dei client IDs associati al provider IAM OIDC il cui ARN è. arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per rimuovere un ruolo da un profilo dell'istanza

Il comando remove-role-from-instance-profile seguente rimuove il ruolo denominato Test-Role dal profilo dell'istanza denominato ExampleInstanceProfile.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Per ulteriori informazioni, consulta Utilizzo dei profili dell'istanza nella Guida per l'utente di IAM AWS .

Come rimuovere un utente da un gruppo IAM

Il comando remove-user-from-group seguente rimuove l'utente denominato Bob dal gruppo IAM denominato Admins.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Aggiunta e rimozione di utenti in un gruppo di utenti IAM nella Guida per l'utente IAM AWS .

Esempio 1: reimpostazione della password per una credenziale specifica del servizio allegata all'utente che effettua la richiesta

L'reset-service-specific-credentialesempio seguente genera una nuova password crittograficamente sicura per la credenziale specifica del servizio specificata allegata all'utente che effettua la richiesta.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Esempio 2: reimpostazione della password per una credenziale specifica del servizio allegata a un utente specificato

L'reset-service-specific-credentialesempio seguente genera una nuova password crittograficamente sicura per una credenziale specifica del servizio allegata all'utente specificato.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Output:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Per ulteriori informazioni, consulta Creare credenziali Git per le connessioni HTTPS CodeCommit nella Guida per l'AWS CodeCommit utente.

Per sincronizzare un dispositivo MFA

L'esempio resync-mfa-device seguente sincronizza il dispositivo MFA associato all'utente IAM Bob e il cui ARN è arn:aws:iam::123456789012:mfa/BobsMFADevice con un programma di autenticazione che ha fornito i due codici di autenticazione.

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Utilizzo dell'autenticazione a più fattori (MFA) in AWS nella AWS Guida per l'utente IAM.

Per impostare la versione indicata della policy specificata come versione predefinita della policy.

Questo esempio imposta la versione v2 della policy il cui ARN è arn:aws:iam::123456789012:policy/MyPolicy come versione attiva predefinita.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente di IAM AWS .

Per impostare la versione globale del token endpoint

L'set-security-token-service-preferencesesempio seguente configura Amazon STS per utilizzare i token della versione 2 durante l'autenticazione sull'endpoint globale.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Managing AWS STS in an AWS Region nella IAM User Guide.AWS

Esempio 1: simulare gli effetti di tutte le policy IAM associate a un utente o a un ruolo IAM

Quanto segue simulate-custom-policy mostra come fornire sia la policy che definire i valori delle variabili e simulare una chiamata API per vedere se è consentita o negata. L'esempio seguente mostra una politica che consente l'accesso al database solo dopo una data e un'ora specificate. La simulazione ha esito positivo perché le azioni simulate e la aws:CurrentTime variabile specificata soddisfano tutte i requisiti della policy.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Output:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Esempio 2: simulare un comando proibito dalla policy

L'simulate-custom-policyesempio seguente mostra i risultati della simulazione di un comando proibito dalla policy. In questo esempio, la data fornita è precedente a quella richiesta dalla condizione della politica.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Output:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Per ulteriori informazioni, consulta Testare le policy IAM con il simulatore di policy IAM nella AWS IAM User Guide.

Esempio 1: simulare gli effetti di una politica IAM arbitraria

Di seguito simulate-principal-policy viene illustrato come simulare un utente che richiama un'azione API e determina se le politiche associate a tale utente consentono o negano l'azione. Nell'esempio seguente, l'utente dispone di una politica che consente solo l'azionecodecommit:ListRepositories.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Output:

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Esempio 2: simulare gli effetti di un comando proibito

L'simulate-custom-policyesempio seguente mostra i risultati della simulazione di un comando proibito da una delle politiche dell'utente. Nell'esempio seguente, l'utente dispone di una policy che consente l'accesso a un database DynamoDB solo dopo una certa data e ora. La simulazione prevede che l'utente tenti di accedere al database con un aws:CurrentTime valore precedente a quello consentito dalle condizioni della policy.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Output:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Per ulteriori informazioni, consulta Testare le policy IAM con il simulatore di policy IAM nella IAM User Guide.AWS

Per aggiungere un tag a un profilo di istanza

Il tag-instance-profile comando seguente aggiunge un tag con un nome di reparto al profilo di istanza specificato.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per aggiungere un tag a un dispositivo MFA

Il tag-mfa-device comando seguente aggiunge un tag con un nome di reparto al dispositivo MFA specificato.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per aggiungere un tag a un provider di identità compatibile con OpenID Connect (OIDC)

Il tag-open-id-connect-provider comando seguente aggiunge un tag con un nome di reparto al provider di identità OIDC specificato.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per aggiungere un tag a una politica gestita dai clienti

