を使用した IAM の例 AWS CLI

Open-ID Connect (OIDC) プロバイダーにクライアント ID (対象者) を追加するには

次の add-client-id-to-open-id-connect-provider コマンドは、クライアント ID my-application-ID を server.example.com という名前の OIDC プロバイダーに追加します。

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

このコマンドでは何も出力されません。

OIDC プロバイダーを作成するには、create-open-id-connect-provider コマンドを使用します。

詳細については、「AWS IAM ユーザーガイド」の「IAM で OpenID Connect (OIDC) ID プロバイダーを作成する」を参照してください。

ロールをインスタンスプロファイルに追加するには

次の add-role-to-instance-profile コマンドは、S3Access という名前のロールを Webserver という名前のインスタンスプロファイルに追加します。

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

このコマンドでは何も出力されません。

インスタンスプロファイルを作成するには、create-instance-profile コマンドを使用します。

詳細については、AWS IAM ユーザーガイドの Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して許可を付与するを参照してください。

IAM グループにユーザーを追加するには

次の add-user-to-group コマンドは、Bob という名前の IAM ユーザーを Admins という名前の IAM グループに追加します。

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループへのユーザーの追加と削除」を参照してください。

管理ポリシーを IAM グループにアタッチするには

次のattach-group-policyコマンドは、 という名前の管理 AWS ポリシーReadOnlyAccessを という名前の IAM グループにアタッチしますFinance。

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「管理ポリシーとインラインポリシー」を参照してください。

管理ポリシーを IAM ロールにアタッチするには

次のattach-role-policyコマンドは、 という名前の管理 AWS ポリシーを という名前の IAM ロールReadOnlyAccessにアタッチしますReadOnlyRole。

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「管理ポリシーとインラインポリシー」を参照してください。

管理ポリシーを IAM ユーザーにアタッチするには

次のattach-user-policyコマンドは、 という名前の AWS マネージドポリシーAdministratorAccessを という名前の IAM ユーザーにアタッチしますAlice。

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「管理ポリシーとインラインポリシー」を参照してください。

IAM ユーザーのパスワードを変更するには

IAM ユーザーのパスワードを変更するには、--cli-input-json パラメータを使用して、古いパスワードと新しいパスワードを含む JSON ファイルを渡すことをお勧めします。この方法を使用すると、英数字以外の文字を含む強力なパスワードを使用できます。英数字以外の文字を含むパスワードをコマンドラインパラメータとして渡す場合、そのパスワードの使用が難しい場合があります。--cli-input-json パラメータを使用するには、まず次の例のように、change-password コマンドと --generate-cli-skeleton パラメータを組み合わせて使用します。

aws iam change-password \
    --generate-cli-skeleton > change-password.json

前のコマンドは change-password.json という名前の JSON ファイルを作成し、これを使用して古いパスワードと新しいパスワードを入力できます。例えば、ファイルは次のようになります。

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

次に、パスワードを変更するには、change-password コマンドをもう一度使用します。今度は、JSON ファイルを指定する --cli-input-json パラメータを渡します。次の change-password コマンドでは、change-password.json という名前の JSON ファイルと共に --cli-input-json パラメータを使用します。

aws iam change-password \
    --cli-input-json file://change-password.json

このコマンドでは何も出力されません。

このコマンドは、IAM ユーザーのみが呼び出すことができます。このコマンドが AWS アカウント (ルート) 認証情報を使用して呼び出された場合、コマンドはInvalidUserTypeエラーを返します。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーが自分のパスワードを変更する方法」を参照してください。

IAM ユーザーのアクセスキーを作成するには

次の create-access-key コマンドは、Bob という名前の IAM ユーザーのためにアクセスキー (アクセスキー ID とシークレットアクセスキー) を作成します。

aws iam create-access-key \
    --user-name Bob

出力:

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

シークレットアクセスキーを安全な場所に保管します。紛失した場合は回復できないため、新しいアクセスキーを作成する必要があります。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントエイリアスを作成するには

次のcreate-account-aliasコマンドは、examplecorp AWS アカウントのエイリアスを作成します。

aws iam create-account-alias \
    --account-alias examplecorp

このコマンドでは何も出力されません。

詳細については、AWS IAM ユーザーガイドの「 AWS アカウント ID とそのエイリアス」を参照してください。

IAM グループを作成するには

次の create-group コマンドは、Admins という名前の IAM グループを作成します。

aws iam create-group \
    --group-name Admins

出力:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループの作成」を参照してください。

インスタンスプロファイルを作成するには

次の create-instance-profile コマンドは、Webserver という名前のインスタンスプロファイルを作成します。

aws iam create-instance-profile \
    --instance-profile-name Webserver

出力:

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

インスタンスプロファイルにロールを追加するには、add-role-to-instance-profile コマンドを使用します。

詳細については、「AWS IAM ユーザーガイド」の「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス許可を付与する」を参照してください。

IAM ユーザーのパスワードを作成するには

IAM ユーザーのパスワードを作成するには、--cli-input-json パラメータを使用して、パスワードを含む JSON ファイルを渡すことをお勧めします。この方法を使用すると、英数字以外の文字を含む強力なパスワードを作成できます。英数字以外の文字を含むパスワードをコマンドラインパラメータとして渡す場合、そのパスワードの作成が難しい場合があります。

--cli-input-json パラメータを使用するには、まず次の例のように、create-login-profile コマンドと --generate-cli-skeleton パラメータを組み合わせて使用します。

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

前のコマンドでは、create-login-profile.json という名前の JSON ファイルが作成されます。このファイルを使用して、後続の create-login-profile コマンドの情報を入力できます。例:

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

次に、IAM ユーザーのパスワードを作成するには、create-login-profile コマンドをもう一度使用します。今度は、JSON ファイルを指定する --cli-input-json パラメータを渡します。次の create-login-profile コマンドでは、create-login-profile.json という名前の JSON ファイルと共に --cli-input-json パラメータを使用します。

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

出力:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

新しいパスワードがアカウントのパスワードポリシーに違反している場合、コマンドは PasswordPolicyViolation エラーを返します。

既にパスワードを持っているユーザーのパスワードを変更するには、update-login-profile を使用します。アカウントのパスワードポリシーを設定するには、update-account-password-policy コマンドを使用します。

アカウントのパスワードポリシーで許可されている場合、IAM ユーザーは change-password コマンドを使用して自分のパスワードを変更できます。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのパスワードの管理」を参照してください。

OpenID Connect (OIDC) プロバイダーを作成するには

OpenID Connect (OIDC) プロバイダーを作成するには、--cli-input-json パラメータを使用して、必要なパラメータを含む JSON ファイルを渡すことをお勧めします。OIDC プロバイダーを作成するときは、プロバイダーの URL を渡す必要があり、URL は https:// で始まる必要があります。コマンドライン環境によっては、コロン (:) とフォワードスラッシュ (/) の文字が特別な意味を持つため、URL をコマンドラインパラメータとして渡すのは難しい場合があります。この --cli-input-json パラメータを使用すると、この制限を回避できます。

--cli-input-json パラメータを使用するには、まず次の例のように、create-open-id-connect-provider コマンドと --generate-cli-skeleton パラメータを組み合わせて使用します。

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

前のコマンドでは、create-open-id-connect-provider.json という名前の JSON ファイルが作成されます。このファイルを使用して、後続の create-open-id-connect-provider コマンドの情報を入力できます。例:

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

次に、OpenID Connect (OIDC) プロバイダーを作成するには、create-open-id-connect-provider コマンドをもう一度使用します。今度は、JSON ファイルを指定する --cli-input-json パラメータを渡します。次の create-open-id-connect-provider コマンドでは、create-open-id-connect-provider.json という名前の JSON ファイルと共に --cli-input-json パラメータを使用します。

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

出力:

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

OIDC プロバイダーの詳細については、「AWS IAM ユーザーガイド」の「IAM で OpenID Connect (OIDC) ID プロバイダーを作成する」を参照してください。

OIDC プロバイダーのサムプリントの取得に関する詳細については、「AWS IAM ユーザーガイド」の「OpenID Connect ID プロバイダーのサムプリントを取得する」を参照してください。

新しいバージョンの管理ポリシーを作成するには

この例では、ARN が arn:aws:iam::123456789012:policy/MyPolicy である IAM ポリシーの新しい v2 バージョンを作成し、それをデフォルトのバージョンにします。

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

出力:

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ポリシーのバージョニング」を参照してください。

例 1: カスタマー管理ポリシーを作成するには

次のコマンドは、my-policy という名前でカスタマー管理ポリシーを作成します。このファイル policy.json は、現在のフォルダにある JSON ドキュメントで、amzn-s3-demo-bucket という名前の Amazon S3 バケット内の shared フォルダに対する読み取り専用アクセスを付与します。

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json

policy.json の内容:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/shared/*"
            ]
        }
    ]
}

出力:

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

文字列パラメータの入力としてファイルを使用する方法の詳細については、「 CLI ユーザーガイド」の「CLI AWS のパラメータ値を指定する」を参照してください。 AWS

例 2: 説明を含むカスタマー管理ポリシーを作成するには

次のコマンドは、変更不可能な説明を使用して my-policy という名前のカスタマー管理ポリシーを作成します。

このファイル policy.json は、amzn-s3-demo-bucket という名前の Amazon S3 バケットに対するすべての Put、List、および Get アクションへのアクセスを付与する、現在のフォルダにある JSON ドキュメントです。

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for amzn-s3-demo-bucket"

policy.json の内容:

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

出力:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

アイデンティティベースのポリシーの詳細については、「AWS IAM ユーザーガイド」の「アイデンティティベースおよびリソースベースのポリシー」を参照してください。

例 3: タグを使用してカスタマー管理ポリシーを作成するには

次のコマンドは、タグを使用して my-policy という名前のカスタマー管理ポリシーを作成します。この例では、次の JSON 形式のタグを持つ --tags パラメーターを使用します: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'。あるいは、--tags パラメーターを次の短縮形式のタグとともに使用することもできます: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'。

このファイル policy.json は、amzn-s3-demo-bucket という名前の Amazon S3 バケットに対するすべての Put、List、および Get アクションへのアクセスを付与する、現在のフォルダにある JSON ドキュメントです。

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

policy.json の内容:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

出力:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {
        ]
    }
}

ポリシーのタグ付けの詳細については、「AWS IAM ユーザーガイド」の「カスタマー管理ポリシーのタグ付け」を参照してください。

例 1: IAM ロールを作成するには

次の create-role コマンドは、Test-Role という名前のロールを作成し、それに信頼ポリシーをアタッチします。

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

出力:

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

信頼ポリシーは、Test-Role-Trust-Policy.json ファイル内で JSON ドキュメントとして定義されます。(ファイル名と拡張子には意味はありません。) 信頼ポリシーはプリンシパルを指定する必要があります。

アクセス許可ポリシーをロールにアタッチするには、put-role-policy コマンドを使用します。

詳細については、「AWS IAM ユーザーガイド」の「IAM ロールの作成」を参照してください。

例 2: 最大セッション期間を指定して IAM ロールを作成するには

次の create-role コマンドは、Test-Role という名前のロールを作成し、最大セッション時間を 7,200 秒 (2 時間) に設定します。

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

出力:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

詳細については、AWS IAM ユーザーガイドの「ロールの最大セッション期間 (AWS API) の変更」を参照してください。

例 3: タグを使用して IAM ロールを作成するには

次のコマンドは、タグを使用して IAM ロール Test-Role を作成します。この例では、次の JSON 形式のタグを持つ --tags パラメータフラグを使用します: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'。あるいは、--tags フラグを次の短縮形式のタグとともに使用することもできます: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'。

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

出力:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

詳細については、「AWS IAM ユーザーガイド」で「IAM ロールのタグ付け」を参照してください。

SAML プロバイダーを作成するには

この例では、IAM に MySAMLProvider という名前の新しい SAML プロバイダーを作成します。これは、ファイル SAMLMetaData.xml 内の SAML メタデータドキュメントによって記述されます。

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

出力:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

詳細については、「AWS IAM ユーザーガイド」の「IAM SAML ID プロバイダーの作成」を参照してください。

サービスにリンクされたロールを作成するには

次の のcreate-service-linked-role例では、指定されたサービスの AWS サービスにリンクされたロールを作成し、指定された説明をアタッチします。

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

出力:

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

詳細については、「AWS IAM ユーザーガイド」の「サービスにリンクされたロールの使用」を参照してください。

ユーザーのサービス固有の認証情報のセットを作成する

次の create-service-specific-credential の例では、設定されたサービスにのみアクセスできるユーザー名とパスワードを作成します。

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

出力:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

詳細については、「AWS CodeCommit ユーザーガイド」の「CodeCommit への HTTPS 接続用の Git 認証情報を作成する」を参照してください。

例 1: IAM ユーザーを作成するには

次の create-user コマンドは、現在のアカウントに Bob という名前の IAM ユーザーを作成します。

aws iam create-user \
    --user-name Bob

出力:

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

詳細については、「IAM ユーザーガイド」の AWS 「アカウントでの AWS IAM ユーザーの作成」を参照してください。

例 2: 指定したパスに IAM ユーザーを作成するには

次の create-user コマンドは、指定されたパスに Bob という名前の IAM ユーザーを作成します。

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

出力:

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ID」を参照してください。

例 3: タグを使用して IAM ユーザーを作成するには

次の create-user コマンドは、タグを使用して Bob という名前の IAM ユーザーを作成します。この例では、次の JSON 形式のタグを持つ --tags パラメータフラグを使用します: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'。あるいは、--tags フラグを次の短縮形式のタグとともに使用することもできます: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'。

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

出力:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

詳細については、「AWS IAM ユーザーガイド」で「IAM ユーザーのタグ付け」を参照してください。

例 3: アクセス許可の境界が設定された IAM ユーザーを作成するには

次の create-user コマンドは、AmazonS3FullAccess のアクセス許可の境界を持つ Bob という名前の IAM ユーザーを作成します。

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

出力:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

詳細については、「AWS IAM ユーザーガイド」の「IAM エンティティのアクセス許可境界」を参照してください。

仮想 MFA デバイスを作成するには

この例では、BobsMFADevice という新しい仮想 MFA デバイスを作成します。QRCode.png というブートストラップ情報を含むファイルを作成し、C:/ ディレクトリに配置します。この例で使用されているブートストラップメソッドは QRCodePNG です。

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

出力:

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

詳細については、「AWS IAM ユーザーガイド」の「AWSでの多要素認証 (MFA) の使用」を参照してください。

デバイスを無効にするには

このコマンドは、ユーザー Bob に関連付けられている ARN arn:aws:iam::210987654321:mfa/BobsMFADevice を持つ仮想 MFA デバイスを無効にします。

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「AWSでの多要素認証 (MFA) の使用」を参照してください。

認証失敗メッセージをデコードするには

次の decode-authorization-message の例では、必要なアクセス許可なしでインスタンスを起動しようとすると、EC2 コンソールから返されるメッセージをデコードします。

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

出力は、任意の JSON テキストプロセッサで解析できる JSON テキストの 1 行文字列としてフォーマットされます。

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

詳細については、「AWS re:Post」の「EC2 インスタンスの起動中に 「UnauthorizedOperation」というエラーを受け取った後、認可失敗のメッセージをデコードするには」を参照してください。

IAM ユーザーのためにアクセスキーを削除するには

次の delete-access-key コマンドは、Bob という名前の IAM ユーザーのために指定されたアクセスキー (アクセスキー ID とシークレットアクセスキー) を削除します。

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

このコマンドでは何も出力されません。

IAM ユーザーのためにに定義されたアクセスキーを一覧表示するには、list-access-keys コマンドを使用します。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントエイリアスを削除するには

次の delete-account-alias コマンドは、現在のアカウントのエイリアス mycompany を削除します。

aws iam delete-account-alias \
    --account-alias mycompany

このコマンドでは何も出力されません。

詳細については、AWS IAM ユーザーガイドの「 AWS アカウント ID とそのエイリアス」を参照してください。

現在のアカウントのパスワードポリシーを削除するには

次の delete-account-password-policy コマンドは、現在のアカウントのパスワードポリシーを削除します。

aws iam delete-account-password-policy

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアカウントパスワードポリシーの設定」を参照してください。

IAM グループからポリシーを削除するには

次の delete-group-policy コマンドは、Admins という名前のグループから ExamplePolicy という名前のポリシーを削除します。

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

このコマンドでは何も出力されません。

グループにアタッチされているポリシーを表示するには、list-group-policies コマンドを使用します。

IAM ポリシーの詳細については、「AWS IAM ユーザーガイド」の「IAM ポリシーを管理する」を参照してください。

IAM グループを削除するには

次の delete-group コマンドは、MyTestGroup という名前の IAM グループを削除します。

aws iam delete-group \
    --group-name MyTestGroup

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループの削除」を参照してください。

インスタンスプロファイルを削除するには

次の delete-instance-profile コマンドは、ExampleInstanceProfile という名前のインスタンスプロファイルを削除します。

