IAM-Beispiele mit AWS CLI - AWS Command Line Interface

Diese Dokumentation bezieht sich AWS CLI nur auf Version 1 von. Dokumentation zu Version 2 von finden Sie im Benutzerhandbuch für Version 2. AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Beispiele mit AWS CLI

Die folgenden Codebeispiele zeigen Ihnen, wie Sie mithilfe von AWS Command Line Interface mit IAM Aktionen ausführen und allgemeine Szenarien implementieren.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Während Aktionen Ihnen zeigen, wie Sie einzelne Servicefunktionen aufrufen, können Sie Aktionen im Kontext der zugehörigen Szenarien und serviceübergreifenden Beispiele sehen.

Szenarien sind Codebeispiele, die Ihnen zeigen, wie Sie eine bestimmte Aufgabe ausführen können, indem Sie mehrere Funktionen innerhalb desselben Services aufrufen.

Jedes Beispiel enthält einen Link zu GitHub, wo Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Das folgende Codebeispiel zeigt, wie man es benutztadd-client-id-to-open-id-connect-provider.

AWS CLI

So fügen Sie einem Open-ID Connect (OIDC) -Anbieter eine Client-ID (Audience) hinzu

Der folgende add-client-id-to-open-id-connect-provider Befehl fügt dem genannten OIDC-Anbieter die Client-ID my-application-ID hinzu. server.example.com

aws iam add-client-id-to-open-id-connect-provider \ --client-id my-application-ID \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den Befehl, um einen OIDC-Anbieter zu erstellen. create-open-id-connect-provider

Weitere Informationen finden Sie unter Creating OpenID Connect (OIDC) Identity Providers im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungadd-role-to-instance-profile.

AWS CLI

Um einem Instanzprofil eine Rolle hinzuzufügen

Der folgende add-role-to-instance-profile Befehl fügt die benannte Rolle S3Access dem genannten Instanzprofil hinzuWebserver.

aws iam add-role-to-instance-profile \ --role-name S3Access \ --instance-profile-name Webserver

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den create-instance-profile Befehl, um ein Instanzprofil zu erstellen.

Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon-EC2-Instances ausgeführt werden im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungadd-user-to-group.

AWS CLI

So fügen Sie einen Benutzer einer IAM-Gruppe hinzu

Mit dem folgenden add-user-to-group-Befehl wird ein Benutzer mit dem Namen Bob zur IAM-Gruppe mit dem Namen Admins hinzugefügt.

aws iam add-user-to-group \ --user-name Bob \ --group-name Admins

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Benutzern in einer IAM-Benutzergruppe im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie AddUserToGroupin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungattach-group-policy.

AWS CLI

Um eine verwaltete Richtlinie an eine IAM-Gruppe anzuhängen

Mit dem folgenden attach-group-policy Befehl wird die benannte AWS verwaltete Richtlinie ReadOnlyAccess an die angegebene IAM-Gruppe angehängt. Finance

aws iam attach-group-policy \ --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \ --group-name Finance

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen hierzu finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungattach-role-policy.

AWS CLI

So fügen Sie einer IAM-Rolle eine verwaltete Richtlinie an

Mit dem folgenden attach-role-policy Befehl wird die benannte AWS verwaltete Richtlinie ReadOnlyAccess an die angegebene IAM-Rolle angehängt. ReadOnlyRole

aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \ --role-name ReadOnlyRole

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen hierzu finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungattach-user-policy.

AWS CLI

So fügen Sie einem IAM-Benutzer eine verwaltete Richtlinie an

Mit dem folgenden attach-user-policy Befehl wird die AWS verwaltete Richtlinie mit AdministratorAccess dem Namen des IAM-Benutzers verknüpft. Alice

aws iam attach-user-policy \ --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \ --user-name Alice

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen hierzu finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungchange-password.

AWS CLI

Um das Passwort für Ihren IAM-Benutzer zu ändern

Um das Passwort für Ihren IAM-Benutzer zu ändern, empfehlen wir, den --cli-input-json Parameter zu verwenden, um eine JSON-Datei zu übergeben, die Ihr altes und Ihr neues Passwort enthält. Mit dieser Methode können Sie sichere Passwörter mit nicht alphanumerischen Zeichen verwenden. Es kann schwierig sein, Passwörter mit nicht alphanumerischen Zeichen zu verwenden, wenn Sie sie als Befehlszeilenparameter übergeben. Um den --cli-input-json Parameter zu verwenden, verwenden Sie zunächst den change-password Befehl mit dem --generate-cli-skeleton Parameter, wie im folgenden Beispiel.

aws iam change-password \ --generate-cli-skeleton > change-password.json

Mit dem vorherigen Befehl wird eine JSON-Datei mit dem Namen change-password.json erstellt, mit der Sie Ihre alten und neuen Passwörter eingeben können. Die Datei könnte beispielsweise wie folgt aussehen.

{ "OldPassword": "3s0K_;xh4~8XXI", "NewPassword": "]35d/{pB9Fo9wJ" }

Verwenden Sie als Nächstes den change-password Befehl erneut, um Ihr Passwort zu ändern. Übergeben Sie diesmal den --cli-input-json Parameter zur Angabe Ihrer JSON-Datei. Der folgende change-password Befehl verwendet den --cli-input-json Parameter mit einer JSON-Datei namens change-password.json.

aws iam change-password \ --cli-input-json file://change-password.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Dieser Befehl kann nur von IAM-Benutzern aufgerufen werden. Wenn dieser Befehl mit AWS Kontoanmeldeinformationen (Root) aufgerufen wird, gibt der Befehl einen InvalidUserType Fehler zurück.

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter So ändert ein AWS IAM-Benutzer sein eigenes Passwort.

Das folgende Codebeispiel zeigt die Verwendungcreate-access-key.

AWS CLI

So erstellen Sie einen Zugriffsschlüssel für einen IAM-Benutzer

Mit dem folgenden create-access-key-Befehl wird ein Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den IAM-Benutzer mit dem Namen Bob erstellt.

aws iam create-access-key \ --user-name Bob

Ausgabe:

{ "AccessKey": { "UserName": "Bob", "Status": "Active", "CreateDate": "2015-03-09T18:39:23.411Z", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" } }

Speichern Sie den geheimen Zugriffsschlüssel an einem sicheren Ort. Bei Verlust kann er nicht wiederhergestellt werden und Sie müssen einen neuen Zugriffsschlüssel erstellen.