Il tag-policy comando seguente aggiunge un tag con un nome di reparto alla politica gestita dai clienti specificata.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per aggiungere un tag a un ruolo

Il comando tag-role seguente aggiunge un tag con un nome di reparto al ruolo specificato.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per aggiungere un tag a un provider SAML

Il tag-saml-provider comando seguente aggiunge un tag con un nome di reparto al provider SAML specificato.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per aggiungere un tag a un certificato del server

Il tag-saml-provider comando seguente aggiunge un tag con un nome di dipartimento al certificato del server specificato.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per aggiungere un tag a un utente

Il comando tag-user seguente aggiunge un tag con il reparto associato all'utente specificato.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per rimuovere un tag dal profilo di un'istanza

Il untag-instance-profile comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal profilo di istanza specificato.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per rimuovere un tag da un dispositivo MFA

Il untag-mfa-device comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal dispositivo MFA specificato.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per rimuovere un tag da un provider di identità OIDC

Il untag-open-id-connect-provider comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal provider di identità OIDC specificato.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per rimuovere un tag da una politica gestita dai clienti

Il untag-policy comando seguente rimuove qualsiasi tag con il nome chiave «Dipartimento» dalla politica gestita dai clienti specificata.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per rimuovere un tag da un ruolo

Il comando untag-role seguente rimuove qualsiasi tag con il nome chiave 'Department' dal ruolo specificato.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per rimuovere un tag da un provider SAML

Il untag-saml-provider comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal profilo di istanza specificato.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per rimuovere un tag da un certificato del server

Il untag-server-certificate comando seguente rimuove qualsiasi tag con il nome chiave 'Department' dal certificato del server specificato.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Per rimuovere un tag da un utente

Il comando untag-user seguente rimuove qualsiasi tag con il nome chiave 'Department' dall'utente specificato.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Applicazione di tag a risorse IAM nella Guida per l'utente di AWS IAM.

Come attivare o disattivare una chiave di accesso per un utente IAM

Il comando update-access-key seguente disattiva la chiave di accesso specificata (ID chiave di accesso e chiave di accesso segreta) per l'utente IAM denominato Bob.

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Questo comando non produce alcun output.

La disattivazione della chiave significa che non può essere utilizzata per l'accesso programmatico a. AWS La chiave, tuttavia, rimane disponibile e può essere riattivata.

Per ulteriori informazioni, consulta Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM AWS .

Per impostare o modificare la policy delle password dell'account corrente

Il comando update-account-password-policy seguente imposta la policy delle password in modo che richieda una lunghezza minima di otto caratteri e uno o più numeri nella password.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Questo comando non produce alcun output.

Le modifiche alla policy delle password di un account influiscono su tutte le nuove password create per gli utenti IAM nell'account. Le modifiche alle policy delle password non influiscono sulle password esistenti.

Per ulteriori informazioni, consulta Impostazione di una policy delle password dell'account per utenti IAM nella Guida per l'utente di IAM AWS .

Per aggiornare la policy di attendibilità di un ruolo IAM

Il comando update-assume-role-policy seguente aggiorna la policy di attendibilità per il ruolo denominato Test-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Questo comando non produce alcun output.

La policy di attendibilità è definita come documento JSON nel file Test-Role-Trust-Policy.json. (Il nome e l'estensione del file non hanno importanza.) La policy di attendibilità deve specificare un principale.

Per aggiornare una policy di autorizzazioni per un ruolo, usa il comando put-role-policy.

Per ulteriori informazioni, consulta Creazione di ruoli IAM nella Guida per l'utente IAM AWS .

Per rinominare un gruppo IAM

Il comando update-group seguente modifica il nome del gruppo IAM da Test a Test-1.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Ridenominazione di un gruppo di utenti IAM nella Guida per l'utente IAM AWS .

Per aggiornare la password per un utente IAM

Il seguente comando update-login-profile crea una nuova password per l'utente IAM denominato Bob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Questo comando non produce alcun output.

Per impostare una policy delle password per l'account, usa il comando update-account-password-policy. Se la nuova password viola la policy delle password dell'account, il comando restituisce un errore PasswordPolicyViolation.

Se la policy delle password dell'account lo consente, gli utenti IAM possono modificare le proprie password utilizzando il comando change-password.

Conserva la nuova password in un luogo sicuro. Se la password viene persa, non può essere recuperata e dovrai crearne una nuova utilizzando il comando create-login-profile.

Per ulteriori informazioni, consulta Gestione delle password per gli utenti IAM nella Guida per l'utente di AWS .