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「インスタンスプロファイルの使用」を参照してください。

IAM ユーザーのパスワードを削除するには

次の delete-login-profile コマンドは、Bob という名前の IAM ユーザーのパスワードを削除します。

aws iam delete-login-profile \
    --user-name Bob

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのパスワードの管理」を参照してください。

IAM OpenID Connect ID プロバイダーを削除するには

この例では、プロバイダー example.oidcprovider.com に接続する IAM OIDC プロバイダーを削除します。

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM で OpenID Connect (OIDC) ID プロバイダーを作成する」を参照してください。

管理ポリシーのバージョンを削除するには

この例では、v2 と識別されたバージョンを ARN が arn:aws:iam::123456789012:policy/MySamplePolicy であるポリシーから削除します。

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

IAM ポリシーを削除するには

この例では、ARN が arn:aws:iam::123456789012:policy/MySamplePolicy であるポリシーを削除します。

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

IAM ロールからアクセス許可の境界を削除するには

次の delete-role-permissions-boundary の例では、指定した IAM ロールのアクセス許可の境界を削除します。アクセス許可の境界をロールに適用するには、put-role-permissions-boundary コマンドを使用します。

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

IAM ロールからポリシーを削除するには

次の delete-role-policy コマンドは、Test-Role という名前のロールから ExamplePolicy という名前のポリシーを削除します。

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「ロールの変更」を参照してください。

IAM ロールを削除するには

次の delete-role コマンドは、Test-Role という名前のロールを削除します。

aws iam delete-role \
    --role-name Test-Role

このコマンドでは何も出力されません。

ロールを削除する前に、インスタンスプロファイルからロールを削除し (remove-role-from-instance-profile)、管理ポリシーをデタッチして (detach-role-policy)、ロールにアタッチされているインラインポリシーを削除する (delete-role-policy) 必要があります。

詳細については、「AWS IAM ユーザーガイド」の「IAM ロールの作成」および「インスタンスプロファイルの使用」を参照してください。

SAML プロバイダーを削除するには

この例では、ARN が arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider である IAM SAML 2.0 プロバイダーを削除します。

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM SAML ID プロバイダーの作成」を参照してください。

AWS アカウントからサーバー証明書を削除するには

次の delete-server-certificate コマンドは、指定されたサーバー証明書を AWS アカウントから削除します。

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

このコマンドでは何も出力されません。

AWS アカウントで使用可能なサーバー証明書を一覧表示するには、 list-server-certificates コマンドを使用します。

詳細については、「IAM ユーザーガイドAWS 」の「IAM でのサーバー証明書の管理」を参照してください。

サービスにリンクされたロールを削除するには

次の delete-service-linked-role の例では、不要になったサービスにリンクされたロールのうち、指定されたものを削除します。削除は非同期で実行されます。get-service-linked-role-deletion-status コマンドを使用して、削除のステータスをチェックし、削除がいつ完了したかを確認できます。

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

出力:

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

詳細については、「AWS IAM ユーザーガイド」の「サービスにリンクされたロールの使用」を参照してください。

例 1: リクエストするユーザーのサービス固有の認証情報を削除する

次の delete-service-specific-credential の例では、リクエストを行うユーザーの指定されたサービス固有の認証情報を削除します。service-specific-credential-id は、認証情報を作成するときに提供され、list-service-specific-credentials コマンドを使用して取得できます。

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

このコマンドでは何も出力されません。

例 2: 指定されたユーザーのサービス固有の認証情報を削除する

次の delete-service-specific-credential の例では、指定されたユーザーの指定されたサービス固有の認証情報を削除します。service-specific-credential-id は、認証情報を作成するときに提供され、list-service-specific-credentials コマンドを使用して取得できます。

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

このコマンドでは何も出力されません。

詳細については、「AWS CodeCommit ユーザーガイド」の「CodeCommit への HTTPS 接続用の Git 認証情報を作成する」を参照してください。

IAM ユーザーの署名証明書を削除するには

次の delete-signing-certificate コマンドは、Bob という名前の IAM ユーザーの指定された署名証明書を削除します。

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

このコマンドでは何も出力されません。

署名証明書の ID を取得するには、list-signing-certificates コマンドを使用します。

詳細については、「Amazon EC2 ユーザーガイド」の「署名証明書の管理」を参照してください。

IAM ユーザーにアタッチされた SSH パブリックキーを削除するには

次の delete-ssh-public-key のコマンドは、IAM ユーザー sofia にアタッチされた指定された SSH パブリックキーを削除します。

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「CodeCommit で SSH キーと SSH を使用する」を参照してください。

IAM ユーザーからアクセス許可の境界を削除するには

次の delete-user-permissions-boundary の例では、intern という名前の IAM ユーザーにアタッチされているアクセス許可の境界を削除します。アクセス許可の境界をユーザーに適用するには、put-user-permissions-boundary コマンドを使用します。

aws iam delete-user-permissions-boundary \
    --user-name intern

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

IAM ユーザーからポリシーを削除するには

次の delete-user-policy コマンドは、指定されたポリシーを Bob という名前の IAM ユーザーから削除します。

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

このコマンドでは何も出力されません。

IAM ユーザーのポリシーのリストを取得するには、list-user-policies コマンドを使用します。

詳細については、「IAM ユーザーガイド」の AWS 「アカウントでの AWS IAM ユーザーの作成」を参照してください。

IAM ユーザーを削除するには

次の delete-user コマンドは、現在のアカウントから Bob という名前の IAM ユーザーを削除します。

aws iam delete-user \
    --user-name Bob

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーの削除」を参照してください。

仮想 MFA デバイスを削除するには

次の delete-virtual-mfa-device コマンドは、指定した MFA デバイスを現在のアカウントから削除します。

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「MFA デバイスの無効化」を参照してください。

グループからポリシーをデタッチするには

この例では、ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy を持つ管理ポリシーを Testers というグループから削除します。

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループの管理」を参照してください。

ロールからポリシーをデタッチするには

この例では、ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy を持つ管理ポリシーを FedTesterRole というロールから削除します。

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「ロールの変更」を参照してください。

ユーザーからポリシーをデタッチするには

この例では、ARN arn:aws:iam::123456789012:policy/TesterPolicy を持つ管理ポリシーをユーザー Bob から削除します。

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアクセス許可の変更」を参照してください。

組織で RootCredentialsManagement 機能を無効にするには

次の disable-organizations-root-credentials-management コマンドは、組織内のメンバーアカウント全体で特権ルートユーザー認証情報の管理を無効にします。

aws iam disable-organizations-root-credentials-management

出力:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

詳細については、AWS IAM ユーザーガイドの「メンバーアカウントのルートアクセスを一元化する」を参照してください。

組織で RootSessions 機能を無効にするには

次の disable-organizations-root-sessions コマンドは、組織内のメンバーアカウント全体で特権タスクのルートユーザーセッションを無効にします。

aws iam disable-organizations-root-sessions

出力:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

詳細については、AWS IAM ユーザーガイドの「メンバーアカウントのルートアクセスを一元化する」を参照してください。

MFA デバイスを有効にするには

create-virtual-mfa-device コマンドを使用して新しい仮想 MFA デバイスを作成したら、その MFA デバイスをユーザーに割り当てることができます。次の enable-mfa-device の例では、シリアル番号 arn:aws:iam::210987654321:mfa/BobsMFADevice を持つ MFA デバイスをユーザー Bob に割り当てます。コマンドは、仮想 MFA デバイスからの最初の 2 つのコードを順番に含める AWS ことで、デバイスを と同期します。

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」を参照してください。

組織で RootCredentialsManagement 機能を有効にするには

次の enable-organizations-root-credentials-management コマンドは、組織内のメンバーアカウント全体で特権ルートユーザー認証情報の管理を有効にします。

aws iam enable-organizations-root-credentials-management

出力:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

詳細については、AWS IAM ユーザーガイドの「メンバーアカウントのルートアクセスを一元化する」を参照してください。

組織で RootSessions 機能を有効にするには

次の enable-organizations-root-sessions コマンドにより、管理アカウントまたは委任管理者が組織内のメンバーアカウントで特権タスクを実行できるようになります。

aws iam enable-organizations-root-sessions

出力:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

詳細については、AWS IAM ユーザーガイドの「メンバーアカウントのルートアクセスを一元化する」を参照してください。

認証情報レポートを生成するには

次の例では、 AWS アカウントの認証情報レポートを生成しようとします。

aws iam generate-credential-report

出力:

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

詳細については、AWS 「IAM ユーザーガイド」の AWS 「アカウントの認証情報レポートの取得」を参照してください。

例 1: 組織内のルートのアクセスレポートを生成するには

次の generate-organizations-access-report の例では、バックグラウンドジョブを開始して、組織内の指定されたルートのアクセスレポートを作成します。get-organizations-access-report コマンドを実行すると、レポートを作成した後に表示できます。

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

出力:

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

例 2: 組織内のアカウントのアクセスレポートを生成するには

次の generate-organizations-access-report の例では、バックグラウンドジョブを開始して、組織 o-4fxmplt198 のアカウント ID 123456789012 のアクセスレポートを作成します。get-organizations-access-report コマンドを実行すると、レポートを作成した後に表示できます。

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

出力:

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

例 3: 組織内の組織単位のアカウントのアクセスレポートを生成するには

次の generate-organizations-access-report の例では、バックグラウンドジョブを開始して、組織 o-4fxmplt198 の組織単位 ou-c3xb-lmu7j2yg にアカウント ID 234567890123 のアクセスレポートを作成します。get-organizations-access-report コマンドを実行すると、レポートを作成した後に表示できます。

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

出力:

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

組織内のルートと組織単位の詳細については、organizations list-roots コマンドと organizations list-organizational-units-for-parent コマンドを使用します。

詳細については、AWS IAM ユーザーガイドの「最終アクセス情報 AWS を使用した でのアクセス許可の改良」を参照してください。

例 1: カスタムポリシーのサービスアクセスレポートを生成するには

次の generate-service-last-accessed-details の例では、バックグラウンドジョブを開始し、intern-boundary という名前のカスタムポリシーを使用して IAM ユーザーやその他のエンティティがアクセスしたサービスを一覧表示するレポートを生成します。get-service-last-accessed-details コマンドを実行すると、レポートを作成した後に表示できます。

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

出力:

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

例 2: AWS マネージド AdministratorAccess ポリシーのサービスアクセスレポートを生成するには

次の のgenerate-service-last-accessed-details例では、バックグラウンドジョブを開始して、IAM ユーザーおよびその他のエンティティが AWS マネージドAdministratorAccessポリシーを使用してアクセスしたサービスを一覧表示するレポートを生成します。get-service-last-accessed-details コマンドを実行すると、レポートを作成した後に表示できます。

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

出力:

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

詳細については、AWS IAM ユーザーガイドの「最終アクセス時間情報 AWS を使用した でのアクセス許可の改良」を参照してください。

指定されたアクセスキーの最後の使用時の情報を取得するには

次の例では、アクセスキー ABCDEXAMPLE が最後に使用されたときに関する情報を取得します。

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

出力:

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアクセスキーの管理」を参照してください。

AWS アカウントの IAM ユーザー、グループ、ロール、ポリシーを一覧表示するには

次のget-account-authorization-detailsコマンドは、 AWS アカウント内のすべての IAM ユーザー、グループ、ロール、ポリシーに関する情報を返します。

aws iam get-account-authorization-details

出力:

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::amzn-s3-demo-bucket",
                                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

詳細については、「AWS IAM ユーザーガイド」の「AWS セキュリティ監査ガイドライン」を参照してください。

現在のアカウントのパスワードポリシーを表示するには

次の get-account-password-policy コマンドは、現在のアカウントのパスワードポリシーに関する詳細を表示します。

aws iam get-account-password-policy

出力:

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

アカウントのためにパスワードポリシーが定義されていない場合、コマンドは NoSuchEntity エラーを返します。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアカウントパスワードポリシーの設定」を参照してください。

現在のアカウントの IAM エンティティの使用状況と IAM クォータに関する情報を取得するには

次の get-account-summary コマンドは、アカウント内の現在の IAM エンティティの使用状況と現在の IAM エンティティのクォータに関する情報を返します。

aws iam get-account-summary

出力:

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

エンティティの制限の詳細については、IAM AWS ユーザーガイドの「IAM および AWS STS クォータ」を参照してください。

例 1: コマンドラインでパラメータとして指定された 1 つ以上のカスタム JSON ポリシーによって参照されるコンテキストキーを一覧表示するには

次の get-context-keys-for-custom-policy コマンドは、指定された各ポリシーを解析し、それらのポリシーが使用するコンテキストキーを一覧表示します。このコマンドを使用して、ポリシーシミュレータコマンド simulate-custom-policy と simulate-custom-policy を正常に使用するために指定する必要があるコンテキストキー値を特定します。また、get-context-keys-for-custom-policy コマンドを使用して、IAM ユーザーまたはロールに関連付けられたすべてのポリシーで使用されるコンテキストキーのリストを取得することもできます。file:// で始まるパラメータ値は、ファイルを読み取り、ファイル名自体ではなくその内容をパラメータの値として使用するようにコマンドに指示します。

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

出力:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

例 2: ファイル入力として提供される 1 つ以上のカスタム JSON ポリシーによって参照されるコンテキストキーを一覧表示するには

次の get-context-keys-for-custom-policy コマンドは前の例と同じですが、ポリシーがパラメータとしてではなくファイルで提供される点が異なります。このコマンドは JSON 構造のリストではなく JSON 文字列のリストを想定しているため、ファイルは次のような構造にする必要があります。ただし、1 つにまとめることはできます。

[
    "Policy1",
    "Policy2"
]

そのため、例えば、前の例のポリシーを含むファイルは次のようになっている必要があります。ポリシー文字列内に埋め込まれている各二重引用符の前に「バックスラッシュ」を付けてエスケープする必要があります。

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

その後、このファイルを次のコマンドに送信できます。

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

出力:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

詳細については、IAM ユーザーガイドの「IAM Policy Simulator (AWS CLI および AWS API) の使用」を参照してください。 AWS

IAM プリンシパルに関連付けられているすべてのポリシーが参照するコンテキストキーを一覧表示するには

次の get-context-keys-for-principal-policy コマンドは、ユーザー saanvi とそのユーザーがメンバーとなっているグループにアタッチされているすべてのポリシーを取得します。次に、このコマンドは各ポリシーを解析し、それらのポリシーで使用されているコンテキストキーを一覧表示します。このコマンドを使用して、simulate-custom-policy および simulate-principal-policy コマンドを正常に使用するために指定する必要があるコンテキストキー値を特定します。get-context-keys-for-custom-policy コマンドを使用して、任意の JSON ポリシーで使用されているコンテキストキーのリストを取得することもできます。

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

出力:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

詳細については、IAM ユーザーガイドの「IAM Policy Simulator (AWS CLI および AWS API) の使用」を参照してください。 AWS

認証情報レポートを取得するには

この例では、返されたレポートを開き、それをテキスト行の配列としてパイプラインに出力します。

aws iam get-credential-report

出力:

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

詳細については、AWS IAM ユーザーガイドの AWS アカウントの認証情報レポートの取得を参照してください。

IAM グループにアタッチされたポリシーに関する情報を取得するには

次の get-group-policy コマンドは、Test-Group という名前のグループにアタッチされている指定されたポリシーに関する情報を取得します。

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

出力:

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

IAM ポリシーの詳細については、「AWS IAM ユーザーガイド」の「IAM ポリシーを管理する」を参照してください。

IAM グループを取得するには

この例では、IAM グループ Admins に関する詳細を返します。

aws iam get-group \
    --group-name Admins

出力:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ID (ユーザー、ユーザーグループ、ロール)」を参照してください。

インスタンスプロファイルの情報を取得するには

次の get-instance-profile コマンドは、ExampleInstanceProfile という名前のインスタンスプロファイルに関する情報を取得します。

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

出力:

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「インスタンスプロファイルの使用」を参照してください。

IAM ユーザーのパスワード情報を取得するには

次の get-login-profile コマンドは、Bob という名前の IAM ユーザーのパスワードに関する情報を取得します。

aws iam get-login-profile \
    --user-name Bob

出力:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

get-login-profile コマンドを使用して、IAM ユーザーがパスワードを持っていることを確認できます。ユーザーのためにパスワードが定義されていない場合、コマンドは NoSuchEntity エラーを返します。

このコマンドを使用してパスワードを表示することはできません。パスワードを忘れた場合は、ユーザーのパスワードをリセットできます (update-login-profile)。または、ユーザーのログインプロファイルを削除し (delete-login-profile)、新しいログインプロファイルを作成することもできます (create-login-profile)。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのパスワードの管理」を参照してください。