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie CreateAccessKeyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-account-alias.

AWS CLI

So erstellen Sie einen Konto-Alias

Der folgende create-account-alias Befehl erstellt den Alias examplecorp für Ihr AWS Konto.

aws iam create-account-alias \ --account-alias examplecorp

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ihre AWS Konto-ID und deren Alias im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-group.

AWS CLI

So erstellen Sie eine IAM-Gruppe

Mit dem folgenden create-group-Befehl wird eine IAM-Gruppe mit dem Namen Admins erstellt.

aws iam create-group \ --group-name Admins

Ausgabe:

{ "Group": { "Path": "/", "CreateDate": "2015-03-09T20:30:24.940Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }

Weitere Informationen finden Sie unter Erstellen von IAM-Benutzergruppen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie CreateGroupin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-instance-profile.

AWS CLI

So erstellen Sie ein Instance-Profil

Der folgende create-instance-profile-Befehl erstellt ein Instance-Profil mit dem Namen Webserver.

aws iam create-instance-profile \ --instance-profile-name Webserver

Ausgabe:

{ "InstanceProfile": { "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE", "Roles": [], "CreateDate": "2015-03-09T20:33:19.626Z", "InstanceProfileName": "Webserver", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver" } }

Verwenden Sie den add-role-to-instance-profile-Befehl, um einem Instance-Profil eine Rolle hinzuzufügen.

Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Gewähren von Berechtigungen für Anwendungen, die in Amazon-EC2-Instances ausgeführt werden im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-login-profile.

AWS CLI

Um ein Passwort für einen IAM-Benutzer zu erstellen

Um ein Passwort für einen IAM-Benutzer zu erstellen, empfehlen wir, den --cli-input-json Parameter zu verwenden, um eine JSON-Datei zu übergeben, die das Passwort enthält. Mit dieser Methode können Sie ein sicheres Passwort mit nicht alphanumerischen Zeichen erstellen. Es kann schwierig sein, ein Passwort mit nicht alphanumerischen Zeichen zu erstellen, wenn Sie es als Befehlszeilenparameter übergeben.

Um den --cli-input-json Parameter zu verwenden, verwenden Sie zunächst den create-login-profile Befehl mit dem --generate-cli-skeleton Parameter, wie im folgenden Beispiel.

aws iam create-login-profile \ --generate-cli-skeleton > create-login-profile.json

Mit dem vorherigen Befehl wird eine JSON-Datei namens create-login-profile .json erstellt, mit der Sie die Informationen für einen nachfolgenden create-login-profile Befehl eingeben können. Beispielsweise:

{ "UserName": "Bob", "Password": "&1-3a6u:RA0djs", "PasswordResetRequired": true }

Verwenden Sie als Nächstes den create-login-profile Befehl erneut, um ein Passwort für einen IAM-Benutzer zu erstellen. Übergeben Sie diesmal den --cli-input-json Parameter zur Angabe Ihrer JSON-Datei. Der folgende create-login-profile Befehl verwendet den --cli-input-json Parameter mit einer JSON-Datei namens create-login-profile .json.

aws iam create-login-profile \ --cli-input-json file://create-login-profile.json

Ausgabe:

{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2015-03-10T20:55:40.274Z", "PasswordResetRequired": true } }

Wenn das neue Passwort gegen die Kontopasswortrichtlinie verstößt, gibt der Befehl einen PasswordPolicyViolation Fehler zurück.

Um das Passwort für einen Benutzer zu ändern, der bereits eines hat, verwenden Sieupdate-login-profile. Verwenden Sie den update-account-password-policy Befehl, um eine Kennwortrichtlinie für das Konto festzulegen.

Wenn die Kontopasswortrichtlinie dies zulässt, können IAM-Benutzer ihre eigenen Passwörter mithilfe des change-password Befehls ändern.

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Passwörter für IAM-Benutzer verwalten.AWS

Das folgende Codebeispiel zeigt die Verwendungcreate-open-id-connect-provider.

AWS CLI

So erstellen Sie einen OpenID Connect (OIDC) -Anbieter

Um einen OpenID Connect (OIDC) -Anbieter zu erstellen, empfehlen wir, den --cli-input-json Parameter zu verwenden, um eine JSON-Datei zu übergeben, die die erforderlichen Parameter enthält. Wenn Sie einen OIDC-Anbieter erstellen, müssen Sie die URL des Anbieters übergeben, und die URL muss mit beginnen. https:// Es kann schwierig sein, die URL als Befehlszeilenparameter zu übergeben, da der Doppelpunkt (:) und der Schrägstrich (/) in manchen Befehlszeilenumgebungen eine besondere Bedeutung haben. Durch die Verwendung des --cli-input-json Parameters wird diese Einschränkung umgangen.

Um den --cli-input-json Parameter zu verwenden, verwenden Sie zunächst den create-open-id-connect-provider Befehl mit dem --generate-cli-skeleton Parameter, wie im folgenden Beispiel.

aws iam create-open-id-connect-provider \ --generate-cli-skeleton > create-open-id-connect-provider.json

Mit dem vorherigen Befehl wird eine JSON-Datei mit dem Namen create-open-id-connect -provider.json erstellt, mit der Sie die Informationen für einen nachfolgenden Befehl eingeben können. create-open-id-connect-provider Beispielsweise:

{ "Url": "https://server.example.com", "ClientIDList": [ "example-application-ID" ], "ThumbprintList": [ "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE" ] }

Verwenden Sie als Nächstes den create-open-id-connect-provider Befehl erneut, um den OpenID Connect (OIDC) -Anbieter zu erstellen. Übergeben Sie diesmal den --cli-input-json Parameter zur Angabe Ihrer JSON-Datei. Der folgende create-open-id-connect-provider Befehl verwendet den --cli-input-json Parameter mit einer JSON-Datei namens -provider.json. create-open-id-connect

aws iam create-open-id-connect-provider \ --cli-input-json file://create-open-id-connect-provider.json

Ausgabe:

{ "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com" }

Weitere Informationen zu OIDC-Anbietern finden Sie unter Creating OpenID Connect (OIDC) Identity Providers im IAM-Benutzerhandbuch.AWS

Weitere Informationen zum Abrufen von Fingerabdrücken für einen OIDC-Anbieter finden Sie unter Abrufen des Fingerabdrucks für einen OpenID Connect-Identitätsanbieter im IAM-Benutzerhandbuch.AWS

Das folgende Codebeispiel zeigt die Verwendungcreate-policy-version.

