Esempi per IAM con Strumenti per PowerShell V5

Esempio 1: questo comando aggiunge l’ID client (o il pubblico) my-application-ID al provider OIDC esistente denominato server.example.com.

Add-IAMClientIDToOpenIDConnectProvider -ClientID "my-application-ID" -OpenIDConnectProviderARN "arn:aws:iam::123456789012:oidc-provider/server.example.com"

Esempio 1: questo esempio aggiunge un tag a un ruolo nel servizio di gestione identità

Add-IAMRoleTag -RoleName AdminRoleacess -Tag @{ Key = 'abac'; Value = 'testing'}

Esempio 1: questo comando aggiunge il ruolo denominato S3Access a un profilo dell’istanza esistente denominato webserver. Per creare il profilo dell’istanza, utilizza il comando New-IAMInstanceProfile. Dopo aver creato il profilo dell’istanza e averlo associato a un ruolo utilizzando questo comando, potrai collegarlo a un’istanza EC2. A tale scopo, utilizza il cmdlet New-EC2Instance con il parametro InstanceProfile_Arn o con il parametro InstanceProfile-Name per avviare la nuova istanza.

Add-IAMRoleToInstanceProfile -RoleName "S3Access" -InstanceProfileName "webserver"

Esempio 1: questo esempio aggiunge un tag a un utente nel servizio di gestione identità

Add-IAMUserTag -UserName joe -Tag @{ Key = 'abac'; Value = 'testing'}

Esempio 1: questo comando aggiunge l’utente denominato Bob al gruppo denominato Admins.

Add-IAMUserToGroup -UserName "Bob" -GroupName "Admins"

Esempio 1: questo comando disabilita il dispositivo hardware MFA associato all’utente Bob con il numero di serie 123456789012.

Disable-IAMMFADevice -UserName "Bob" -SerialNumber "123456789012"

Esempio 2: questo comando disabilita il dispositivo MFA virtuale associato all’utente David con ARN arn:aws:iam::210987654321:mfa/David. Tieni presente che il dispositivo MFA virtuale non viene eliminato dall’account. Il dispositivo virtuale è ancora presente e appare nell’output del comando Get-IAMVirtualMFADevice. Prima di poter creare un nuovo dispositivo MFA virtuale per lo stesso utente, è necessario eliminare quello precedente utilizzando il comando Remove-IAMVirtualMFADevice.

Disable-IAMMFADevice -UserName "David" -SerialNumber "arn:aws:iam::210987654321:mfa/David"

Esempio 1: questo comando modifica la password dell’utente che esegue il comando. Questo comando può essere chiamato solo dagli utenti IAM. Se questo comando viene chiamato utilizzando le credenziali dell’account (root) AWS, restituisce un errore InvalidUserType.

Edit-IAMPassword -OldPassword "MyOldP@ssw0rd" -NewPassword "MyNewP@ssw0rd"

Esempio 1: questo comando abilita il dispositivo hardware MFA con il numero di serie 987654321098 e associa il dispositivo all’utente Bob. Include i primi due codici in sequenza provenienti dal dispositivo.

Enable-IAMMFADevice -UserName "Bob" -SerialNumber "987654321098" -AuthenticationCode1 "12345678" -AuthenticationCode2 "87654321"

Esempio 2: questo esempio crea e abilita un dispositivo MFA virtuale. Il primo comando crea il dispositivo virtuale e restituisce la rappresentazione dell’oggetto del dispositivo nella variabile $MFADevice. È possibile utilizzare le proprietà .Base32StringSeed o QRCodePng per configurare l’applicazione software dell’utente. Il comando finale assegna il dispositivo all’utente David, identificandolo in base al numero di serie. Il comando sincronizza inoltre il dispositivo con AWS includendo i primi due codici in sequenza dal dispositivo MFA virtuale.

$MFADevice = New-IAMVirtualMFADevice -VirtualMFADeviceName "MyMFADevice"
# see example for New-IAMVirtualMFADevice to see how to configure the software program with PNG or base32 seed code
Enable-IAMMFADevice -UserName "David" -SerialNumber -SerialNumber $MFADevice.SerialNumber -AuthenticationCode1 "24681357" -AuthenticationCode2 "13572468"

Esempio 1: questo comando elenca le chiavi di accesso per l’utente IAM denominato Bob. Tenere presente che non è possibile elencare le chiavi di accesso segrete per gli utenti IAM. Se le chiavi di accesso segrete vengono perse, sarà necessario creare nuove chiavi di accesso con il cmdlet New-IAMAccessKey.

Get-IAMAccessKey -UserName "Bob"

Output:

AccessKeyId                CreateDate                   Status              UserName
-----------                ----------                   ------              --------
AKIAIOSFODNN7EXAMPLE       12/3/2014 10:53:41 AM        Active              Bob
AKIAI44QH8DHBEXAMPLE       6/6/2013 8:42:26 PM          Inactive            Bob

Esempio 1: restituisce il nome utente proprietario e le informazioni sull’ultimo utilizzo della chiave di accesso fornita.

Get-IAMAccessKeyLastUsed -AccessKeyId ABCDEXAMPLE

Esempio 1: questo comando restituisce l’alias dell’account per l’Account AWS.

Get-IAMAccountAlias

Output:

ExampleCo

Esempio 1: questo esempio ottiene i dettagli di autorizzazione sulle identità nell’account AWS e visualizza l’elenco degli elementi dell’oggetto restituito, inclusi utenti, gruppi e ruoli. Ad esempio, la proprietà UserDetailList visualizza i dettagli degli utenti. Informazioni simili sono disponibili nelle proprietà RoleDetailList e GroupDetailList.

$Details=Get-IAMAccountAuthorizationDetail
$Details

Output:

GroupDetailList : {Administrators, Developers, Testers, Backup}
IsTruncated     : False
Marker          : 
RoleDetailList  : {TestRole1, AdminRole, TesterRole, clirole...}
UserDetailList  : {Administrator, Bob, BackupToS3, }

$Details.UserDetailList

Output:

Arn            : arn:aws:iam::123456789012:user/Administrator
CreateDate     : 10/16/2014 9:03:09 AM
GroupList      : {Administrators}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE1
UserName       : Administrator
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/Bob
CreateDate     : 4/6/2015 12:54:42 PM
GroupList      : {Developers}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE2
UserName       : bab
UserPolicyList : {}

Arn            : arn:aws:iam::123456789012:user/BackupToS3
CreateDate     : 1/27/2015 10:15:08 AM
GroupList      : {Backup}
Path           : /
UserId         : AIDACKCEVSQ6CEXAMPLE3
UserName       : BackupToS3
UserPolicyList : {BackupServicePermissionsToS3Buckets}

Esempio 1: questo esempio restituisce dettagli della policy delle password per l’account corrente. Se non è definita alcuna policy delle password per l’account, il comando restituisce un errore NoSuchEntity.

Get-IAMAccountPasswordPolicy

Output:

AllowUsersToChangePassword : True
ExpirePasswords            : True
HardExpiry                 : False
MaxPasswordAge             : 90
MinimumPasswordLength      : 8
PasswordReusePrevention    : 20
RequireLowercaseCharacters : True
RequireNumbers             : True
RequireSymbols             : False
RequireUppercaseCharacters : True

Esempio 1: questo esempio restituisce informazioni sull’utilizzo corrente e sulle quote correnti delle entità IAM nell’Account AWS.

Get-IAMAccountSummary

Output:

Key                                        Value
Users                                      7
GroupPolicySizeQuota                       5120
PolicyVersionsInUseQuota                   10000
ServerCertificatesQuota                    20
AccountSigningCertificatesPresent          0
AccountAccessKeysPresent                   0
Groups                                     3
UsersQuota                                 5000
RolePolicySizeQuota                        10240
UserPolicySizeQuota                        2048
GroupsPerUserQuota                         10
AssumeRolePolicySizeQuota                  2048
AttachedPoliciesPerGroupQuota              2
Roles                                      9
VersionsPerPolicyQuota                     5
GroupsQuota                                100
PolicySizeQuota                            5120
Policies                                   5
RolesQuota                                 250
ServerCertificates                         0
AttachedPoliciesPerRoleQuota               2
MFADevicesInUse                            2
PoliciesQuota                              1000
AccountMFAEnabled                          1
Providers                                  2
InstanceProfilesQuota                      100
MFADevices                                 4
AccessKeysPerUserQuota                     2
AttachedPoliciesPerUserQuota               2
SigningCertificatesPerUserQuota            2
PolicyVersionsInUse                        4
InstanceProfiles                           1
...