FIDO セキュリティキーに関する情報を取得するには

次の get-mfa-device のコマンド例では、指定された FIDO セキュリティキーに関する情報を取得します。

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

出力:

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「AWSでの多要素認証 (MFA) の使用」を参照してください。

指定した OpenID Connect プロバイダーに関する情報を返すには

この例では、ARN が arn:aws:iam::123456789012:oidc-provider/server.example.com である OpenID Connect プロバイダーに関する詳細を返します。

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

出力:

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM で OpenID Connect (OIDC) ID プロバイダーを作成する」を参照してください。

アクセスレポートを取得するには

次の のget-organizations-access-report例では、以前に生成された AWS Organizations エンティティのアクセスレポートを表示します。レポートを生成するには、generate-organizations-access-report コマンドを使用します。

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

出力:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

詳細については、AWS IAM ユーザーガイドの「最終アクセス情報 AWS を使用した でのアクセス許可の改良」を参照してください。

指定された管理ポリシーの指定されたバージョンに関する情報を取得するには

この例では、ARN が arn:aws:iam::123456789012:policy/MyManagedPolicy であるポリシーの v2 バージョンのポリシードキュメントを返します。

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

出力:

{
    "PolicyVersion": {
        "Document": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

指定した管理ポリシーに関する情報を取得するには

この例では、ARN が arn:aws:iam::123456789012:policy/MySamplePolicy である管理ポリシーに関する詳細を返します。

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

出力:

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

IAM ロールにアタッチされたポリシーに関する情報を取得するには

次の get-role-policy コマンドは、Test-Role という名前のロールにアタッチされている指定されたポリシーに関する情報を取得します。

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

出力:

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ロールの作成」を参照してください。

IAM ロールに関する情報を取得するには

次の get-role コマンドは、Test-Role という名前のロールに関する情報を取得します。

aws iam get-role \
    --role-name Test-Role

出力:

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

このコマンドは、ロールにアタッチされている信頼ポリシーを表示します。ロールにアタッチされているアクセス許可ポリシーを一覧表示するには、list-role-policies コマンドを使用します。

詳細については、「IAM ユーザーガイド」の「IAM ロールの作成」を参照してください。

SAML プロバイダーのメタドキュメントを取得するには

この例では、ARM が arn:aws:iam::123456789012:saml-provider/SAMLADFS である SAML 2.0 プロバイダーに関する詳細を取得します。レスポンスには、SAML プロバイダーエンティティを作成するために ID AWS プロバイダーから取得したメタデータドキュメントと、作成日と有効期限が含まれます。

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

出力:

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM SAML ID プロバイダーの作成」を参照してください。

AWS アカウントのサーバー証明書の詳細を取得するには

次の get-server-certificate コマンドは、 AWS アカウント内の指定されたサーバー証明書に関する詳細をすべて取得します。

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

出力:

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

AWS アカウントで使用可能なサーバー証明書を一覧表示するには、 list-server-certificates コマンドを使用します。

詳細については、「IAM ユーザーガイドAWS 」の「IAM でのサーバー証明書の管理」を参照してください。

サービスの詳細を含むサービスアクセスレポートを取得するには

次の get-service-last-accessed-details-with-entities の例では、指定されたサービスにアクセスした IAM ユーザーやその他のエンティティに関する詳細を含むレポートを取得します。レポートを生成するには、generate-service-last-accessed-details コマンドを使用します。名前空間でアクセスされるサービスのリストを取得するには、get-service-last-accessed-details を使用します。

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

出力:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

詳細については、AWS IAM ユーザーガイドの「最終アクセス情報 AWS を使用した でのアクセス許可の改良」を参照してください。

サービスアクセスレポートを取得するには

次の get-service-last-accessed-details の例では、IAM エンティティがアクセスしたサービスを一覧表示する、以前に生成したレポートを取得します。レポートを生成するには、generate-service-last-accessed-details コマンドを使用します。

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

出力:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

詳細については、AWS IAM ユーザーガイドの「最終アクセス情報 AWS を使用した でのアクセス許可の改良」を参照してください。

サービスにリンクされたロールの削除リクエストのステータスを確認するには

次の get-service-linked-role-deletion-status の例では、サービスにリンクされたロールを削除するという以前のリクエストのステータスが表示されます。削除オペレーションは非同期で実行されます。リクエストを実行すると、このコマンドのパラメータとして指定した DeletionTaskId の値を取得します。

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

出力:

{
"Status": "SUCCEEDED"
}

詳細については、「AWS IAM ユーザーガイド」の「サービスにリンクされたロールの使用」を参照してください。

例 1: SSH エンコード形式で IAM ユーザーに添付された SSH パブリックキーを取得するには

次の get-ssh-public-key コマンドは、IAM ユーザー sofia から指定された SSH パブリックキーを取得します。出力は SSH エンコーディングです。

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

出力:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

例 2: PEM エンコード形式で IAM ユーザーに添付された SSH パブリックキーを取得するには

次の get-ssh-public-key コマンドは、IAM ユーザー sofia から指定された SSH パブリックキーを取得します。出力は PEM エンコーディングです。

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

出力:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「CodeCommit で SSH キーと SSH を使用する」を参照してください。

IAM ユーザーのポリシーの詳細を一覧表示するには

次の get-user-policy コマンドは、Bob という名前の IAM ユーザーにアタッチされている指定されたポリシーの詳細を一覧表示します。

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

出力:

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

IAM ユーザーのポリシーのリストを取得するには、list-user-policies コマンドを使用します。

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

IAM ユーザーに関する情報を取得するには

次の get-user コマンドは、Paulo という名前の IAM ユーザーに関する情報を取得します。

aws iam get-user \
    --user-name Paulo

出力:

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

IAM ポリシーの詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーを管理する」を参照してください。

IAM ユーザーのアクセスキー ID を一覧表示するには

次の list-access-keys コマンドは、Bob という名前の IAM ユーザーのアクセスキー ID を一覧表示します。

aws iam list-access-keys \
    --user-name Bob

出力:

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

IAM ユーザーのシークレットアクセスキーを一覧表示することはできません。シークレットアクセスキーを紛失した場合は、create-access-keys コマンドを使用して新しいアクセスキーを作成する必要があります。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントエイリアスを一覧表示するには

次の list-account-aliases コマンドは、現在のアカウントのエイリアスを一覧表示します。

aws iam list-account-aliases

出力:

{
    "AccountAliases": [
    "mycompany"
    ]
}

詳細については、AWS IAM ユーザーガイドの「 AWS アカウント ID とそのエイリアス」を参照してください。

指定されたグループにアタッチされているすべての管理ポリシーを一覧表示するには

この例では、 AWS アカウントAdmins内の という名前の IAM グループにアタッチされている管理ポリシーの名前と ARNs を返します。

aws iam list-attached-group-policies \
    --group-name Admins

出力:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

指定された IAM ロールにアタッチされている管理ポリシーを一覧表示するには

このコマンドは、 AWS アカウントSecurityAuditRoleで という名前の IAM ロールにアタッチされた管理ポリシーの名前と ARNs を返します。

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

出力:

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

指定されたユーザーにアタッチされているすべての管理ポリシーを一覧表示するには

このコマンドは、 AWS アカウントBobで という名前の IAM ユーザー用の管理ポリシーの名前と ARNs を返します。

aws iam list-attached-user-policies \
    --user-name Bob

出力:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

指定された管理ポリシーがアタッチされているすべてのユーザー、グループ、ロールを一覧表示するには

この例では、ポリシー arn:aws:iam::123456789012:policy/TestPolicy がアタッチされている IAM グループ、ロール、ユーザーのリストを返します。

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

出力:

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

指定されたグループにアタッチされているすべてのインラインポリシーを一覧表示するには

次の list-group-policies コマンドは、現在のアカウントの Admins という名前の IAM グループにアタッチされているインラインポリシーの名前を一覧表示します。

aws iam list-group-policies \
    --group-name Admins

出力:

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

IAM ポリシーの詳細については、「AWS IAM ユーザーガイド」の「IAM ポリシーを管理する」を参照してください。

IAM ユーザーが属する IAM グループを一覧表示するには

次の list-groups-for-user コマンドは、Bob という IAM ユーザーが属するグループを表示します。

aws iam list-groups-for-user \
    --user-name Bob

出力:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループの管理」を参照してください。

現在のアカウントの IAM グループを一覧表示するには

次の list-groups コマンドは、現在のアカウントの IAM グループを一覧表示します。

aws iam list-groups

出力:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループの管理」を参照してください。

インスタンスプロファイルにアタッチされているタグを一覧表示するには

次の list-instance-profile-tags コマンドは、指定されたインスタンスプロファイルに関連付けられているタグのリストを取得します。

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

出力:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

IAM ロールのインスタンスプロファイルを一覧表示するには

次の list-instance-profiles-for-role コマンドは、ロール Test-Role に関連付けられているインスタンスプロファイルを一覧表示します。