AWS CLI

So erstellen Sie eine neue Version einer verwalteten Richtlinie

In diesem Beispiel wird eine neue v2-Version der IAM-Richtlinie erstellt, deren ARN arn:aws:iam::123456789012:policy/MyPolicy lautet, und sie zur Standardversion gemacht.

aws iam create-policy-version \ --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \ --policy-document file://NewPolicyVersion.json \ --set-as-default

Ausgabe:

{ "PolicyVersion": { "CreateDate": "2015-06-16T18:56:03.721Z", "VersionId": "v2", "IsDefaultVersion": true } }

Weitere Informationen finden Sie unter Versionsverwaltung von IAM-Richtlinien im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-policy.

AWS CLI

Beispiel 1: So erstellen Sie eine vom Kunden verwaltete Richtlinie

Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy erstellt.

aws iam create-policy \ --policy-name my-policy \ --policy-document file://policy

Bei der Datei policy handelt es sich um ein JSON-Dokument im aktuellen shared-Ordner, das schreibgeschützten Zugriff auf den Ordner in einem Amazon-S3-Bucket mit dem Namen my-bucket gewährt.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::my-bucket/shared/*" ] } ] }

Ausgabe:

{ "Policy": { "PolicyName": "my-policy", "CreateDate": "2015-06-01T19:31:18.620Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "ZXR6A36LTYANPAI7NJ5UV", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::0123456789012:policy/my-policy", "UpdateDate": "2015-06-01T19:31:18.620Z" } }

Weitere Informationen zur Verwendung von Dateien als Eingabe für Zeichenkettenparameter finden Sie unter Angeben von Parameterwerten für die AWS CLI im AWS CLI-Benutzerhandbuch.

Beispiel 2: So erstellen Sie eine vom Kunden verwaltete Richtlinie mit einer Beschreibung

Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy und einer unveränderlichen Beschreibung erstellt:

aws iam create-policy \ --policy-name my-policy \ --policy-document file://policy.json \ --description "This policy grants access to all Put, Get, and List actions for my-bucket"

Bei der policy.json-Datei handelt es sich um ein JSON-Dokument im aktuellen Ordner, das Zugriff auf alle Put-, List- und Get-Aktionen für einen Amazon-S3-Bucket mit dem Namen my-bucket gewährt.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }

Ausgabe:

{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T22:38:47+00:00", "UpdateDate": "2023-05-24T22:38:47+00:00" } }

Weitere Informationen zu identitätsbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im AWS -IAM-Benutzerhandbuch.

Beispiel 3: So erstellen Sie eine vom Kunden verwaltete Richtlinie mit Tags

Mit dem folgenden Befehl wird eine vom Kunden verwaltete Richtlinie mit dem Namen my-policy mit Tags erstellt. In diesem Beispiel wird das --tags-Parameter-Flag mit den folgenden JSON-formatierten Tags verwendet: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Alternativ kann das --tags-Flag mit Tags im Kurzformat 'Key=Department,Value=Accounting Key=Location,Value=Seattle' verwendet werden.

aws iam create-policy \ --policy-name my-policy \ --policy-document file://policy.json \ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Bei der policy.json-Datei handelt es sich um ein JSON-Dokument im aktuellen Ordner, das Zugriff auf alle Put-, List- und Get-Aktionen für einen Amazon-S3-Bucket mit dem Namen my-bucket gewährt.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:s3:::my-bucket" ] } ] }

Ausgabe:

{ "Policy": { "PolicyName": "my-policy", "PolicyId": "ANPAWGSUGIDPEXAMPLE", "Arn": "arn:aws:iam::12345678012:policy/my-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-05-24T23:16:39+00:00", "UpdateDate": "2023-05-24T23:16:39+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, "Key": "Location", "Value": "Seattle" { ] } }

Weitere Informationen zu Tagging-Richtlinien finden Sie unter Tagging von vom Kunden verwalteten Richtlinien im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie CreatePolicyunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-role.

AWS CLI

Beispiel 1: So erstellen Sie eine IAM-Rolle

Mit dem folgenden create-role-Befehl wird eine Rolle mit dem Namen Test-Role erstellt und ihr eine Vertrauensrichtlinie angefügt.

aws iam create-role \ --role-name Test-Role \ --assume-role-policy-document file://Test-Role-Trust-Policy.json

Ausgabe:

{ "Role": { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AKIAIOSFODNN7EXAMPLE", "CreateDate": "2013-06-07T20:43:32.821Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }

Die Vertrauensrichtlinie ist als JSON-Dokument in der Datei Test-Role-Trust-Policy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.) Die Vertrauensrichtlinie muss einen Prinzipal angeben.

Verwenden Sie den put-role-policy-Befehl, um die Berechtigungsrichtlinie der Rolle anzufügen.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS -IAM-Benutzerhandbuch.

Beispiel 2: So erstellen Sie eine IAM-Rolle mit angegebener maximaler Sitzungsdauer

Mit dem folgenden create-role-Befehl wird eine Rolle mit dem Namen Test-Role erstellt und eine maximale Sitzungsdauer von 7 200 Sekunden (2 Stunden) festgelegt.

aws iam create-role \ --role-name Test-Role \ --assume-role-policy-document file://Test-Role-Trust-Policy.json \ --max-session-duration 7200

Ausgabe:

{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:role/Test-Role", "CreateDate": "2023-05-24T23:50:25+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678012:root" }, "Action": "sts:AssumeRole" } ] } } }

Weitere Informationen finden Sie unter Ändern der maximalen Sitzungsdauer (AWS API) einer Rolle im AWS IAM-Benutzerhandbuch.