Esempio 1: questo comando restituisce i nomi e gli ARN delle policy gestite collegate al gruppo IAM denominato Admins nell’account AWS. Per visualizzare l’elenco delle policy in linea incorporate nel gruppo, usa il comando Get-IAMGroupPolicyList.

Get-IAMAttachedGroupPolicyList -GroupName "Admins"

Output:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit
arn:aws:iam::aws:policy/AdministratorAccess               AdministratorAccess

Esempio 1: questo comando restituisce i nomi e gli ARN delle policy gestite collegate al ruolo IAM denominato SecurityAuditRole nell’account AWS. Per visualizzare l’elenco delle policy in linea incorporate nel ruolo, usa il comando Get-IAMRolePolicyList.

Get-IAMAttachedRolePolicyList -RoleName "SecurityAuditRole"

Output:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/SecurityAudit                     SecurityAudit

Esempio 1: questo comando restituisce i nomi e gli ARN delle policy gestite per l’utente IAM denominato Bob nell’account AWS. Per visualizzare l’elenco delle policy in linea incorporate nell’utente IAM, usa il comando Get-IAMUserPolicyList.

Get-IAMAttachedUserPolicyList -UserName "Bob"

Output:

PolicyArn                                                 PolicyName
---------                                                 ----------
arn:aws:iam::aws:policy/TesterPolicy                      TesterPolicy

Esempio 1: questo esempio recupera tutte le chiavi di contesto presenti nella policy JSON fornita. Per fornire più policy puoi specificare un elenco di valori separati da virgole.

$policy1 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForCustomPolicy -PolicyInputList $policy1,$policy2

Esempio 1: questo esempio recupera tutte le chiavi di contesto presenti nella policy json fornita e le policy collegate all’entità IAM (user/role ecc.). Per -PolicyInputList puoi fornire più elenchi di valori come valori separati da virgole.

$policy1 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'
$policy2 = '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/"}}'
Get-IAMContextKeysForPrincipalPolicy -PolicyInputList $policy1,$policy2 -PolicySourceArn arn:aws:iam::852640994763:user/TestUser

Esempio 1: questo esempio apre il report restituito e lo invia alla pipeline come array di righe di testo. La prima riga è l’intestazione con i nomi delle colonne separati da virgole. Ogni riga successiva è la riga di dettaglio per un utente, con ogni campo separato da virgole. Prima di poter visualizzare il report, è necessario generarlo con il cmdlet Request-IAMCredentialReport. Per recuperare il report come singola stringa, utilizzare -Raw invece di -AsTextArray. L’alias -SplitLines è accettato anche per lo switch -AsTextArray. Per l’elenco completo delle colonne nell’output, consulta la documentazione di riferimento delle API del servizio. Tieni presente che se non utilizzi -AsTextArray o-SplitLines, devi estrarre il testo dalla proprietà .Content utilizzando la classe StreamReader .NET.

Request-IAMCredentialReport

Output:

Description                                                         State
-----------                                                         -----
No report exists. Starting a new report generation task             STARTED

Get-IAMCredentialReport -AsTextArray

Output:

      user,arn,user_creation_time,password_enabled,password_last_used,password_last_changed,password_next_rotation,mfa_active,access_key_1_active,access_key_1_last_rotated,access_key_2_active,access_key_2_last_rotated,cert_1_active,cert_1_last_rotated,cert_2_active,cert_2_last_rotated root_account,arn:aws:iam::123456789012:root,2014-10-15T16:31:25+00:00,not_supported,2015-04-20T17:41:10+00:00,not_supported,not_supported,true,false,N/A,false,N/A,false,N/A,false,N/A
Administrator,arn:aws:iam::123456789012:user/Administrator,2014-10-16T16:03:09+00:00,true,2015-04-20T15:18:32+00:00,2014-10-16T16:06:00+00:00,N/A,false,true,2014-12-03T18:53:41+00:00,true,2015-03-25T20:38:14+00:00,false,N/A,false,N/A
Bill,arn:aws:iam::123456789012:user/Bill,2015-04-15T18:27:44+00:00,false,N/A,N/A,N/A,false,false,N/A,false,N/A,false,2015-04-20T20:00:12+00:00,false,N/A

Esempio 1: questo esempio restituisce un elenco di gruppi, ruoli e utenti IAM a cui è collegata la policy arn:aws:iam::123456789012:policy/TestPolicy.

Get-IAMEntitiesForPolicy -PolicyArn "arn:aws:iam::123456789012:policy/TestPolicy"

Output:

IsTruncated  : False
Marker       : 
PolicyGroups : {}
PolicyRoles  : {testRole}
PolicyUsers  : {Bob, Theresa}

Esempio 1: questo esempio restituisce dettagli del gruppo IAM Testers, inclusa una raccolta di tutti gli utenti IAM che appartengono al gruppo.

$results = Get-IAMGroup -GroupName "Testers"
$results

Output:

Group                                     IsTruncated           Marker                Users
-----                                     -----------           ------                -----
Amazon.IdentityManagement.Model.Group     False                                       {Theresa, David}

$results.Group

Output:

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : 3RHNZZGQJ7QHMAEXAMPLE1
GroupName  : Testers
Path       : /

$results.Users

Output:

Arn              : arn:aws:iam::123456789012:user/Theresa
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : 4OSVDDJJTF4XEEXAMPLE2
UserName         : Theresa

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE3
UserName         : David

Esempio 1: questo esempio restituisce l’elenco dei gruppi IAM a cui appartiene l’utente IAM David.

Get-IAMGroupForUser -UserName David

Output:

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE2
GroupName  : Testers
Path       : /
      
Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE3
GroupName  : Developers
Path       : /

Esempio 1: questo esempio restituisce una raccolta di tutti i gruppi IAM definiti nell’Account AWS corrente.

Get-IAMGroupList

Output:

Arn        : arn:aws:iam::123456789012:group/Administrators
CreateDate : 10/20/2014 10:06:24 AM
GroupId    : 6WCH4TRY3KIHIEXAMPLE1
GroupName  : Administrators
Path       : /

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 12/10/2014 3:38:55 PM
GroupId    : ZU2EOWMK6WBZOEXAMPLE2
GroupName  : Developers
Path       : /

Arn        : arn:aws:iam::123456789012:group/Testers
CreateDate : 12/10/2014 3:39:11 PM
GroupId    : RHNZZGQJ7QHMAEXAMPLE3
GroupName  : Testers
Path       : /

Esempio 1: questo esempio restituisce dettagli della policy in linea incorporata denominata PowerUserAccess-Testers per il gruppo Testers. La proprietà PolicyDocument è codificata tramite URL. In questo esempio viene decodificato con il metodo UrlDecode .NET.

$results = Get-IAMGroupPolicy -GroupName Testers -PolicyName PowerUserAccess-Testers
$results

Output:

GroupName     PolicyDocument                                              PolicyName
---------     --------------                                              ----------
Testers       %7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20... PowerUserAccess-Testers

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"
      ]
    }
  ]
}

Esempio 1: questo esempio restituisce l’elenco dei nomi delle policy in linea incorporate nel gruppo Testers. Per ottenere le policy gestite collegate al gruppo, utilizzare il comando Get-IAMAttachedGroupPolicyList.

Get-IAMGroupPolicyList -GroupName Testers

Output:

Deny-Assume-S3-Role-In-Production
PowerUserAccess-Testers

Esempio 1: Questo esempio restituisce i dettagli del profilo dell’istanza denominato ec2instancerole definito nell’account AWS corrente.

Get-IAMInstanceProfile -InstanceProfileName ec2instancerole

Output:

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

Esempio 1: questo esempio restituisce i dettagli del profilo dell’istanza associato al ruolo ec2instancerole.

Get-IAMInstanceProfileForRole -RoleName ec2instancerole

Output:

      Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
      CreateDate          : 2/17/2015 2:49:04 PM
      InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
      InstanceProfileName : ec2instancerole
      Path                : /
      Roles               : {ec2instancerole}

Esempio 1: questo esempio restituisce una raccolta di tutti i profili dell’istanza definiti nell’Account AWS corrente.

Get-IAMInstanceProfileList

Output:

Arn                 : arn:aws:iam::123456789012:instance-profile/ec2instancerole
CreateDate          : 2/17/2015 2:49:04 PM
InstanceProfileId   : HH36PTZQJUR32EXAMPLE1
InstanceProfileName : ec2instancerole
Path                : /
Roles               : {ec2instancerole}

Esempio 1: questo esempio restituisce la data di creazione della password e se è necessaria una reimpostazione della password per l’utente IAM David.

Get-IAMLoginProfile -UserName David

Output:

CreateDate                   PasswordResetRequired                 UserName
----------                   ---------------------                 --------
12/10/2014 3:39:44 PM        False                                 David

Esempio 1: questo esempio restituisce i dettagli del dispositivo MFA assegnato all’utente IAM David. In questo esempio si può affermare che si tratta di un dispositivo virtuale perché SerialNumber è un ARN e non il numero di serie effettivo di un dispositivo fisico.