Per sostituire l'elenco esistente di impronte digitali dei certificati server con un nuovo elenco

Questo esempio aggiorna l'elenco delle impronte digitali dei certificati per il provider OIDC il cui ARN è arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com per utilizzare una nuova impronta digitale.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creazione di provider di identità OpenID Connect (OIDC) nella Guida per l'utente di AWS IAM.

Per modificare la descrizione di un ruolo IAM

Il comando update-role seguente modifica la descrizione del ruolo IAM da production-role a Main production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Output:

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Per ulteriori informazioni, consulta Modifica di un ruolo nella Guida per l'utente di IAM AWS .

Per modificare la descrizione o la durata della sessione di un ruolo IAM

Il comando update-role seguente modifica la descrizione del ruolo IAM production-role in Main production role e imposta la durata massima della sessione su 12 ore.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Modifica di un ruolo nella Guida per l'utente di IAM AWS .

Per aggiornare il documento di metadati per un provider SAML esistente

Questo esempio aggiorna il provider SAML in IAM il cui ARN è arn:aws:iam::123456789012:saml-provider/SAMLADFS con un nuovo documento di metadati SAML dal file SAMLMetaData.xml.

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Output:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Per ulteriori informazioni, consulta Creazione di provider di identità SAML IAM nella Guida per l'utente di IAM AWS .

Per modificare il percorso o il nome di un certificato del server nel tuo AWS account

Il comando update-server-certificate seguente modifica il nome del certificato da myServerCertificate a myUpdatedServerCertificate. Cambia anche il percorso in /cloudfront/ modo che sia possibile accedervi dal CloudFront servizio Amazon. Questo comando non produce alcun output. Puoi visualizzare i risultati dell'aggiornamento eseguendo il comando list-server-certificates.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Gestione dei certificati server in IAM nella Guida per l'utente IAM AWS .

Esempio 1: per aggiornare lo stato della credenziale specifica del servizio dell'utente richiedente

L'update-service-specific-credentialesempio seguente modifica lo stato della credenziale specificata per l'utente a cui effettua la richiesta. Inactive

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Questo comando non produce alcun output.

Esempio 2: Aggiornare lo stato delle credenziali specifiche del servizio di un utente specificato

L'update-service-specific-credentialesempio seguente modifica lo stato della credenziale dell'utente specificato in Inattivo.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Creare credenziali Git per connessioni HTTPS CodeCommit nella Guida per l'AWS CodeCommit utente

Per attivare o disattivare un certificato di firma per un utente IAM

Il comando update-signing-certificate seguente disattiva il certificato di firma specificato per l'utente IAM denominato Bob.

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Per ottenere l'ID per un certificato di firma, utilizza il comando list-signing-certificates.

Per ulteriori informazioni, consulta Gestire i certificati di firma nella Amazon EC2 User Guide.

Per modificare lo stato di una chiave pubblica SSH

Il update-ssh-public-key comando seguente modifica lo stato della chiave pubblica specificata inInactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Use SSH keys e SSH with CodeCommit nella AWS IAM User Guide.

Come modificare il nome di un utente IAM

Il comando update-user seguente modifica il nome di un utente IAM da Bob a Robert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Ridenominazione di un gruppo di utenti IAM nella Guida per l'utente IAM AWS .

Per caricare un certificato server sul tuo AWS account

Il upload-server-certificatecomando seguente carica un certificato server sul tuo AWS account. In questo esempio, il certificato è nel file public_key_cert_file.pem, la chiave privata associata è nel file my_private_key.pem e la catena di certificati fornita dall'autorità di certificazione (CA) è nel file my_certificate_chain_file.pem. Al termine del caricamento, il file è disponibile sotto il nome. myServerCertificate I parametri che iniziano con file:// indicano al comando di leggere il contenuto del file e di utilizzarlo come valore del parametro in luogo del nome del file.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Output:

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Per ulteriori informazioni, consulta Creazione, caricamento ed eliminazione di certificati server nella guida Utilizzo di IAM

Per caricare un certificato di firma per un utente IAM

Il comando upload-signing-certificate seguente carica il certificato di firma per l'utente IAM denominato Bob.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Output:

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

Il certificato si trova in un file denominato certificate.pem in formato PEM.

Per ulteriori informazioni, consulta Creazione e caricamento di un certificato di firma dell'utente nella guida Utilizzo di IAM

Per caricare una chiave pubblica SSH e associarla a un utente

Il upload-ssh-public-key comando seguente carica la chiave pubblica trovata nel file sshkey.pub e la allega all'utente. sofia

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Output:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Per ulteriori informazioni su come generare chiavi in un formato adatto a questo comando, vedere SSH e Linux, macOS o Unix: configurare le chiavi pubbliche e private per Git e/o SSH CodeCommit e Windows: configurare le chiavi pubbliche e private per Git CodeCommit e nella Guida per l'utente.AWS CodeCommit