Beispiel 3: So erstellen Sie eine IAM-Rolle mit Tags

Mit dem folgenden Befehl wird eine IAM-Rolle Test-Role mit Tags erstellt. In diesem Beispiel wird das --tags-Parameter-Flag mit den folgenden JSON-formatierten Tags verwendet: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Alternativ kann das --tags-Flag mit Tags im Kurzformat 'Key=Department,Value=Accounting Key=Location,Value=Seattle' verwendet werden.

aws iam create-role \ --role-name Test-Role \ --assume-role-policy-document file://Test-Role-Trust-Policy.json \ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Ausgabe:

{ "Role": { "Path": "/", "RoleName": "Test-Role", "RoleId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/Test-Role", "CreateDate": "2023-05-25T23:29:41+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }, "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }

Weitere Informationen finden Sie unter Taggen von IAM-Rollen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie CreateRolein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-saml-provider.

AWS CLI

So erstellen Sie einen SAML-Anbieter

In diesem Beispiel wird in IAM ein neuer SAML-Anbieter mit dem Namen MySAMLProvider erstellt. Es wird durch das SAML-Metadatendokument beschrieben, das sich in der Datei SAMLMetaData.xml befindet.

aws iam create-saml-provider \ --saml-metadata-document file://SAMLMetaData.xml \ --name MySAMLProvider

Ausgabe:

{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider" }

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-service-linked-role.

AWS CLI

So erstellen Sie eine serviceverknüpfte Rolle

Im folgenden create-service-linked-role Beispiel wird eine dienstbezogene Rolle für den angegebenen AWS Dienst erstellt und die angegebene Beschreibung angehängt.

aws iam create-service-linked-role \ --aws-service-name lex.amazonaws.com \ --description "My service-linked role to support Lex"

Ausgabe:

{ "Role": { "Path": "/aws-service-role/lex.amazonaws.com/", "RoleName": "AWSServiceRoleForLexBots", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots", "CreateDate": "2019-04-17T20:34:14+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "lex.amazonaws.com" ] } } ] } } }

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-service-specific-credential.

AWS CLI

Erstellen Sie einen Satz dienstspezifischer Anmeldeinformationen für einen Benutzer

Im folgenden create-service-specific-credential Beispiel werden ein Benutzername und ein Passwort erstellt, die nur für den Zugriff auf den konfigurierten Dienst verwendet werden können.

aws iam create-service-specific-credential \ --user-name sofia \ --service-name codecommit.amazonaws.com

Ausgabe:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu.

Das folgende Codebeispiel zeigt die Verwendungcreate-user.

AWS CLI

Beispiel 1: So erstellen Sie einen IAM-Benutzer

Mit dem folgenden create-user-Befehl wird im aktuellen Konto ein IAM-Benutzer mit dem Namen Bob erstellt.

aws iam create-user \ --user-name Bob

Ausgabe:

{ "User": { "UserName": "Bob", "Path": "/", "CreateDate": "2023-06-08T03:20:41.270Z", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } }

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Einen IAM-Benutzer in Ihrem AWS Konto erstellen.AWS

Beispiel 2: So erstellen Sie einen IAM-Benutzer unter einem angegebenen Pfad

Mit dem folgenden create-user-Befehl wird im angegebenen Pfad ein IAM-Benutzer mit dem Namen Bob erstellt.

aws iam create-user \ --user-name Bob \ --path /division_abc/subdivision_xyz/

Ausgabe:

{ "User": { "Path": "/division_abc/subdivision_xyz/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob", "CreateDate": "2023-05-24T18:20:17+00:00" } }

Weitere Informationen finden Sie unter IAM-Kennungen im AWS -Benutzerhandbuch.

Beispiel 3: So erstellen Sie einen IAM-Benutzer mit Tags

Mit dem folgenden create-user-Befehl wird ein IAM-Benutzer mit dem Namen Bob mit Tags erstellt. In diesem Beispiel wird das --tags-Parameter-Flag mit den folgenden JSON-formatierten Tags verwendet: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Alternativ kann das --tags-Flag mit Tags im Kurzformat 'Key=Department,Value=Accounting Key=Location,Value=Seattle' verwendet werden.

aws iam create-user \ --user-name Bob \ --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Ausgabe:

{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-25T17:14:21+00:00", "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "Location", "Value": "Seattle" } ] } }

Weitere Informationen finden Sie unter Tagging von IAM-Rollen im AWS -IAM-Benutzerhandbuch.

Beispiel 3: So erstellen Sie einen IAM-Benutzer mit einer festgelegten Berechtigungsgrenze

Mit dem folgenden create-user Befehl wird ein IAM-Benutzer Bob mit der Berechtigungsgrenze von AmazonS3 erstellt. FullAccess

aws iam create-user \ --user-name Bob \ --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Ausgabe:

{ "User": { "Path": "/", "UserName": "Bob", "UserId": "AIDAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::12345678012:user/Bob", "CreateDate": "2023-05-24T17:50:53+00:00", "PermissionsBoundary": { "PermissionsBoundaryType": "Policy", "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" } } }

Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie CreateUserin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-virtual-mfa-device.

AWS CLI

So erstellen Sie ein virtuelles MFA-Gerät

In diesem Beispiel wird ein neues virtuelles MFA-Gerät namens BobsMFADevice erstellt. Es erstellt eine Datei, die Bootstrap-Informationen enthält, QRCode.png und platziert sie im C:/ Verzeichnis. Die in diesem Beispiel verwendete Bootstrap-Methode ist. QRCodePNG

aws iam create-virtual-mfa-device \ --virtual-mfa-device-name BobsMFADevice \ --outfile C:/QRCode.png \ --bootstrap-method QRCodePNG

Ausgabe:

{ "VirtualMFADevice": { "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice" }

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdeactivate-mfa-device.

AWS CLI

Um ein MFA-Gerät zu deaktivieren

Dieser Befehl deaktiviert das virtuelle MFA-Gerät mit dem ARNarn:aws:iam::210987654321:mfa/BobsMFADevice, das dem Benutzer zugeordnet ist. Bob

aws iam deactivate-mfa-device \ --user-name Bob \ --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdecode-authorization-message.

AWS CLI

Um eine Meldung über einen Autorisierungsfehler zu dekodieren

Im folgenden decode-authorization-message Beispiel wird die Meldung dekodiert, die von der EC2-Konsole zurückgegeben wird, wenn versucht wird, eine Instance ohne die erforderlichen Berechtigungen zu starten.

aws sts decode-authorization-message \ --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

Die Ausgabe ist als einzeilige Zeichenfolge mit JSON-Text formatiert, die Sie mit einem beliebigen JSON-Textverarbeitungsprogramm analysieren können.