Get-IAMMFADevice -UserName David

Output:

EnableDate                  SerialNumber                           UserName
----------                  ------------                           --------
4/8/2015 9:41:10 AM         arn:aws:iam::123456789012:mfa/David    David

Esempio 1: questo esempio restituisce i dettagli del provider OpenID Connect il cui ARN è arn:aws:iam::123456789012:oidc-provider/accounts.google.com. La proprietà ClientIDList è una raccolta che contiene tutti gli ID client definiti per questo provider.

Get-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/oidc.example.com

Output:

ClientIDList         CreateDate                ThumbprintList                               Url
------------         ----------                --------------                               ---
{MyOIDCApp}          2/3/2015 3:00:30 PM       {12345abcdefghijk67890lmnopqrst98765uvwxy}   oidc.example.com

Esempio 1: questo esempio restituisce un elenco di ARN di tutti i provider OpenID Connect definiti nell’Account AWS corrente.

Get-IAMOpenIDConnectProviderList

Output:

Arn
---
arn:aws:iam::123456789012:oidc-provider/server.example.com
arn:aws:iam::123456789012:oidc-provider/another.provider.com

Esempio 1: questo esempio restituisce i dettagli sulla policy gestita il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy.

Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

Output:

Arn              : arn:aws:iam::aws:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 2/6/2015 10:40:08 AM

Esempio 1: questo esempio restituisce una raccolta delle prime tre policy gestite disponibili nell’account AWS corrente. Poiché l’-scope non è specificato, verrà utilizzato all per impostazione predefinita e includerà sia le policy gestite da AWS che le policy gestite dal cliente.

Get-IAMPolicyList -MaxItem 3

Output:

Arn              : arn:aws:iam::aws:policy/AWSDirectConnectReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:08 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : Z27SI6FQMGNQ2EXAMPLE1
PolicyName       : AWSDirectConnectReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:08 AM
      
Arn              : arn:aws:iam::aws:policy/AmazonGlacierReadOnlyAccess
AttachmentCount  : 0
CreateDate       : 2/6/2015 10:40:27 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : NJKMU274MET4EEXAMPLE2
PolicyName       : AmazonGlacierReadOnlyAccess
UpdateDate       : 2/6/2015 10:40:27 AM
      
Arn              : arn:aws:iam::aws:policy/AWSMarketplaceFullAccess
AttachmentCount  : 0
CreateDate       : 2/11/2015 9:21:45 AM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : 5ULJSO2FYVPYGEXAMPLE3
PolicyName       : AWSMarketplaceFullAccess
UpdateDate       : 2/11/2015 9:21:45 AM

Esempio 2: questo esempio restituisce una raccolta delle prime due policy gestite dal cliente nell’account AWS corrente. Utilizza -Scope local per limitare l’output alle sole policy gestite dal cliente.

Get-IAMPolicyList -Scope local -MaxItem 2

Output:

Arn              : arn:aws:iam::123456789012:policy/MyLocalPolicy
AttachmentCount  : 0
CreateDate       : 2/12/2015 9:39:09 AM
DefaultVersionId : v2
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : SQVCBLC4VAOUCEXAMPLE4
PolicyName       : MyLocalPolicy
UpdateDate       : 2/12/2015 9:39:53 AM

Arn              : arn:aws:iam::123456789012:policy/policyforec2instancerole
AttachmentCount  : 1
CreateDate       : 2/17/2015 2:51:38 PM
DefaultVersionId : v11
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : X5JPBLJH2Z2SOEXAMPLE5
PolicyName       : policyforec2instancerole
UpdateDate       : 2/18/2015 8:52:31 AM

Esempio 1: questo esempio restituisce il documento della policy per la versione v2 della policy il cui ARN è arn:aws:iam::123456789012:policy/MyManagedPolicy. Il documento di policy contenuto nella proprietà Document è codificato nell’URL e in questo esempio viene decodificato con il metodo .NET UrlDecode.

$results = Get-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy -VersionId v2
$results

Output:

CreateDate             Document                                        IsDefaultVersion     VersionId
----------             --------                                        ----------------     ---------
2/12/2015 9:39:53 AM   %7B%0A%20%20%22Version%22%3A%20%222012-10...    True                 v2

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
$policy = [System.Web.HttpUtility]::UrlDecode($results.Document)
$policy
{
  "Version": "2012-10-17",
  "Statement": 
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"
      ]
    }
}

Esempio 1: questo esempio restituisce l’elenco delle versioni disponibili della policy il cui ARN è arn:aws:iam::123456789012:policy/MyManagedPolicy. Per ottenere il documento relativo alla policy per una versione specifica, utilizza il comando Get-IAMPolicyVersion e specifica l’VersionId della versione desiderata.

Get-IAMPolicyVersionList -PolicyArn arn:aws:iam::123456789012:policy/MyManagedPolicy

Output:

CreateDate                   Document                 IsDefaultVersion                  VersionId
----------                   --------                 ----------------                  ---------
2/12/2015 9:39:53 AM                                  True                              v2
2/12/2015 9:39:09 AM                                  False                             v1

Esempio 1: questo esempio restituisce i dettagli di lamda_exec_role. Include il documento della policy di attendibilità, che specifica chi può assumere questo ruolo. Il documento di policy è codificato tramite URL e può essere decodificato utilizzando il metodo .NET UrlDecode. In questo esempio, la policy originale aveva rimosso tutti gli spazi bianchi prima di essere caricata nella policy. Per visualizzare i documenti relativi alle policy di autorizzazioni che determinano cosa può fare qualcuno che assume il ruolo, utilizza Get-IAMRolePolicy per le policy in linea e Get-IAMPolicyVersion per le policy gestite allegate.

$results = Get-IamRole -RoleName lambda_exec_role
$results | Format-List

Output:

Arn                      : arn:aws:iam::123456789012:role/lambda_exec_role
AssumeRolePolicyDocument : %7B%22Version%22%3A%222012-10-17%22%2C%22Statement%22%3A%5B%7B%22Sid%22
                           %3A%22%22%2C%22Effect%22%3A%22Allow%22%2C%22Principal%22%3A%7B%22Service
                           %22%3A%22lambda.amazonaws.com%22%7D%2C%22Action%22%3A%22sts%3AAssumeRole
                           %22%7D%5D%7D
CreateDate               : 4/2/2015 9:16:11 AM
Path                     : /
RoleId                   : 2YBIKAIBHNKB4EXAMPLE1
RoleName                 : lambda_exec_role

$policy = [System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
$policy

Output:

{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"Service":"lambda.amazonaws.com"},"Action":"sts:AssumeRole"}]}

Esempio 1: questo esempio recupera un elenco di tutti i ruoli IAM nell’Account AWS.

Get-IAMRoleList

Esempio 1: questo esempio restituisce il documento sulla policy di autorizzazioni per la policy oneClick_lambda_exec_role_policy denominata incorporata nel ruolo IAM lamda_exec_role. Il documento di policy risultante è codificato nell’URL. In questo esempio viene decodificato con il metodo UrlDecode .NET.

$results = Get-IAMRolePolicy -RoleName lambda_exec_role -PolicyName oneClick_lambda_exec_role_policy
$results

Output:

PolicyDocument                                            PolicyName                           UserName
--------------                                            ----------                           --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    oneClick_lambda_exec_role_policy     lambda_exec_role

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)

Output:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:*"
      ],
      "Resource": "arn:aws:logs:us-east-1:555555555555:log-group:/aws/lambda/aws-example-function:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*"
      ]
    }
  ]
}

Esempio 1: questo esempio restituisce l’elenco dei nomi delle policy in linea incorporate nel ruolo IAM lamda_exec_role. Per visualizzare i dettagli di una policy in linea, usa il comando Get-IAMRolePolicy.

Get-IAMRolePolicyList -RoleName lambda_exec_role

Output:

oneClick_lambda_exec_role_policy

Esempio 1: questo esempio recupera il tag associato al ruolo.

Get-IAMRoleTagList -RoleName MyRoleName

Esempio 1: questo esempio recupera i dettagli del provider SAML 2.0 il cui ARN è arn:aws:iam::123456789012:saml-provider/SAMLADFS. La risposta include il documento di metadati che hai ricevuto dal provider di identità per creare l’entità del provider SAML AWS, nonché le date di creazione e scadenza.