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

出力:

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「インスタンスプロファイルの使用」を参照してください。

アカウントのインスタンスプロファイルを一覧表示するには

次の list-instance-profiles コマンドは、現在のアカウントに関連付けられているインスタンスプロファイルを一覧表示します。

aws iam list-instance-profiles

出力:

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「インスタンスプロファイルの使用」を参照してください。

MFA デバイスにアタッチされたタグを一覧表示するには

次の list-mfa-device-tags コマンドは、指定された MFA デバイスに関連付けられているタグのリストを取得します。

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

出力:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

指定したユーザーのすべての MFA デバイスを一覧表示するには

この例では、IAM ユーザー Bob に割り当てられた MFA デバイスに関する詳細を返します。

aws iam list-mfa-devices \
    --user-name Bob

出力:

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「AWSでの多要素認証 (MFA) の使用」を参照してください。

OpenID Connect (OIDC) 互換 ID プロバイダーにアタッチされたタグを一覧表示するには

次の list-open-id-connect-provider-tags コマンドは、指定された OIDC ID プロバイダーに関連付けられているタグのリストを取得します。

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

出力:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

AWS アカウントの OpenID Connect プロバイダーに関する情報を一覧表示するには

この例では、現在の AWS アカウントで定義されているすべての OpenID Connect プロバイダーの ARNS のリストを返します。

aws iam list-open-id-connect-providers

出力:

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM で OpenID Connect (OIDC) ID プロバイダーを作成する」を参照してください。

組織で有効になっている一元化されたルートアクセス機能を一覧表示するには

次の list-organizations-features コマンドは、組織で有効になっている一元化されたルートアクセス機能を一覧表示します。

aws iam list-organizations-features

出力:

{
    "EnabledFeatures": [
        "RootCredentialsManagement",
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

詳細については、AWS IAM ユーザーガイドの「メンバーアカウントのルートアクセスを一元管理する」を参照してください。

指定されたサービスへのプリンシパルアクセスを許可するポリシーを一覧表示するには

次の のlist-policies-granting-service-access例では、IAM ユーザーに AWS CodeCommit サービスsofiaへのアクセスを許可するポリシーのリストを取得します。

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

出力:

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

詳細については、IAM AWS ユーザーガイドのCodeCommit での IAM の使用: Git 認証情報、SSH キー、および AWS アクセスキー」を参照してください。

AWS アカウントで使用できる管理ポリシーを一覧表示するには

この例では、現在の AWS アカウントで使用できる最初の 2 つの管理ポリシーのコレクションを返します。

aws iam list-policies \
    --max-items 3

出力:

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

マネージドポリシーにアタッチされたタグを一覧表示するには

次の list-policy-tags コマンドは、指定されたマネージドポリシーに関連付けられているタグのリストを取得します。

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

出力:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

指定された管理ポリシーのバージョンに関する情報を一覧表示するには

この例では、ARN が arn:aws:iam::123456789012:policy/MySamplePolicy であるポリシーの使用可能なバージョンのリストを返します。

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

出力:

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

IAM ロールにアタッチされているポリシーを一覧表示するには

次の list-role-policies コマンドは、指定された IAM ロールのアクセス許可ポリシーの名前を一覧表示します。

aws iam list-role-policies \
    --role-name Test-Role

出力:

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

ロールにアタッチされている信頼ポリシーを表示するには、get-role コマンドを使用します。アクセス許可ポリシーの詳細を表示するには、get-role-policy コマンドを使用します。

詳細については、「IAM ユーザーガイド」の「IAM ロールの作成」を参照してください。

ロールにアタッチされたタグを一覧表示するには

次の list-role-tags コマンドは、指定されたロールに関連付けられているタグのリストを取得します。

aws iam list-role-tags \
    --role-name production-role

出力:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

現在のアカウントの IAM ロールを一覧表示するには

次の list-roles コマンドは、現在のアカウントの IAM ロールを一覧表示します。

aws iam list-roles

出力:

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ロールの作成」を参照してください。

SAML プロバイダーにアタッチされたタグを一覧表示するには

次の list-saml-provider-tags コマンドは、指定された SAML プロバイダーに関連付けられているタグのリストを取得します。

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

出力:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

AWS アカウントの SAML プロバイダーを一覧表示するには

この例では、現在の AWS アカウントで作成された SAML 2.0 プロバイダーのリストを取得します。

aws iam list-saml-providers

出力:

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM SAML ID プロバイダーの作成」を参照してください。

サーバー証明書にアタッチされているタグを一覧表示するには

次の list-server-certificate-tags コマンドは、指定されたサーバー証明書に関連付けられているタグを取得します。

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

出力:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

AWS アカウントのサーバー証明書を一覧表示するには

次のlist-server-certificatesコマンドは、 AWS アカウントに保存され、使用可能なすべてのサーバー証明書を一覧表示します。

aws iam list-server-certificates

出力:

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

詳細については、「IAM ユーザーガイドAWS 」の「IAM でのサーバー証明書の管理」を参照してください。

例 1: ユーザーのサービス固有の認証情報を一覧表示する

次の list-service-specific-credentials の例では、指定されたユーザーに割り当てられたすべてのサービス固有の認証情報を表示します。パスワードはレスポンスに含まれません。

aws iam list-service-specific-credentials \
    --user-name sofia

出力:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

例 2: 指定されたサービスにフィルタリングされたユーザーのサービス固有の認証情報を一覧表示する

次の list-service-specific-credentials の例では、リクエストを行うユーザーに割り当てられたサービス固有の認証情報を表示します。リストは、指定されたサービスの認証情報のみを含むようにフィルタリングされます。パスワードはレスポンスに含まれません。

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

出力:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

詳細については、「AWS CodeCommit ユーザーガイド」の「CodeCommit への HTTPS 接続用の Git 認証情報を作成する」を参照してください。

認証情報のリストを取得するには

次の のlist-service-specific-credentials例では、 という名前のユーザーの AWS CodeCommit リポジトリへの HTTPS アクセス用に生成された認証情報を一覧表示しますdeveloper。

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

出力:

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

詳細については、「AWS CodeCommit ユーザーガイド」の「CodeCommit への HTTPS 接続用の Git 認証情報を作成する」を参照してください。

IAM ユーザーの署名証明書を一覧表示するには

次の list-signing-certificates コマンドは、Bob という名前の IAM ユーザーの署名証明書を一覧表示します。

aws iam list-signing-certificates \
    --user-name Bob

出力:

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

詳細については、「Amazon EC2 ユーザーガイド」の「署名証明書の管理」を参照してください。

IAM ユーザーにアタッチされた SSH パブリックキーを一覧表示するには

次の list-ssh-public-keys の例では、IAM ユーザー sofia にアタッチされた SSH パブリックキーを一覧表示します。

aws iam list-ssh-public-keys \
    --user-name sofia

出力:

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「CodeCommit で SSH キーと SSH を使用する」を参照してください。

IAM ユーザーのポリシーを一覧表示するには

次の list-user-policies コマンドは、Bob という名前の IAM ユーザーにアタッチされているポリシーを一覧表示します。

aws iam list-user-policies \
    --user-name Bob

出力:

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

詳細については、「IAM ユーザーガイド」の AWS 「アカウントでの AWS IAM ユーザーの作成」を参照してください。

ユーザーにアタッチされたタグを一覧表示するには

次の list-user-tags コマンドは、指定された IAM ユーザーに関連付けられているタグを取得します。

aws iam list-user-tags \
    --user-name alice

出力:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

IAM ユーザーを一覧表示するには

次の list-users コマンドは、現在のアカウントの IAM ユーザーを一覧表示します。

aws iam list-users

出力:

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーの一覧表示」を参照してください。

仮想 MFA デバイスを一覧表示するには

次の list-virtual-mfa-devices コマンドは、現在のアカウントに設定されている仮想 MFA デバイスを一覧表示します。

aws iam list-virtual-mfa-devices

出力:

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」を参照してください。

グループにポリシーを追加するには

次の put-group-policy コマンドは、Admins という名前の IAM グループにポリシーを追加します。

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

このコマンドでは何も出力されません。

ポリシーは、AdminPolicy.json ファイル内で JSON ドキュメントとして定義されます。(ファイル名と拡張子には意味はありません。)