{ "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}" }

Weitere Informationen finden Sie unter Wie kann ich eine Meldung über einen Autorisierungsfehler dekodieren, nachdem ich beim Start einer EC2-Instance einen Fehler UnauthorizedOperation "" erhalten habe? in AWS re:POST.

Das folgende Codebeispiel zeigt die Verwendungdelete-access-key.

AWS CLI

So löschen Sie einen Zugriffsschlüssel für einen IAM-Benutzer

Mit dem folgenden delete-access-key-Befehl wird der angegebene Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den IAM-Benutzer mit dem Namen Bob gelöscht.

aws iam delete-access-key \ --access-key-id AKIDPMS9RO4H3FEXAMPLE \ --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-access-keys-Befehl, um die für einen IAM-Benutzer definierten Zugriffsschlüssel aufzulisten.

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie DeleteAccessKeyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-account-alias.

AWS CLI

So löschen Sie einen Konto-Alias

Mit dem folgenden delete-account-alias-Befehl wird der Alias mycompany für das aktuelle Konto entfernt.

aws iam delete-account-alias \ --account-alias mycompany

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ihre AWS Konto-ID und ihr Alias im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-account-password-policy.

AWS CLI

Um die Passwortrichtlinie für das aktuelle Konto zu löschen

Mit dem folgenden delete-account-password-policy Befehl wird die Kennwortrichtlinie für das aktuelle Konto entfernt.

aws iam delete-account-password-policy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Festlegen einer Kontopasswortrichtlinie für IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-group-policy.

AWS CLI

So löschen Sie eine Richtlinie aus einer IAM-Gruppe

Mit dem folgenden delete-group-policy-Befehl wird die Richtlinie mit dem Namen ExamplePolicy aus der Gruppe mit dem Namen Admins gelöscht.

aws iam delete-group-policy \ --group-name Admins \ --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-group-policies-Befehl, um die einer Gruppe zugeordneten Richtlinien anzuzeigen.

Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-group.

AWS CLI

So löschen Sie eine IAM-Gruppe

Mit dem folgenden delete-group-Befehl wird eine IAM-Gruppe mit dem Namen MyTestGroup gelöscht.

aws iam delete-group \ --group-name MyTestGroup

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Löschen einer IAM-Benutzergruppe im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie DeleteGroupin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-instance-profile.

AWS CLI

So löschen Sie ein Instance-Profil

Mit dem folgenden delete-instance-profile-Befehl wird das Instance-Profil mit dem Namen ExampleInstanceProfile gelöscht.

aws iam delete-instance-profile \ --instance-profile-name ExampleInstanceProfile

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-login-profile.

AWS CLI

Um ein Passwort für einen IAM-Benutzer zu löschen

Mit dem folgenden delete-login-profile Befehl wird das Passwort für den IAM-Benutzer mit dem Namen gelöscht. Bob

aws iam delete-login-profile \ --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Passwörter für IAM-Benutzer verwalten.AWS

Das folgende Codebeispiel zeigt die Verwendungdelete-open-id-connect-provider.

AWS CLI

So löschen Sie einen IAM OpenID Connect-Identitätsanbieter

In diesem Beispiel wird der IAM-OIDC-Anbieter gelöscht, der eine Verbindung zum Anbieter herstellt. example.oidcprovider.com

aws iam delete-open-id-connect-provider \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Creating OpenID Connect (OIDC) Identity Providers im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-policy-version.

AWS CLI

Um eine Version einer verwalteten Richtlinie zu löschen

In diesem Beispiel wird die als identifizierte Version v2 aus der Richtlinie gelöscht, deren ARN lautetarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \ --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \ --version-id v2

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-policy.

AWS CLI

So löschen Sie eine IAM-Richtlinie

In diesem Beispiel wird die Richtlinie, deren ARN arn:aws:iam::123456789012:policy/MySamplePolicy lautet, gelöscht.

aws iam delete-policy \ --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie DeletePolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-role-permissions-boundary.

AWS CLI

Um eine Berechtigungsgrenze aus einer IAM-Rolle zu löschen

Im folgenden delete-role-permissions-boundary Beispiel wird die Berechtigungsgrenze für die angegebene IAM-Rolle gelöscht. Verwenden Sie den Befehl, um einer Rolle eine Berechtigungsgrenze zuzuweisen. put-role-permissions-boundary

aws iam delete-role-permissions-boundary \ --role-name lambda-application-role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-role-policy.

AWS CLI

So entfernen Sie eine Richtlinie aus einer IAM-Rolle

Mit dem folgenden delete-role-policy-Befehl wird die Richtlinie mit dem Namen ExamplePolicy aus der Rolle mit dem Namen Test-Role entfernt.

aws iam delete-role-policy \ --role-name Test-Role \ --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie DeleteRolePolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-role.

AWS CLI

So löschen Sie eine IAM-Rolle

Mit dem folgenden delete-role-Befehl wird die Rolle mit dem Namen Test-Role entfernt.

aws iam delete-role \ --role-name Test-Role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Bevor Sie eine Rolle löschen können, müssen Sie die Rolle aus allen Instance-Profilen entfernen (remove-role-from-instance-profile), alle verwalteten Richtlinien entfernen (detach-role-policy) und alle eingebundenen Richtlinien, die der Rolle angefügt sind (delete-role-policy), löschen.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen und Verwenden von Instance-Profilen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie DeleteRolein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-saml-provider.

AWS CLI

So löschen Sie einen SAML-Anbieter

In diesem Beispiel wird der IAM SAML 2.0-Anbieter gelöscht, dessen ARN arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider lautet.

aws iam delete-saml-provider \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-server-certificate.

AWS CLI

Um ein Serverzertifikat aus Ihrem AWS Konto zu löschen

Mit dem folgenden delete-server-certificate Befehl wird das angegebene Serverzertifikat aus Ihrem AWS Konto entfernt.

aws iam delete-server-certificate \ --server-certificate-name myUpdatedServerCertificate

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-server-certificates Befehl, um die in Ihrem AWS Konto verfügbaren Serverzertifikate aufzulisten.