Get-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Output:

CreateDate                 SAMLMetadataDocument                                          ValidUntil
----------                 --------------------                                          ----------
12/23/2014 12:16:55 PM    <EntityDescriptor ID="_12345678-1234-5678-9012-example1...    12/23/2114 12:16:54 PM

Esempio 1: questo esempio recupera l’elenco dei provider SAML 2.0 creati nell’Account AWS corrente. Restituisce l’ARN, la data di creazione e la data di scadenza per ogni provider SAML.

Get-IAMSAMLProviderList

Output:

Arn                                                 CreateDate                      ValidUntil
---                                                 ----------                      ----------
arn:aws:iam::123456789012:saml-provider/SAMLADFS    12/23/2014 12:16:55 PM          12/23/2114 12:16:54 PM

Esempio 1: questo esempio recupera i dettagli del certificato server denominato MyServerCertificate. È possibile trovare i dettagli del certificato nelle proprietà CertificateBody e ServerCertificateMetadata.

$result = Get-IAMServerCertificate -ServerCertificateName MyServerCertificate
$result | format-list

Output:

CertificateBody           : -----BEGIN CERTIFICATE-----
                            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                            NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                            -----END CERTIFICATE-----
CertificateChain          : 
ServerCertificateMetadata : Amazon.IdentityManagement.Model.ServerCertificateMetadata

$result.ServerCertificateMetadata

Output:

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

Esempio 1: questo esempio recupera l’elenco dei certificati del server che sono stati caricati nell’Account AWS corrente.

Get-IAMServerCertificateList

Output:

Arn                   : arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /Org1/Org2/
ServerCertificateId   : ASCAJIFEXAMPLE17HQZYW
ServerCertificateName : MyServerCertificate
UploadDate            : 4/21/2015 11:14:16 AM

Esempio 1: questo esempio fornisce i dettagli dell’ultimo accesso al servizio da parte dell’entità IAM (utente, gruppo, ruolo o policy) associata alla chiamata Request.

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

Output:

f0b7a819-eab0-929b-dc26-ca598911cb9f

Get-IAMServiceLastAccessedDetail -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f

Esempio 1: questo esempio fornisce il timestamp dell’ultimo accesso per il servizio contenuto nella richiesta della rispettiva entità IAM.

$results = Get-IAMServiceLastAccessedDetailWithEntity -JobId f0b7a819-eab0-929b-dc26-ca598911cb9f -ServiceNamespace ec2
$results

Output:

EntityDetailsList : {Amazon.IdentityManagement.Model.EntityDetails}
Error             : 
IsTruncated       : False
JobCompletionDate : 12/29/19 11:19:31 AM
JobCreationDate   : 12/29/19 11:19:31 AM
JobStatus         : COMPLETED
Marker            : 

$results.EntityDetailsList

Output:

EntityInfo                                 LastAuthenticated
----------                                 -----------------
Amazon.IdentityManagement.Model.EntityInfo 11/16/19 3:47:00 PM

$results.EntityInfo

Output:

Arn  : arn:aws:iam::123456789012:user/TestUser
Id   : AIDA4NBK5CXF5TZHU1234
Name : TestUser
Path : /
Type : USER

Esempio 1: Questo esempio recupera i dettagli del certificato di firma associato all’utente denominato Bob.

Get-IAMSigningCertificate -UserName Bob

Output:

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

Esempio 1: questo esempio recupera i dettagli dell’utente denominato David.

Get-IAMUser -UserName David

Output:

Arn              : arn:aws:iam::123456789012:user/David
CreateDate       : 12/10/2014 3:39:27 PM
PasswordLastUsed : 3/19/2015 8:44:04 AM
Path             : /
UserId           : Y4FKWQCXTA52QEXAMPLE1
UserName         : David

Esempio 2: questo esempio recupera i dettagli dell’utente IAM correntemente connesso.

Get-IAMUser

Output:

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 10/16/2014 9:03:09 AM
PasswordLastUsed : 3/4/2015 12:12:33 PM
Path             : /
UserId           : 7K3GJEANSKZF2EXAMPLE2
UserName         : Bob

Esempio 1: questo esempio recupera una raccolta di utenti nell’Account AWS corrente.

Get-IAMUserList

Output:

      Arn              : arn:aws:iam::123456789012:user/Administrator
      CreateDate       : 10/16/2014 9:03:09 AM
      PasswordLastUsed : 3/4/2015 12:12:33 PM
      Path             : /
      UserId           : 7K3GJEANSKZF2EXAMPLE1
      UserName         : Administrator
      
      Arn              : arn:aws:iam::123456789012:user/Bob
      CreateDate       : 4/6/2015 12:54:42 PM
      PasswordLastUsed : 1/1/0001 12:00:00 AM
      Path             : /
      UserId           : L3EWNONDOM3YUEXAMPLE2
      UserName         : bab
      
      Arn              : arn:aws:iam::123456789012:user/David
      CreateDate       : 12/10/2014 3:39:27 PM
      PasswordLastUsed : 3/19/2015 8:44:04 AM
      Path             : /
      UserId           : Y4FKWQCXTA52QEXAMPLE3
      UserName         : David

Esempio 1: questo esempio recupera i dettagli della policy in linea denominata Davids_IAM_Admin_Policy che è incorporata nell’utente IAM denominato David. Il documento di policy è codificato nell’URL.

$results = Get-IAMUserPolicy -PolicyName Davids_IAM_Admin_Policy -UserName David
$results

Output:

PolicyDocument                                            PolicyName                    UserName
--------------                                            ----------                    --------
%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%...    Davids_IAM_Admin_Policy       David

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.PolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetUser",
        "iam:ListUsers"
      ],
      "Resource": [
        "arn:aws:iam::111122223333:user/*"
      ]
    }
  ]
}

Esempio 1: questo esempio recupera l’elenco dei nomi delle policy in linea incorporate nell’utente IAM denominato David.

Get-IAMUserPolicyList -UserName David

Output:

Davids_IAM_Admin_Policy

Esempio 1: questo esempio recupera il tag associato all’utente.

Get-IAMUserTagList -UserName joe

Esempio 1: questo esempio recupera una raccolta di dispositivi MFA virtuali assegnati agli utenti dell’account AWS. La proprietà User di ciascuno è un oggetto con i dettagli dell’utente IAM a cui è assegnato il dispositivo.

Get-IAMVirtualMFADevice -AssignmentStatus Assigned

Output:

Base32StringSeed : 
EnableDate       : 4/13/2015 12:03:42 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/David
User             : Amazon.IdentityManagement.Model.User

Base32StringSeed : 
EnableDate       : 4/13/2015 12:06:41 PM
QRCodePNG        : 
SerialNumber     : arn:aws:iam::123456789012:mfa/root-account-mfa-device
User             : Amazon.IdentityManagement.Model.User

Esempio 1: questo esempio crea una nuova chiave di accesso e una coppia di chiavi di accesso segrete e le assegna all’utente David. Assicurati di salvare i valori AccessKeyId e SecretAccessKey in un file perché questa è l’unica volta in cui puoi ottenere il SecretAccessKey. Non puoi recuperarla in un secondo momento. Se perdi la chiave segreta, dovrai creare una nuova coppia di chiavi di accesso.

New-IAMAccessKey -UserName David

Output:

AccessKeyId     : AKIAIOSFODNN7EXAMPLE
CreateDate      : 4/13/2015 1:00:42 PM
SecretAccessKey : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Status          : Active
UserName        : David

Esempio 1: questo esempio modifica l’alias dell’account per il tuo account AWS in mycompanyaws. L’indirizzo della pagina di accesso dell’utente cambia in https://mycompanyaws.signin.aws.amazon.com/console. L’URL originale che utilizza il numero ID dell’account anziché l’alias (https://<accountidnumber>.signin.aws.amazon.com/console) continua a funzionare. Tuttavia, tutti gli URL basati su alias precedentemente definiti smettono di funzionare.

New-IAMAccountAlias -AccountAlias mycompanyaws

Esempio 1: questo esempio crea un nuovo gruppo IAM denominato Developers.

New-IAMGroup -GroupName Developers

Output:

Arn        : arn:aws:iam::123456789012:group/Developers
CreateDate : 4/14/2015 11:21:31 AM
GroupId    : QNEJ5PM4NFSQCEXAMPLE1
GroupName  : Developers
Path       : /

Esempio 1: questo esempio crea un nuovo profilo dell’istanza IAM denominato ProfileForDevEC2Instance. È necessario eseguire il comando Add-IAMRoleToInstanceProfile separatamente per associare il profilo dell’istanza a un ruolo IAM esistente che fornisce le autorizzazioni all’istanza. Infine, collega il profilo dell’istanza a un’istanza EC2 all’avvio. A tale scopo, utilizza il cmdlet New-EC2Instance con il parametro InstanceProfile_Arn o InstanceProfile_Name.