IAM ポリシーの詳細については、「AWS IAM ユーザーガイド」の「IAM ポリシーを管理する」を参照してください。

例 1: カスタムポリシーに基づくアクセス許可の境界を IAM ロールに適用するには

次の put-role-permissions-boundary の例では、指定した IAM ロールのアクセス許可の境界として、intern-boundary という名前のカスタムポリシーを適用します。

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

このコマンドでは何も出力されません。

例 2: AWS 管理ポリシーに基づくアクセス許可の境界を IAM ロールに適用するには

次の のput-role-permissions-boundary例では、指定された IAM ロールのアクセス許可の境界として AWS 管理PowerUserAccessポリシーを適用します。

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「ロールの変更」を参照してください。

アクセス許可ポリシーを IAM ロールにアタッチするには

次の put-role-policy コマンドは、Test-Role という名前のロールにアクセス許可ポリシーを追加します。

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

このコマンドでは何も出力されません。

ポリシーは、AdminPolicy.json ファイル内で JSON ドキュメントとして定義されます。(ファイル名と拡張子には意味はありません。)

信頼ポリシーをロールにアタッチするには、update-assume-role-policy コマンドを使用します。

詳細については、「AWS IAM ユーザーガイド」の「ロールの変更」を参照してください。

例 1: カスタムポリシーに基づくアクセス許可の境界を IAM ユーザーに適用するには

次の put-user-permissions-boundary の例では、指定した IAM ユーザーのアクセス許可の境界として、intern-boundary という名前のカスタムポリシーを適用します。

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

このコマンドでは何も出力されません。

例 2: AWS 管理ポリシーに基づくアクセス許可の境界を IAM ユーザーに適用するには

次の のput-user-permissions-boundary例では、指定された IAM ユーザーのアクセス許可の境界PowerUserAccessとして という名前の AWS マネージドポーリーを適用します。

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ID アクセス許可の追加および削除」を参照してください。

ポリシーを IAM ユーザーにアタッチするには

次の put-user-policy コマンドは、Bob という名前の IAM ユーザーにポリシーをアタッチします。

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

このコマンドでは何も出力されません。

ポリシーは、AdminPolicy.json ファイル内で JSON ドキュメントとして定義されます。(ファイル名と拡張子には意味はありません。)

詳細については、「AWS IAM ユーザーガイド」の「IAM ID アクセス許可の追加および削除」を参照してください。

指定の IAM OpenID Connect プロバイダーに対して登録されているクライアント ID のリストから、指定のクライアント ID を削除するには

この例では、ARN が arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com である IAM OIDC プロバイダーに関連付けられているクライアント ID のリストから、クライアント ID My-TestApp-3 を削除します。

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM で OpenID Connect (OIDC) ID プロバイダーを作成する」を参照してください。

ロールをインスタンスプロファイルから削除するには

次の remove-role-from-instance-profile コマンドは、ExampleInstanceProfile という名前のインスタンスプロファイルから Test-Role という名前のロールを削除します。

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

詳細については、「AWS IAM ユーザーガイド」の「インスタンスプロファイルの使用」を参照してください。

IAM グループからユーザーを削除するには

次の remove-user-from-group コマンドは、Admins という名前の IAM グループから Bob というユーザーを削除します。

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループへのユーザーの追加と削除」を参照してください。

例 1: リクエストを行うユーザーにアタッチされたサービス固有の認証情報のパスワードをリセットする

次の reset-service-specific-credential の例では、リクエストを行うユーザーにアタッチされた、指定されたサービス固有の認証情報の新しい暗号化された強力なパスワードを生成します。

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

出力:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

例 2: 指定されたユーザーにアタッチされたサービス固有の認証情報のパスワードをリセットする

次の reset-service-specific-credential の例では、指定されたユーザーにアタッチされたサービス固有の認証情報の新しい暗号化された強力なパスワードを生成します。

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

出力:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

詳細については、「AWS CodeCommit ユーザーガイド」の「CodeCommit への HTTPS 接続用の Git 認証情報を作成する」を参照してください。

MFA デバイスを同期するには

次の resync-mfa-device の例では、IAM ユーザー Bob に関連付けられていて、ARN が arn:aws:iam::123456789012:mfa/BobsMFADevice である MFA デバイスを、2 つの認証コードを提供した認証プログラムと同期します。

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「AWSでの多要素認証 (MFA) の使用」を参照してください。

指定されたポリシーの指定されたバージョンを、ポリシーのデフォルトバージョンとして設定するには

この例では、ARN が arn:aws:iam::123456789012:policy/MyPolicy であるポリシーの v2 バージョンをデフォルトのアクティブなバージョンとして設定します。

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

詳細については、「AWS IAM ユーザーガイド」の「IAM のポリシーとアクセス許可」を参照してください。

グローバルエンドポイントトークンバージョンを設定するには

次の set-security-token-service-preferences の例では、グローバルエンドポイントに対して認証するときにバージョン 2 トークンを使用するように Amazon STS を設定します。

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

このコマンドでは何も出力されません。

詳細については、AWS IAM ユーザーガイドの「 AWS リージョンでの AWS STS の管理」を参照してください。

例 1: IAM ユーザーまたはロールに関連付けられているすべての IAM ポリシーの効果をシミュレートするには

次の simulate-custom-policy は、ポリシーと変数値の両方を指定し、API コールをシミュレートして、許可または拒否されているかどうかを確認する方法を示しています。次の例は、指定された日付と時刻の後にのみデータベースアクセスを有効にするポリシーを示しています。シミュレーションは成功します。シミュレーションされたアクションと指定された aws:CurrentTime 変数がすべてポリシーの要件と一致するためです。

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

出力:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

例 2: ポリシーで禁止されているコマンドをシミュレートするには

次の simulate-custom-policy の例は、ポリシーで禁止されているコマンドをシミュレートした結果を示しています。この例での指定された日付は、ポリシーの条件で必要とされる日付より前です。

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

出力:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ポリシーシミュレーターを使用した IAM ポリシーのテスト」を参照してください。

例 1: 任意の IAM ポリシーの効果をシミュレートするには

次の simulate-principal-policy は、API アクションを呼び出すユーザーをシミュレートし、そのユーザーに関連付けられたポリシーがアクションを許可または拒否するかどうかを決定する方法を示します。次の例では、ユーザーに codecommit:ListRepositories アクションのみを許可するポリシーがあります。

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

出力:

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

例 2: 禁止されているコマンドの影響をシミュレートするには

次の simulate-custom-policy の例は、ユーザーのポリシーのいずれかで禁止されているコマンドをシミュレートした結果を示しています。次の例では、ユーザーに特定の日付と時刻の後にのみ DynamoDB データベースへのアクセスを許可するポリシーがあります。このシミュレーションでは、ポリシーの条件が許可する値よりも前の aws:CurrentTime 値でデータベースにアクセスしようとします。

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

出力:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

詳細については、「AWS IAM ユーザーガイド」の「IAM ポリシーシミュレーターを使用した IAM ポリシーのテスト」を参照してください。

タグをインスタンスプロファイルに追加するには

次の tag-instance-profile コマンドは、部門名を持つタグを指定したインスタンスプロファイルに追加します。

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

MFA デバイスにタグを追加するには

次の tag-mfa-device コマンドは、部門名を持つタグを指定した MFA デバイスに追加します。

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

OpenID Connect (OIDC) 互換 ID プロバイダーにタグを追加するには

次の tag-open-id-connect-provider コマンドは、部門名を持つタグを指定した OIDC ID プロバイダーに追加します。

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

カスタマー管理ポリシーにタグを追加するには

次の tag-policy コマンドは、部門名を持つタグを指定したカスタマー管理ポリシーに追加します。

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

ロールにタグを追加するには

次の tag-role コマンドは、部門名を持つタグを指定したロールに追加します。

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

SAML プロバイダーにタグを追加するには

次の tag-saml-provider コマンドは、部門名を持つタグを指定した SAML プロバイダーに追加します。

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

サーバー証明書にタグを追加するには

次の tag-saml-provider コマンドは、部門名を持つタグを指定したサーバー証明書に追加します。

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

ユーザーにタグを追加するには

次の tag-user コマンドは、関連付けらた部門を持つタグを指定したユーザーに追加します。

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

タグをインスタンスプロファイルから削除するには

次の untag-instance-profile コマンドは、キー名が「Department」のタグを指定されたインスタンスプロファイルから削除します。

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

MFA デバイスからタグを削除するには

次の untag-mfa-device コマンドは、キー名が「Department」のタグを指定された MFA デバイスから削除します。

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

OIDC ID プロバイダーからタグを削除するには

次の untag-open-id-connect-provider コマンドは、キー名が「Department」のタグを指定された OIDC ID プロバイダーから削除します。