Weitere Informationen finden Sie unter Verwaltung von Serverzertifikaten in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-service-linked-role.

AWS CLI

So löschen Sie eine serviceverknüpfte Rolle

Im folgenden delete-service-linked-role-Beispiel wird die angegebene serviceverknüpfte Rolle, die Sie nicht mehr benötigen, gelöscht. Der Löschvorgang erfolgt asynchron. Sie können den Status des Löschvorgangs mithilfe des get-service-linked-role-deletion-status-Befehls überprüfen und bestätigen, wann der Vorgang abgeschlossen ist.

aws iam delete-service-linked-role \ --role-name AWSServiceRoleForLexBots

Ausgabe:

{ "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE" }

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-service-specific-credential.

AWS CLI

Beispiel 1: Löschen Sie dienstspezifische Anmeldeinformationen für den anfragenden Benutzer

Im folgenden delete-service-specific-credential Beispiel werden die angegebenen dienstspezifischen Anmeldeinformationen für den Benutzer gelöscht, der die Anfrage stellt. Das service-specific-credential-id wird bereitgestellt, wenn Sie die Anmeldeinformationen erstellen, und Sie können sie mithilfe des Befehls abrufen. list-service-specific-credentials

aws iam delete-service-specific-credential \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Löschen Sie dienstspezifische Anmeldeinformationen für einen bestimmten Benutzer

Im folgenden delete-service-specific-credential Beispiel werden die angegebenen dienstspezifischen Anmeldeinformationen für den angegebenen Benutzer gelöscht. Das service-specific-credential-id wird bereitgestellt, wenn Sie die Anmeldeinformationen erstellen, und Sie können sie mithilfe des Befehls abrufen. list-service-specific-credentials

aws iam delete-service-specific-credential \ --user-name sofia \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu.

Das folgende Codebeispiel zeigt die Verwendungdelete-signing-certificate.

AWS CLI

Um ein Signaturzertifikat für einen IAM-Benutzer zu löschen

Der folgende delete-signing-certificate Befehl löscht das angegebene Signaturzertifikat für den genannten IAM-Benutzer. Bob

aws iam delete-signing-certificate \ --user-name Bob \ --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den Befehl, um die ID für ein Signaturzertifikat abzurufen. list-signing-certificates

Weitere Informationen finden Sie unter Signaturzertifikate verwalten im Amazon EC2 EC2-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-ssh-public-key.

AWS CLI

Um einen öffentlichen SSH-Schlüssel zu löschen, der an einen IAM-Benutzer angehängt ist

Der folgende delete-ssh-public-key Befehl löscht den angegebenen öffentlichen SSH-Schlüssel, der an den IAM-Benutzer angehängt ist. sofia

aws iam delete-ssh-public-key \ --user-name sofia \ --ssh-public-key-id APKA123456789EXAMPLE

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter SSH-Schlüssel und SSH mit verwenden CodeCommit im IAM-Benutzerhandbuch.AWS

Das folgende Codebeispiel zeigt die Verwendungdelete-user-permissions-boundary.

AWS CLI

Um eine Berechtigungsgrenze für einen IAM-Benutzer zu löschen

Im folgenden delete-user-permissions-boundary Beispiel wird die Berechtigungsgrenze gelöscht, die dem IAM-Benutzer mit dem Namen zugewiesen ist. intern Verwenden Sie den Befehl, um einem Benutzer eine Berechtigungsgrenze zuzuweisen. put-user-permissions-boundary

aws iam delete-user-permissions-boundary \ --user-name intern

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-user-policy.

AWS CLI

So entfernen Sie eine Richtlinie von einem IAM-Benutzer

Mit dem folgenden delete-user-policy-Befehl wird die angegebene Richtlinie vom IAM-Benutzer mit dem Namen Bob entfernt.

aws iam delete-user-policy \ --user-name Bob \ --policy-name ExamplePolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den list-user-policies-Befehl, um eine Liste der Richtlinien für einen IAM-Benutzer abzurufen.

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Einen IAM-Benutzer in Ihrem AWS Konto erstellen.AWS

Das folgende Codebeispiel zeigt die Verwendungdelete-user.

AWS CLI

So löschen Sie einen IAM-Benutzer

Mit dem folgenden delete-user-Befehl wird der IAM-Benutzer mit dem Namen Bob aus dem aktuellen Konto entfernt.

aws iam delete-user \ --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Löschen eines IAM-Benutzers im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie DeleteUserin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-virtual-mfa-device.

AWS CLI

So entfernen Sie ein virtuelles MFA-Gerät

Mit dem folgenden delete-virtual-mfa-device Befehl wird das angegebene MFA-Gerät aus dem aktuellen Konto entfernt.

aws iam delete-virtual-mfa-device \ --serial-number arn:aws:iam::123456789012:mfa/MFATest

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Deaktivierung von MFA-Geräten im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdetach-group-policy.

AWS CLI

Um eine Richtlinie von einer Gruppe zu trennen

In diesem Beispiel wird die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy aus der aufgerufenen Gruppe entferntTesters.

aws iam detach-group-policy \ --group-name Testers \ --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltung von IAM-Benutzergruppen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdetach-role-policy.

AWS CLI

So trennen Sie eine Richtlinie von einer Rolle

In diesem Beispiel wird die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy aus der Rolle mit dem Namen FedTesterRole entfernt.

aws iam detach-role-policy \ --role-name FedTesterRole \ --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie DetachRolePolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdetach-user-policy.

AWS CLI

So trennen Sie eine Richtlinie von einem Benutzer

In diesem Beispiel wird die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/TesterPolicy vom Benutzer Bob entfernt.

aws iam detach-user-policy \ --user-name Bob \ --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Änderung der Berechtigungen für einen IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie DetachUserPolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungenable-mfa-device.