New-IAMInstanceProfile -InstanceProfileName ProfileForDevEC2Instance

Output:

Arn                 : arn:aws:iam::123456789012:instance-profile/ProfileForDevEC2Instance
CreateDate          : 4/14/2015 11:31:39 AM
InstanceProfileId   : DYMFXL556EY46EXAMPLE1
InstanceProfileName : ProfileForDevEC2Instance
Path                : /
Roles               : {}

Esempio 1: questo esempio crea una password (temporanea) per l’utente IAM Bob e imposta l’indicatore che richiede all’utente di modificare la password al successivo accesso di Bob.

New-IAMLoginProfile -UserName Bob -Password P@ssw0rd -PasswordResetRequired $true

Output:

CreateDate                    PasswordResetRequired                UserName
----------                    ---------------------                --------
4/14/2015 12:26:30 PM         True                                 Bob

Esempio 1: questo esempio crea un provider OIDC IAM associato al servizio del provider compatibile con OIDC che si trova nell’URL https://example.oidcprovider.com e nell’ID client my-testapp-1. Il provider OIDC fornisce l’impronta digitale. Per autenticare l’impronta digitale, segui la procedura all’indirizzo http://docs.aws.amazon.com/IAM/latest/UserGuide/identity-providers-oidc-obtain-thumbprint.html.

New-IAMOpenIDConnectProvider -Url https://example.oidcprovider.com -ClientIDList my-testapp-1 -ThumbprintList 990F419EXAMPLEECF12DDEDA5EXAMPLE52F20D9E

Output:

arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Esempio 1: questo esempio crea una nuova policy IAM nell’account AWS corrente denominato MySamplePolicy. Il file MySamplePolicy.json fornisce il contenuto della policy. Tenere presente che per elaborare correttamente il file della policy JSON è necessario utilizzare il parametro di cambio -Raw.

New-IAMPolicy -PolicyName MySamplePolicy -PolicyDocument (Get-Content -Raw MySamplePolicy.json)

Output:

Arn              : arn:aws:iam::123456789012:policy/MySamplePolicy
AttachmentCount  : 0
CreateDate       : 4/14/2015 2:45:59 PM
DefaultVersionId : v1
Description      : 
IsAttachable     : True
Path             : /
PolicyId         : LD4KP6HVFE7WGEXAMPLE1
PolicyName       : MySamplePolicy
UpdateDate       : 4/14/2015 2:45:59 PM

Esempio 1: questo esempio crea una nuova versione "v2" della policy IAM il cui ARN è arn:aws:iam::123456789012:policy/MyPolicy e la rende la versione predefinita. Il file NewPolicyVersion.json fornisce il contenuto della policy. Tenere presente che per elaborare correttamente il file della policy JSON è necessario utilizzare il parametro di cambio -Raw.

New-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -PolicyDocument (Get-content -Raw NewPolicyVersion.json) -SetAsDefault $true

Output:

CreateDate                           Document                  IsDefaultVersion             VersionId
----------                           --------                  ----------------             ---------
4/15/2015 10:54:54 AM                                          True                         v2

Esempio 1: questo esempio crea un nuovo ruolo denominato MyNewRole e collega la policy trovata nel file NewRoleTrustPolicy.json. Tenere presente che per elaborare correttamente il file della policy JSON è necessario utilizzare il parametro di cambio -Raw. Il documento di policy visualizzato nell’output è codificato nell’URL. In questo esempio viene decodificato con il metodo UrlDecode .NET.

$results = New-IAMRole -AssumeRolePolicyDocument (Get-Content -raw NewRoleTrustPolicy.json) -RoleName MyNewRole
$results

Output:

Arn                      : arn:aws:iam::123456789012:role/MyNewRole
AssumeRolePolicyDocument : %7B%0D%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0D%0A%20%20%22Statement%22
                           %3A%20%5B%0D%0A%20%20%20%20%7B%0D%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C
                           %0D%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0D%0A%20%20%20%20%20%20
                           %22Principal%22%3A%20%7B%0D%0A%20%20%20%20%20%20%20%20%22AWS%22%3A%20%22arn%3Aaws
                           %3Aiam%3A%3A123456789012%3ADavid%22%0D%0A%20%20%20%20%20%20%7D%2C%0D%0A%20%20%20
                           %20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0D%0A%20%20%20%20%7D%0D%0A%20
                           %20%5D%0D%0A%7D
CreateDate               : 4/15/2015 11:04:23 AM
Path                     : /
RoleId                   : V5PAJI2KPN4EAEXAMPLE1
RoleName                 : MyNewRole

[System.Reflection.Assembly]::LoadWithPartialName("System.Web.HttpUtility")
[System.Web.HttpUtility]::UrlDecode($results.AssumeRolePolicyDocument)
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:David"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Esempio 1: questo esempio crea una nuova entità per il provider SAML in IAM. È denominato MySAMLProvider ed è descritto dal documento di metadati SAML contenuto nel file SAMLMetaData.xml, che è stato scaricato separatamente dal sito web del provider di servizi SAML.

New-IAMSAMLProvider -Name MySAMLProvider -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

Output:

arn:aws:iam::123456789012:saml-provider/MySAMLProvider

Esempio 1: questo esempio crea un ruolo collegato ai servizi per il servizio di scalabilità automatica.

New-IAMServiceLinkedRole -AWSServiceName autoscaling.amazonaws.com -CustomSuffix RoleNameEndsWithThis -Description "My service-linked role to support autoscaling"

Esempio 1: questo esempio crea un utente IAM denominato Bob. Se Bob deve accedere alla console AWS, devi eseguire separatamente il comando New-IAMLoginProfile per creare un profilo di accesso con una password. Se Bob deve eseguire AWS PowerShell o comandi CLI multipiattaforma o effettuare chiamate API AWS, è necessario eseguire il comando New-IAMAccessKey separatamente per creare le chiavi di accesso.

New-IAMUser -UserName Bob

Output:

Arn              : arn:aws:iam::123456789012:user/Bob
CreateDate       : 4/22/2015 12:02:11 PM
PasswordLastUsed : 1/1/0001 12:00:00 AM
Path             : /
UserId           : AIDAJWGEFDMEMEXAMPLE1
UserName         : Bob

Esempio 1: questo esempio crea un nuovo dispositivo MFA virtuale. Le righe 2 e 3 estraggono il valore Base32StringSeed necessario al programma software MFA virtuale per creare un account (in alternativa al codice QR). Dopo aver configurato il programma con il valore, ottieni due codici di autenticazione sequenziali dal programma. Infine, utilizza l’ultimo comando per collegare il dispositivo MFA virtuale all’utente IAM Bob e sincronizzare l’account con i due codici di autenticazione.

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$SR = New-Object System.IO.StreamReader($Device.Base32StringSeed)
$base32stringseed = $SR.ReadToEnd()
$base32stringseed   
CZWZMCQNW4DEXAMPLE3VOUGXJFZYSUW7EXAMPLECR4NJFD65GX2SLUDW2EXAMPLE

Output:

-- Pause here to enter base-32 string seed code into virtual MFA program to register account. --

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

Esempio 2: questo esempio crea un nuovo dispositivo MFA virtuale. Le righe 2 e 3 estraggono il valore QRCodePNG e lo scrivono in un file. Questa immagine può essere scansionata dal programma software MFA virtuale per creare un account (in alternativa all’immissione manuale del valore Base32StringSeed). Dopo aver creato l’account nel tuo programma MFA virtuale, ottieni due codici di autenticazione sequenziali e inseriscili negli ultimi comandi per collegare il dispositivo MFA virtuale all’utente IAM Bob e sincronizzare l’account.

$Device = New-IAMVirtualMFADevice -VirtualMFADeviceName BobsMFADevice
$BR = New-Object System.IO.BinaryReader($Device.QRCodePNG)
$BR.ReadBytes($BR.BaseStream.Length) | Set-Content -Encoding Byte -Path QRCode.png

Output:

 -- Pause here to scan PNG with virtual MFA program to register account. -- 

Enable-IAMMFADevice -SerialNumber $Device.SerialNumber -UserName Bob -AuthenticationCode1 123456 -AuthenticationCode2 789012

Esempio 1: questo esempio carica un nuovo certificato server sull’account IAM. I file contenenti il corpo del certificato, la chiave privata e (facoltativamente) la catena di certificati devono tutti essere codificati con PEM. Tieni presente che i parametri richiedono il contenuto effettivo dei file e non i nomi dei file. Per elaborare correttamente il contenuto del file JSON è necessario utilizzare il parametro di cambio -Raw.