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

カスタマー管理ポリシーからタグを削除するには

次の untag-policy コマンドは、キー名が「Department」のタグを指定されたカスタマー管理ポリシーから削除します。

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

ロールからタグを削除するには

次の untag-role コマンドは、キー名「Department」のタグを指定されたロールから削除します。

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

SAML プロバイダーからタグを削除するには

次の untag-saml-provider コマンドは、キー名が「Department」のタグを指定されたインスタンスプロファイルから削除します。

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

サーバー証明書からタグを削除するには

次の untag-server-certificate コマンドは、キー名が「Department」のタグを指定されたサーバー証明書から削除します。

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

ユーザーからタグを削除するには

次の untag-user コマンドは、キー名が「Department」のタグを指定されたユーザーから削除します。

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

IAM ユーザーのためにアクセスキーをアクティブ化または非アクティブ化するには

次の update-access-key コマンドは、Bob という名前の IAM ユーザーのために指定されたアクセスキー (アクセスキー ID とシークレットアクセスキー) を非アクティブ化します。

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

このコマンドでは何も出力されません。

キーを非アクティブ化すると、プログラムによるアクセスには使用できません AWS。ただし、キーは引き続き使用可能であり、再アクティブ化することができます。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアクセスキーの管理」を参照してください。

現在のアカウントのパスワードポリシーを設定または変更するには

次の update-account-password-policy コマンドは、8 文字以上の長さを要求し、パスワードに 1 つ以上の数字を要求するようにパスワードポリシーを設定します。

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

このコマンドでは何も出力されません。

アカウントのパスワードポリシーを変更すると、そのアカウントの IAM ユーザー用に作成された新しいパスワードに影響します。パスワードポリシーを変更しても、既存のパスワードには影響しません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのアカウントパスワードポリシーの設定」を参照してください。

IAM ロールの信頼ポリシーを更新するには

次の update-assume-role-policy コマンドは、Test-Role という名前のロールの信頼ポリシーを更新します。

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

このコマンドでは何も出力されません。

信頼ポリシーは、Test-Role-Trust-Policy.json ファイル内で JSON ドキュメントとして定義されます。(ファイル名と拡張子には意味はありません。) 信頼ポリシーはプリンシパルを指定する必要があります。

ロールのアクセス許可ポリシーを更新するには、put-role-policy コマンドを使用します。

詳細については、「IAM ユーザーガイド」の「IAM ロールの作成」を参照してください。

IAM グループの名前を変更するには

次の update-group コマンドは、IAM グループ Test の名前を Test-1 に変更します。

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループの名前の変更」を参照してください。

IAM ユーザーのパスワードを更新するには

次の update-login-profile コマンドは、Bob という名前の IAM ユーザーの新しいパスワードを作成します。

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

このコマンドでは何も出力されません。

アカウントのパスワードポリシーを設定するには、update-account-password-policy コマンドを使用します。新しいパスワードがアカウントのパスワードポリシーに違反している場合、コマンドは PasswordPolicyViolation エラーを返します。

アカウントのパスワードポリシーで許可されている場合、IAM ユーザーは change-password コマンドを使用して自分のパスワードを変更できます。

パスワードを安全な場所に保存します。パスワードを紛失した場合は回復できないため、create-login-profile コマンドを使用して新しいパスワードを作成する必要があります。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーのパスワードの管理」を参照してください。

サーバー証明書のサムプリントの既存のリストを新しいリストに置き換えるには

この例では、ARN が arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com である OIDC プロバイダーの証明書サムプリントリストを更新して、新しいサムプリントを使用します。

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM で OpenID Connect (OIDC) ID プロバイダーを作成する」を参照してください。

IAM ロールの説明を変更するには

次の update-role コマンドは、IAM ロール production-role の説明を Main production role に変更します。

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

出力:

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

詳細については、「AWS IAM ユーザーガイド」の「ロールの変更」を参照してください。

IAM ロールの説明またはセッション期間を変更するには

次の update-role コマンドは、IAM ロールの説明 production-role を Main production role に変更し、最大セッション期間を 12 時間に設定します。

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「ロールの変更」を参照してください。

既存の SAML プロバイダーのメタデータドキュメントを更新するには

この例では、ARN が arn:aws:iam::123456789012:saml-provider/SAMLADFS である IAM の SAML プロバイダーを、ファイル SAMLMetaData.xml の新しい SAML メタデータドキュメントで更新します。

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

出力:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

詳細については、「AWS IAM ユーザーガイド」の「IAM SAML ID プロバイダーの作成」を参照してください。

AWS アカウントのサーバー証明書のパスまたは名前を変更するには

次の update-server-certificate コマンドは、証明書の名前を myServerCertificate から myUpdatedServerCertificate に変更します。また、Amazon CloudFront サービスからアクセスできるように /cloudfront/ へのパスも変更します。このコマンドでは何も出力されません。list-server-certificates コマンドを実行すると、更新の結果を表示できます。

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM でのサーバー証明書の管理」を参照してください。

例 1: リクエストするユーザーのサービス固有の認証情報のステータスを更新するには

次の update-service-specific-credential の例では、Inactive にリクエストを行うユーザーの指定された認証情報のステータスを変更します。

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

このコマンドでは何も出力されません。

例 2: 指定されたユーザーのサービス固有の認証情報のステータスを更新するには

次の update-service-specific-credential の例では、指定されたユーザーの認証情報のステータスを非アクティブに変更します。

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

このコマンドでは何も出力されません。

詳細については、「AWS CodeCommit ユーザーガイド」の「CodeCommit への HTTPS 接続用の Git 認証情報を作成する」を参照してください。

IAM ユーザーの署名証明書を有効または無効にするには

次の update-signing-certificate コマンドは、Bob という名前の IAM ユーザーの指定された署名証明書を無効にします。

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

署名証明書の ID を取得するには、list-signing-certificates コマンドを使用します。

詳細については、「Amazon EC2 ユーザーガイド」の「署名証明書の管理」を参照してください。

SSH パブリックキーのステータスを変更するには

次の update-ssh-public-key コマンドは、指定されたパブリックキーのステータスを Inactive に変更します。

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「CodeCommit で SSH キーと SSH を使用する」を参照してください。

IAM ユーザー名を変更するには

次の update-user コマンドは、IAM ユーザー Bob の名前を Robert に変更します。

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

このコマンドでは何も出力されません。

詳細については、「AWS IAM ユーザーガイド」の「IAM ユーザーグループの名前の変更」を参照してください。

サーバー証明書を AWS アカウントにアップロードするには

次の upload-server-certificate コマンドは、サーバー証明書を AWS アカウントにアップロードします。この例では、証明書はファイル public_key_cert_file.pem 内に、関連付けられたプライベートキーはファイル my_private_key.pem 内に、認証機関 (CA) によって提供される証明書チェーンは my_certificate_chain_file.pem ファイル内に、それぞれ存在しています。ファイルのアップロードが完了すると、myServerCertificate という名前で使用できるようになります。file:// で始まるパラメータは、ファイルの内容を読み取り、それをファイル名自体の代わりにパラメータ値として使用するようにコマンドに指示します。

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

出力:

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

詳細については、IAM の使用に関するガイドの「サーバー証明書の作成、アップロード、削除」を参照してください。

IAM ユーザーの署名証明書をアップロードするには

次の upload-signing-certificate コマンドは、Bob という名前の IAM ユーザーの署名証明書をアップロードします。

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

出力:

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

証明書は PEM 形式の certificate.pem という名前のファイルにあります。

詳細については、「IAM の使用に関するガイド」の「Creating and Uploading a User Signing Certificate」を参照してください。

SSH パブリックキーをアップロードしてユーザーに関連付けるには

次の upload-ssh-public-key のコマンドは、sshkey.pub ファイルにあるパブリックキーをアップロードし、ユーザー sofia にアタッチします。

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

出力:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

このコマンドに適した形式でキーを生成する方法の詳細については、「AWS CodeCommit ユーザーガイド」の「SSH および Linux、macOS、または Unix: Git と CodeCommit のパブリックキーとプライベートキーをセットアップする」または「SSH と Windows: Git と CodeCommit 用のパブリックキーとプライベートキーのセットアップ」を参照してください。