Publish-IAMServerCertificate -ServerCertificateName MyTestCert -CertificateBody (Get-Content -Raw server.crt) -PrivateKey (Get-Content -Raw server.key)

Output:

Arn                   : arn:aws:iam::123456789012:server-certificate/MyTestCert
Expiration            : 1/14/2018 9:52:36 AM
Path                  : /
ServerCertificateId   : ASCAJIEXAMPLE7J7HQZYW
ServerCertificateName : MyTestCert
UploadDate            : 4/21/2015 11:14:16 AM

Esempio 1: questo esempio carica un nuovo certificato di firma X.509 e lo associa all’utente IAM denominato Bob. Il file contenente il corpo del certificato è codificato in PEM. Il parametro CertificateBody richiede il contenuto effettivo del file e non il nome del file. Per elaborare correttamente il file è necessario utilizzare il parametro di cambio -Raw.

Publish-IAMSigningCertificate -UserName Bob -CertificateBody (Get-Content -Raw SampleSigningCert.pem)

Output:

CertificateBody : -----BEGIN CERTIFICATE-----
                  MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
                  VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
                  b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
                  BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
                  MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
                  VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
                  b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
                  YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
                  21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
                  rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
                  Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
                  nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
                  FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
                  NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
                  -----END CERTIFICATE-----
CertificateId   : Y3EK7RMEXAMPLESV33FCEXAMPLEHMJLU
Status          : Active
UploadDate      : 4/20/2015 1:26:01 PM
UserName        : Bob

Esempio 1: questo esempio collega la policy gestita dal cliente denominata TesterPolicy al gruppo IAM Testers. Gli utenti di quel gruppo sono immediatamente interessati dalle autorizzazioni definite nella versione predefinita di tale policy.

Register-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

Esempio 2: questo esempio collega la policy gestita da AWS denominata AdministratorAccess al gruppo IAM Admins. Gli utenti di quel gruppo sono immediatamente interessati dalle autorizzazioni definite nella versione predefinita di tale policy.

Register-IAMGroupPolicy -GroupName Admins -PolicyArn arn:aws:iam::aws:policy/AdministratorAccess

Esempio 1: questo esempio collega la policy gestita da AWS denominata SecurityAudit al ruolo IAM CoSecurityAuditors. Gli utenti che assumo quel ruolo sono immediatamente interessati dalle autorizzazioni definite nella versione predefinita di tale policy.

Register-IAMRolePolicy -RoleName CoSecurityAuditors -PolicyArn arn:aws:iam::aws:policy/SecurityAudit

Esempio 1: questo esempio collega la policy gestita da AWS denominata AmazonCognitoPowerUser all’utente IAM Bob. L’utente è immediatamente interessato dalle autorizzazioni definite nella versione più recente di tale policy.

Register-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::aws:policy/AmazonCognitoPowerUser

Esempio 1: questo esempio elimina la coppia di chiavi di accesso AWS con l’ID della chiave AKIAIOSFODNN7EXAMPLE dall’utente denominato Bob.

Remove-IAMAccessKey -AccessKeyId AKIAIOSFODNN7EXAMPLE -UserName Bob -Force

Esempio 1: questo esempio rimuove l’alias dell’account dal tuo Account AWS. La pagina di accesso utente con l’alias all’indirizzo https://mycompanyaws.signin.aws.amazon.com/console non funziona più. Devi invece utilizzare l’URL originale con il tuo numero ID Account AWS su https://<accountidnumber>.signin.aws.amazon.com/console.

Remove-IAMAccountAlias -AccountAlias mycompanyaws

Esempio 1: questo esempio elimina la policy delle password per Account AWS e ripristina tutti i valori ai valori predefiniti originali. Se attualmente non esiste una policy per le password, viene visualizzato il seguente messaggio di errore: Impossibile trovare la policy dell’account con nome PasswordPolicy.

Remove-IAMAccountPasswordPolicy

Esempio 1: questo esempio rimuove l’ID client My-TestApp-3 dall’elenco degli ID client associati al provider OIDC per IAM il cui ARN è arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

Remove-IAMClientIDFromOpenIDConnectProvider -ClientID My-TestApp-3 -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Esempio 1: questo esempio elimina il gruppo IAM denominato MyTestGroup. Il primo comando rimuove tutti gli utenti IAM che sono membri del gruppo e il secondo comando elimina il gruppo IAM. Entrambi i comandi funzionano senza alcuna richiesta di conferma.

(Get-IAMGroup -GroupName MyTestGroup).Users | Remove-IAMUserFromGroup -GroupName MyTestGroup -Force
Remove-IAMGroup -GroupName MyTestGroup -Force

Esempio 1: questo esempio rimuove la policy in linea denominata TesterPolicy dal gruppo IAM Testers. Gli utenti di quel gruppo perdono immediatamente le autorizzazioni definite in tale policy.

Remove-IAMGroupPolicy -GroupName Testers -PolicyName TestPolicy

Esempio 1: questo esempio elimina il profilo dell’istanza EC2 denominato MyAppInstanceProfile. Il primo comando scollega tutti i ruoli dal profilo dell’istanza, quindi il secondo comando elimina il profilo dell’istanza.

(Get-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile).Roles | Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyAppInstanceProfile
Remove-IAMInstanceProfile -InstanceProfileName MyAppInstanceProfile

Esempio 1: questo esempio elimina il profilo di accesso dall’utente IAM denominato Bob. Ciò impedisce all’utente di accedere alla console AWS. Non impedisce all’utente di eseguire AWS CLI, PowerShell o chiamate API utilizzando chiavi di accesso AWS che potrebbero essere ancora collegate all’account utente.

Remove-IAMLoginProfile -UserName Bob

Esempio 1: questo esempio elimina il provider OIDC IAM che si connette al provider example.oidcprovider.com. Assicurati di aggiornare o eliminare tutti i ruoli che fanno riferimento a questo provider nell’elemento Principal della policy di attendibilità del ruolo.

Remove-IAMOpenIDConnectProvider -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Esempio 1: questo esempio elimina la policy il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy. Prima di poter eliminare la policy, devi prima eliminare tutte le versioni tranne quella predefinita eseguendo Remove-IAMPolicyVersion. È inoltre necessario scollegare la policy da qualsiasi utente, gruppo o ruolo IAM.

Remove-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy

Esempio 2: questo esempio elimina una policy eliminando prima tutte le versioni non predefinite della policy, scollegandola da tutte le entità IAM collegate ed eliminando quindi la policy stessa. La prima riga recupera l’oggetto della policy. La seconda riga recupera tutte le versioni della policy che non sono contrassegnate come versione predefinita in una raccolta e quindi elimina ogni policy nella raccolta. La terza riga recupera tutti gli utenti, i gruppi e i ruoli IAM a cui è collegata la policy. Le righe da quattro a sei scollegano la policy da ogni entità collegata. L’ultima riga utilizza questo comando per rimuovere la policy gestita e la versione predefinita rimanente. L’esempio include il parametro di cambio -Force su qualsiasi riga che lo richieda per sopprimere le richieste di conferma.

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
$attached = Get-IAMEntitiesForPolicy -PolicyArn $pol.Arn
$attached.PolicyGroups | Unregister-IAMGroupPolicy -PolicyArn $pol.arn
$attached.PolicyRoles | Unregister-IAMRolePolicy -PolicyArn $pol.arn
$attached.PolicyUsers | Unregister-IAMUserPolicy -PolicyArn $pol.arn
Remove-IAMPolicy $pol.Arn -Force

Esempio 1: questo esempio elimina la versione identificata come v2 dalla policy il cui ARN è arn:aws:iam::123456789012:policy/MySamplePolicy.

Remove-IAMPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy -VersionID v2

Esempio 2: questo esempio elimina una policy eliminando prima tutte le versioni non predefinite della policy e quindi eliminando la policy stessa. La prima riga recupera l’oggetto della policy. La seconda riga recupera tutte le versioni della policy che non sono contrassegnate come predefinite in una raccolta e quindi utilizza questo comando per eliminare ogni policy nella raccolta. L’ultima riga rimuove la policy stessa e la versione predefinita rimanente. Tieni presente che per eliminare correttamente una policy gestita, devi anche scollegare la policy da qualsiasi utente, gruppo o ruolo utilizzando i comandi Unregister-IAMUserPolicy, Unregister-IAMGroupPolicy e Unregister-IAMRolePolicy. Vedere l’esempio per il cmdlet Remove-IAMPolicy.

$pol = Get-IAMPolicy -PolicyArn arn:aws:iam::123456789012:policy/MySamplePolicy
Get-IAMPolicyVersions -PolicyArn $pol.Arn | where {-not $_.IsDefaultVersion} | Remove-IAMPolicyVersion -PolicyArn $pol.Arn -force
Remove-IAMPolicy -PolicyArn $pol.Arn -force

Esempio 1: questo esempio elimina il ruolo denominato MyNewRole dall’account IAM corrente. Prima di poter eliminare il ruolo, devi utilizzare il comando Unregister-IAMRolePolicy per scollegare eventuali policy gestite. Le policy in linea vengono eliminate con il ruolo.

Remove-IAMRole -RoleName MyNewRole

Esempio 2: questo esempio rimuove tutte le policy gestite dal ruolo denominato MyNewRole e quindi elimina il ruolo. La prima riga recupera tutte le policy gestite collegate al ruolo come raccolta e quindi le scollega dal ruolo. La seconda riga elimina il ruolo stesso. Le policy in linea vengono eliminate insieme al ruolo.

Get-IAMAttachedRolePolicyList -RoleName MyNewRole | Unregister-IAMRolePolicy -RoleName MyNewRole
Remove-IAMRole -RoleName MyNewRole

Esempio 1: questo esempio elimina il ruolo denominato MyNewRole dal profilo di istanza EC2 denominato MyNewRole. Un profilo dell’istanza creato nella console IAM ha sempre lo stesso nome del ruolo, come in questo esempio. Se li crei nell’API o nella CLI, possono avere nomi diversi.

Remove-IAMRoleFromInstanceProfile -InstanceProfileName MyNewRole -RoleName MyNewRole -Force

Esempio 1: questo esempio mostra come rimuovere il limite delle autorizzazioni associato a un ruolo IAM.

Remove-IAMRolePermissionsBoundary -RoleName MyRoleName

Esempio 1: questo esempio elimina la policy in linea S3AccessPolicy che è incorporata nel ruolo IAM S3BackupRole.

Remove-IAMRolePolicy -PolicyName S3AccessPolicy -RoleName S3BackupRole

Esempio 1: questo esempio rimuove il tag dal ruolo denominato "MyRoleName" con la chiave di tag "abac". Per rimuovere più tag, fornisci un elenco di chiavi di tag separate da virgole.

Remove-IAMRoleTag -RoleName MyRoleName -TagKey "abac","xyzw"

Esempio 1: questo esempio elimina il provider SAML 2.0 IAM il cui ARN è arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

Remove-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Esempio 1: questo esempio elimina il certificato server denominato MyServerCert.

Remove-IAMServerCertificate -ServerCertificateName MyServerCert

Esempio 1: questo esempio ha eliminato il ruolo collegato al servizio. Tieni presente che se il servizio utilizza ancora questo ruolo, allora questo comando genererà un errore.

Remove-IAMServiceLinkedRole -RoleName AWSServiceRoleForAutoScaling_RoleNameEndsWithThis

Esempio 1: questo esempio elimina il certificato di firma con l’ID Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU dell’utente IAM denominato Bob.

Remove-IAMSigningCertificate -UserName Bob -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU

Esempio 1: questo esempio elimina l’utente IAM denominato Bob.

Remove-IAMUser -UserName Bob

Esempio 2: questo esempio elimina l’utente IAM denominato Theresa insieme a tutti gli elementi che devono essere eliminati per primi.

$name = "Theresa"

# find any groups and remove user from them
$groups = Get-IAMGroupForUser -UserName $name
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName $name -Force }

# find any inline policies and delete them
$inlinepols = Get-IAMUserPolicies -UserName $name
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName $name -Force}

# find any managed polices and detach them
$managedpols = Get-IAMAttachedUserPolicies -UserName $name
foreach ($pol in $managedpols) { Unregister-IAMUserPolicy -PolicyArn $pol.PolicyArn -UserName $name }

# find any signing certificates and delete them
$certs = Get-IAMSigningCertificate -UserName $name
foreach ($cert in $certs) { Remove-IAMSigningCertificate -CertificateId $cert.CertificateId -UserName $name -Force }

# find any access keys and delete them
$keys = Get-IAMAccessKey -UserName $name
foreach ($key in $keys) { Remove-IAMAccessKey -AccessKeyId $key.AccessKeyId -UserName $name -Force }

# delete the user's login profile, if one exists - note: need to use try/catch to suppress not found error
try { $prof = Get-IAMLoginProfile -UserName $name -ea 0 } catch { out-null }
if ($prof) { Remove-IAMLoginProfile -UserName $name -Force }

# find any MFA device, detach it, and if virtual, delete it.
$mfa = Get-IAMMFADevice -UserName $name
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

# finally, remove the user
Remove-IAMUser -UserName $name -Force

Esempio 1: questo esempio rimuove l’utente IAM Bob dal gruppo Testers.

Remove-IAMUserFromGroup -GroupName Testers -UserName Bob

Esempio 2: questo esempio trova tutti i gruppi di cui l’utente IAM Theresa è membro e quindi rimuove Theresa da tali gruppi.

$groups = Get-IAMGroupForUser -UserName Theresa 
foreach ($group in $groups) { Remove-IAMUserFromGroup -GroupName $group.GroupName -UserName Theresa -Force }

Esempio 3: questo esempio mostra un modo alternativo per rimuovere l’utente IAM Bob dal gruppo Testers.

Get-IAMGroupForUser -UserName Bob | Remove-IAMUserFromGroup -UserName Bob -GroupName Testers -Force

Esempio 1: questo esempio mostra come rimuovere il limite delle autorizzazioni associato a un utente IAM.

Remove-IAMUserPermissionsBoundary -UserName joe

Esempio 1: questo esempio elimina la policy in linea denominata AccessToEC2Policy che è incorporata nell’utente IAM denominato Bob.

Remove-IAMUserPolicy -PolicyName AccessToEC2Policy -UserName Bob

Esempio 2: questo esempio trova tutte le policy in linea incorporate nell’utente IAM denominato Theresa e quindi le elimina.

$inlinepols = Get-IAMUserPolicies -UserName Theresa
foreach ($pol in $inlinepols) { Remove-IAMUserPolicy -PolicyName $pol -UserName Theresa -Force}

Esempio 1: questo esempio rimuove il tag dall’utente denominato "joe" con la chiave di tag "abac" e "xyzw". Per rimuovere più tag, fornisci un elenco di chiavi di tag separate da virgole.

Remove-IAMUserTag -UserName joe -TagKey "abac","xyzw"

Esempio 1: questo esempio elimina il dispositivo MFA virtuale IAM il cui ARN è. arn:aws:iam::123456789012:mfa/bob.

Remove-IAMVirtualMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/bob

Esempio 2: questo esempio verifica se all’utente IAM Theresa è assegnato un dispositivo MFA. Se ne viene trovato uno, il dispositivo viene disabilitato per l’utente IAM. Se il dispositivo è virtuale, anch’esso viene eliminato.

$mfa = Get-IAMMFADevice -UserName Theresa
if ($mfa) { 
    Disable-IAMMFADevice -SerialNumber $mfa.SerialNumber -UserName $name 
    if ($mfa.SerialNumber -like "arn:*") { Remove-IAMVirtualMFADevice -SerialNumber $mfa.SerialNumber }
}

Esempio 1: questo esempio richiede la generazione di un nuovo report, operazione che può essere eseguita ogni quattro ore. Se l’ultimo report è ancora recente, il campo Stato riporta COMPLETE. Utilizzare Get-IAMCredentialReport per visualizzare il report completato.

Request-IAMCredentialReport

Output:

Description                                                    State
-----------                                                    -----
No report exists. Starting a new report generation task        STARTED

Esempio 1: questo esempio è un cmdlet equivalente all’API GenerateServiceLastAccessedDetails. Ciò fornisce un ID processo che può essere utilizzato in Get-IAMServiceLastAccessedDetail e Get-IAMServiceLastAccessedDetailWithEntity

Request-IAMServiceLastAccessedDetail -Arn arn:aws:iam::123456789012:user/TestUser

Esempio 1: questo esempio imposta la versione v2 della policy il cui ARN è arn:aws:iam::123456789012:policy/MyPolicy come versione attiva predefinita.

Set-IAMDefaultPolicyVersion -PolicyArn arn:aws:iam::123456789012:policy/MyPolicy -VersionId v2

Esempio 1: questo esempio mostra come impostare il limite delle autorizzazioni per un ruolo IAM. È possibile impostare policy gestite da AWS o policy personalizzate come limite delle autorizzazioni.

Set-IAMRolePermissionsBoundary -RoleName MyRoleName -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

Esempio 1: questo esempio mostra come impostare il limite delle autorizzazioni per l’utente. È possibile impostare policy gestite da AWS o policy personalizzate come limite delle autorizzazioni.

Set-IAMUserPermissionsBoundary -UserName joe -PermissionsBoundary arn:aws:iam::123456789012:policy/intern-boundary

Esempio 1: questo esempio sincronizza il dispositivo MFA associato all’utente IAM Bob e il cui ARN è arn:aws:iam::123456789012:mfa/bob con un programma di autenticazione che ha fornito i due codici di autenticazione.

Sync-IAMMFADevice -SerialNumber arn:aws:iam::123456789012:mfa/theresa -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Bob

Esempio 2: questo esempio sincronizza il dispositivo MFA IAM associato all’utente IAM Theresa con un dispositivo fisico che ha il numero di serie ABCD12345678 e che ha fornito i due codici di autenticazione.

Sync-IAMMFADevice -SerialNumber ABCD12345678 -AuthenticationCode1 123456 -AuthenticationCode2 987654 -UserName Theresa

Esempio 1: questo esempio scollega la policy del gruppo gestita il cui ARN è arn:aws:iam::123456789012:policy/TesterAccessPolicy dal gruppo denominato Testers.

Unregister-IAMGroupPolicy -GroupName Testers -PolicyArn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Esempio 2: questo esempio trova tutte le policy gestite collegate al gruppo denominato Testers e le scollega dal gruppo.

Get-IAMAttachedGroupPolicies -GroupName Testers | Unregister-IAMGroupPolicy -Groupname Testers

Esempio 1: questo esempio scollega la policy del gruppo gestita il cui ARN è arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy dal ruolo denominato FedTesterRole.

Unregister-IAMRolePolicy -RoleName FedTesterRole -PolicyArn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Esempio 2: questo esempio trova tutte le policy gestite collegate al ruolo denominato FedTesterRole e le scollega dal ruolo.

Get-IAMAttachedRolePolicyList -RoleName FedTesterRole | Unregister-IAMRolePolicy -Rolename FedTesterRole

Esempio 1: questo esempio scollega la policy gestita il cui ARN è arn:aws:iam::123456789012:policy/TesterPolicy dall’utente IAM denominato Bob.

Unregister-IAMUserPolicy -UserName Bob -PolicyArn arn:aws:iam::123456789012:policy/TesterPolicy

Esempio 2: questo esempio trova tutte le policy gestite collegate all’utente IAM denominato Theresa e le scollega dall’utente.

Get-IAMAttachedUserPolicyList -UserName Theresa | Unregister-IAMUserPolicy -Username Theresa

Esempio 1: questo esempio modifica lo stato della chiave di accesso AKIAIOSFODNN7EXAMPLE per l’utente IAM denominato Bob in Inactive.

Update-IAMAccessKey -UserName Bob -AccessKeyId AKIAIOSFODNN7EXAMPLE -Status Inactive

Esempio 1: questo esempio aggiorna la policy delle password per l’account con le impostazioni specificate. Tenere presente che tutti i parametri non inclusi nel comando non vengono lasciati invariati. Vengono invece ripristinati ai valori predefiniti.

Update-IAMAccountPasswordPolicy -AllowUsersToChangePasswords $true -HardExpiry $false -MaxPasswordAge 90 -MinimumPasswordLength 8 -PasswordReusePrevention 20 -RequireLowercaseCharacters $true -RequireNumbers $true -RequireSymbols $true -RequireUppercaseCharacters $true

Esempio 1: questo esempio aggiorna il ruolo IAM denominato ClientRole con una nuova policy di attendibilità, il cui contenuto proviene dal file ClientRolePolicy.json. Tenere presente che per elaborare correttamente il contenuto del file JSON è necessario utilizzare il parametro di cambio -Raw.

Update-IAMAssumeRolePolicy -RoleName ClientRole -PolicyDocument (Get-Content -raw ClientRolePolicy.json)

Esempio 1: questo esempio rinomina il gruppo IAM Testers in AppTesters.

Update-IAMGroup -GroupName Testers -NewGroupName AppTesters

Esempio 2: questo esempio modifica il percorso del gruppo IAM AppTesters in /Org1/Org2/. Questo modifica l’ARN del gruppo in arn:aws:iam::123456789012:group/Org1/Org2/AppTesters.

Update-IAMGroup -GroupName AppTesters -NewPath /Org1/Org2/

Esempio 1: questo esempio imposta una nuova password temporanea per l’utente IAM Bob e richiede all’utente di modificare la password al successivo accesso.

Update-IAMLoginProfile -UserName Bob -Password "P@ssw0rd1234" -PasswordResetRequired $true

Esempio 1: questo esempio aggiorna l’elenco delle impronte digitali dei certificati per il provider OIDC il cui ARN è arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com per utilizzare una nuova impronta digitale. Il provider OIDC condivide il nuovo valore quando il certificato associato al provider cambia.

Update-IAMOpenIDConnectProviderThumbprint -OpenIDConnectProviderArn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com -ThumbprintList 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Esempio 1: questo esempio aggiorna la descrizione del ruolo e il valore della durata massima della sessione (in secondi) per cui è possibile richiedere la sessione di un ruolo.

Update-IAMRole -RoleName MyRoleName -Description "My testing role" -MaxSessionDuration 43200

Esempio 1: questo esempio aggiorna la descrizione di un ruolo IAM nel tuo account.

Update-IAMRoleDescription -RoleName MyRoleName -Description "My testing role"

Esempio 1: questo esempio aggiorna il provider SAML in IAM il cui ARN è arn:aws:iam::123456789012:saml-provider/SAMLADFS con un nuovo documento di metadati SAML dal file SAMLMetaData.xml. Tenere presente che per elaborare correttamente il contenuto del file JSON è necessario utilizzare il parametro di cambio -Raw.

Update-IAMSAMLProvider -SAMLProviderArn arn:aws:iam::123456789012:saml-provider/SAMLADFS -SAMLMetadataDocument (Get-Content -Raw SAMLMetaData.xml)

Esempio 1: questo esempio rinomina il certificato denominato MyServerCertificate in MyRenamedServerCertificate.

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewServerCertificateName MyRenamedServerCertificate

Esempio 2: questo esempio sposta il certificato denominato MyServerCertificate nel percorso /Org1/Org2/. Questo modifica l’ARN della risorsa in arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyServerCertificate.

Update-IAMServerCertificate -ServerCertificateName MyServerCertificate -NewPath /Org1/Org2/

Esempio 1: questo esempio aggiorna il certificato associato all’utente IAM denominato Bob e il cui ID certificato per contrassegnarlo come inattivo è Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU.

Update-IAMSigningCertificate -CertificateId Y3EK7RMEXAMPLESV33FCREXAMPLEMJLU -UserName Bob -Status Inactive

Esempio 1: questo esempio rinomina l’utente IAM Bob in Robert.

Update-IAMUser -UserName Bob -NewUserName Robert

Esempio 2: questo esempio modifica il percorso dell’utente IAM Bob in /Org1/Org2/, il che modifica effettivamente l’ARN dell’utente in arn:aws:iam::123456789012:user/Org1/Org2/bob.

Update-IAMUser -UserName Bob -NewPath /Org1/Org2/

Esempio 1: questo esempio crea una policy in linea denominata AppTesterPolicy e la incorpora nel gruppo IAM AppTesters. Se esiste già una policy in linea con lo stesso nome, quest’ultima sarà sovrascritta. Il contenuto della policy JSON viene fornito nel file apptesterpolicy.json. Si noti che per elaborare correttamente il contenuto del file JSON è necessario utilizzare il parametro -Raw.

Write-IAMGroupPolicy -GroupName AppTesters -PolicyName AppTesterPolicy -PolicyDocument (Get-Content -Raw apptesterpolicy.json)

Esempio 1: questo esempio crea una policy in linea denominata FedTesterRolePolicy e la incorpora nel ruolo IAM FedTesterRole. Se esiste già una policy in linea con lo stesso nome, quest’ultima sarà sovrascritta. Il contenuto della policy JSON proviene dal file FedTesterPolicy.json. Si noti che per elaborare correttamente il contenuto del file JSON è necessario utilizzare il parametro -Raw.

Write-IAMRolePolicy -RoleName FedTesterRole -PolicyName FedTesterRolePolicy -PolicyDocument (Get-Content -Raw FedTesterPolicy.json)

Esempio 1: questo esempio crea una policy in linea denominata EC2AccessPolicy e la incorpora nell’utente IAM Bob. Se esiste già una policy in linea con lo stesso nome, quest’ultima sarà sovrascritta. Il contenuto della policy JSON proviene dal file EC2AccessPolicy.json. Si noti che per elaborare correttamente il contenuto del file JSON è necessario utilizzare il parametro -Raw.

Write-IAMUserPolicy -UserName Bob -PolicyName EC2AccessPolicy -PolicyDocument (Get-Content -Raw EC2AccessPolicy.json)