AWS CLI

So aktivieren Sie ein MFA-Gerät

Nachdem Sie den create-virtual-mfa-device Befehl verwendet haben, um ein neues virtuelles MFA-Gerät zu erstellen, können Sie das MFA-Gerät einem Benutzer zuweisen. Im folgenden enable-mfa-device Beispiel wird dem Benutzer das MFA-Gerät mit der Seriennummer arn:aws:iam::210987654321:mfa/BobsMFADevice zugewiesen. Bob Der Befehl synchronisiert das Gerät auch mit, AWS indem er die ersten beiden Codes nacheinander vom virtuellen MFA-Gerät einfügt.

aws iam enable-mfa-device \ --user-name Bob \ --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \ --authentication-code1 123456 \ --authentication-code2 789012

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Aktivieren eines Geräts mit virtueller Multi-Faktor-Authentifizierung (MFA) im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie EnableMfaDevicein AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunggenerate-credential-report.

AWS CLI

So erstellen Sie einen Bericht zu Anmeldeinformationen

Im folgenden Beispiel wird versucht, einen Anmeldeinformationsbericht für das AWS Konto zu generieren.

aws iam generate-credential-report

Ausgabe:

{ "State": "STARTED", "Description": "No report exists. Starting a new report generation task" }

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS Konto.

Das folgende Codebeispiel zeigt die Verwendunggenerate-organizations-access-report.

AWS CLI

Beispiel 1: Um einen Zugriffsbericht für einen Stamm in einer Organisation zu generieren

Im folgenden generate-organizations-access-report Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für den angegebenen Stamm in einer Organisation zu erstellen. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-organizations-access-report Befehl ausführen.

aws iam generate-organizations-access-report \ --entity-path o-4fxmplt198/r-c3xb

Ausgabe:

{ "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359" }

Beispiel 2: Um einen Zugriffsbericht für ein Konto in einer Organisation zu generieren

Im folgenden generate-organizations-access-report Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für die Konto-ID 123456789012 in der Organisation zu erstelleno-4fxmplt198. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-organizations-access-report Befehl ausführen.

aws iam generate-organizations-access-report \ --entity-path o-4fxmplt198/r-c3xb/123456789012

Ausgabe:

{ "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2" }

Beispiel 3: Um einen Zugriffsbericht für ein Konto in einer Organisationseinheit in einer Organisation zu generieren

Im folgenden generate-organizations-access-report Beispiel wird ein Hintergrundjob gestartet, um einen Zugriffsbericht für die Konto-ID 234567890123 in der Organisationseinheit ou-c3xb-lmu7j2yg der Organisation zu erstelleno-4fxmplt198. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-organizations-access-report Befehl ausführen.

aws iam generate-organizations-access-report \ --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Ausgabe:

{ "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af" }

Verwenden Sie die organizations list-organizational-units-for-parent Befehle und, um Details zu Stammverzeichnissen organizations list-roots und Organisationseinheiten in Ihrer Organisation abzurufen.

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Das folgende Codebeispiel zeigt die Verwendunggenerate-service-last-accessed-details.

AWS CLI

Beispiel 1: Um einen Servicezugriffsbericht für eine benutzerdefinierte Richtlinie zu generieren

Im folgenden generate-service-last-accessed-details Beispiel wird ein Hintergrundjob gestartet, um einen Bericht zu generieren, der die Dienste auflistet, auf die IAM-Benutzer und andere Entitäten zugreifen, mit einer benutzerdefinierten Richtlinie namensintern-boundary. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-service-last-accessed-details Befehl ausführen.

aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::123456789012:policy/intern-boundary

Ausgabe:

{ "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc" }

Beispiel 2: Um einen Servicezugriffsbericht für die AWS verwaltete AdministratorAccess Richtlinie zu generieren

Im folgenden generate-service-last-accessed-details Beispiel wird ein Hintergrundjob gestartet, um einen Bericht zu generieren, der die Dienste auflistet, auf die IAM-Benutzer und andere Entitäten mit der AWS verwalteten AdministratorAccess Richtlinie zugreifen. Sie können den Bericht nach seiner Erstellung anzeigen, indem Sie den get-service-last-accessed-details Befehl ausführen.

aws iam generate-service-last-accessed-details \ --arn arn:aws:iam::aws:policy/AdministratorAccess

Ausgabe:

{ "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916" }

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Das folgende Codebeispiel zeigt die Verwendungget-access-key-last-used.

AWS CLI

So rufen Sie Informationen darüber ab, wann der angegebene Zugriffsschlüssel zuletzt verwendet wurde

Im folgenden Beispiel werden Informationen darüber abgerufen, wann der Zugriffsschlüssel ABCDEXAMPLE zuletzt verwendet wurde.

aws iam get-access-key-last-used \ --access-key-id ABCDEXAMPLE

Ausgabe:

{ "UserName": "Bob", "AccessKeyLastUsed": { "Region": "us-east-1", "ServiceName": "iam", "LastUsedDate": "2015-06-16T22:45:00Z" } }

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-account-authorization-details.

AWS CLI

Um IAM-Benutzer, -Gruppen, -Rollen und -Richtlinien eines AWS Kontos aufzulisten

Der folgende get-account-authorization-details Befehl gibt Informationen zu allen IAM-Benutzern, -Gruppen, -Rollen und -Richtlinien im AWS Konto zurück.

aws iam get-account-authorization-details

Ausgabe:

{ "RoleDetailList": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileList": [ { "InstanceProfileId": "AIPA1234567890EXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2014-07-30T17:09:20Z", "RoleName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "CreateDate": "2014-07-30T17:09:20Z", "InstanceProfileName": "EC2role", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role" } ], "RoleName": "EC2role", "Path": "/", "AttachedManagedPolicies": [ { "PolicyName": "AmazonS3FullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess" }, { "PolicyName": "AmazonDynamoDBFullAccess", "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess" } ], "RoleLastUsed": { "Region": "us-west-2", "LastUsedDate": "2019-11-13T17:30:00Z" }, "RolePolicyList": [], "Arn": "arn:aws:iam::123456789012:role/EC2role" } ], "GroupDetailList": [ { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, "GroupName": "Admins", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Admins", "CreateDate": "2013-10-14T18:32:24Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" }, "GroupName": "Dev", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Dev", "CreateDate": "2013-10-14T18:33:55Z", "GroupPolicyList": [] }, { "GroupId": "AIDA1234567890EXAMPLE", "AttachedManagedPolicies": [], "GroupName": "Finance", "Path": "/", "Arn": "arn:aws:iam::123456789012:group/Finance", "CreateDate": "2013-10-14T18:57:48Z", "GroupPolicyList": [ { "PolicyName": "policygen-201310141157", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "aws-portal:*", "Sid": "Stmt1381777017000", "Resource": "*", "Effect": "Allow" } ] } } ] } ], "UserDetailList": [ { "UserName": "Alice", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:24Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Alice" }, { "UserName": "Bob", "GroupList": [ "Admins" ], "CreateDate": "2013-10-14T18:32:25Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [ { "PolicyName": "DenyBillingAndIAMPolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } } } ], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Bob" }, { "UserName": "Charlie", "GroupList": [ "Dev" ], "CreateDate": "2013-10-14T18:33:56Z", "UserId": "AIDA1234567890EXAMPLE", "UserPolicyList": [], "Path": "/", "AttachedManagedPolicies": [], "Arn": "arn:aws:iam::123456789012:user/Charlie" } ], "Policies": [ { "PolicyName": "create-update-delete-set-managed-policies", "CreateDate": "2015-02-06T19:58:34Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-02-06T19:58:34Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies", "UpdateDate": "2015-02-06T19:58:34Z" }, { "PolicyName": "S3-read-only-specific-bucket", "CreateDate": "2015-01-21T21:39:41Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2015-01-21T21:39:41Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::example-bucket", "arn:aws:s3:::example-bucket/*" ] } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket", "UpdateDate": "2015-01-21T23:39:41Z" }, { "PolicyName": "AmazonEC2FullAccess", "CreateDate": "2015-02-06T18:40:15Z", "AttachmentCount": 1, "IsAttachable": true, "PolicyId": "ANPA1234567890EXAMPLE", "DefaultVersionId": "v1", "PolicyVersionList": [ { "CreateDate": "2014-10-30T20:59:46Z", "VersionId": "v1", "Document": { "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:*", "Resource": "*" }, { "Effect": "Allow", "Action": "cloudwatch:*", "Resource": "*" }, { "Effect": "Allow", "Action": "autoscaling:*", "Resource": "*" } ] }, "IsDefaultVersion": true } ], "Path": "/", "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess", "UpdateDate": "2015-02-06T18:40:15Z" } ], "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE", "IsTruncated": true }

Weitere Informationen finden Sie unter AWS -Sicherheitsaudit-Richtlinien im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-account-password-policy.

AWS CLI

So zeigen Sie die Passwortrichtlinie für das aktuelle Konto an

Mit dem folgenden get-account-password-policy-Befehl werden Details zur Passwortrichtlinie für das aktuelle Konto angezeigt.

aws iam get-account-password-policy

Ausgabe:

{ "PasswordPolicy": { "AllowUsersToChangePassword": false, "RequireLowercaseCharacters": false, "RequireUppercaseCharacters": false, "MinimumPasswordLength": 8, "RequireNumbers": true, "RequireSymbols": true } }

Wenn keine Passwortwortrichtlinie für das Konto definiert ist, gibt der Befehl einen NoSuchEntity-Fehler zurück.

Weitere Informationen finden Sie unter Festlegen einer Kontopasswortrichtlinie für IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-account-summary.

AWS CLI

So rufen Sie Informationen über die Nutzung von IAM-Entitäten und IAM-Kontingenten auf dem aktuellen Konto ab

Der folgende get-account-summary-Befehl gibt Informationen zur aktuellen IAM-Entitätsnutzung und zu den aktuellen IAM-Entitätskontingenten im Konto zurück.

aws iam get-account-summary

Ausgabe:

{ "SummaryMap": { "UsersQuota": 5000, "GroupsQuota": 100, "InstanceProfiles": 6, "SigningCertificatesPerUserQuota": 2, "AccountAccessKeysPresent": 0, "RolesQuota": 250, "RolePolicySizeQuota": 10240, "AccountSigningCertificatesPresent": 0, "Users": 27, "ServerCertificatesQuota": 20, "ServerCertificates": 0, "AssumeRolePolicySizeQuota": 2048, "Groups": 7, "MFADevicesInUse": 1, "Roles": 3, "AccountMFAEnabled": 1, "MFADevices": 3, "GroupsPerUserQuota": 10, "GroupPolicySizeQuota": 5120, "InstanceProfilesQuota": 100, "AccessKeysPerUserQuota": 2, "Providers": 0, "UserPolicySizeQuota": 2048 } }

Weitere Informationen zu Entitätsbeschränkungen finden Sie unter IAM- und AWS STS-Kontingente im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-context-keys-for-custom-policy.

AWS CLI

Beispiel 1: Um die Kontextschlüssel aufzulisten, auf die von einer oder mehreren benutzerdefinierten JSON-Richtlinien verwiesen wird, die als Parameter in der Befehlszeile bereitgestellt werden

Der folgende get-context-keys-for-custom-policy Befehl analysiert jede bereitgestellte Richtlinie und listet die von diesen Richtlinien verwendeten Kontextschlüssel auf. Verwenden Sie diesen Befehl, um zu ermitteln, welche Kontextschlüsselwerte Sie angeben müssen, um die Richtliniensimulatorbefehle simulate-custom-policy und simulate-custom-policy erfolgreich verwenden zu können. Mit dem get-context-keys-for-custom-policy Befehl können Sie auch die Liste der Kontextschlüssel abrufen, die von allen Richtlinien verwendet werden, die einem IAM-Benutzer oder einer IAM-Rolle zugeordnet sind. Parameterwerte, die mit beginnen, file:// weisen den Befehl an, die Datei zu lesen und den Inhalt anstelle des Dateinamens selbst als Wert für den Parameter zu verwenden.

aws iam get-context-keys-for-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Ausgabe:

{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }

Beispiel 2: Um die Kontextschlüssel aufzulisten, auf die von einer oder mehreren benutzerdefinierten JSON-Richtlinien verwiesen wird, die als Dateieingabe bereitgestellt werden

Der folgende get-context-keys-for-custom-policy Befehl entspricht dem vorherigen Beispiel, außer dass die Richtlinien in einer Datei und nicht als Parameter bereitgestellt werden. Da der Befehl eine JSON-Liste von Zeichenfolgen und keine Liste von JSON-Strukturen erwartet, muss die Datei wie folgt strukturiert sein, obwohl Sie sie zu einer zusammenfassen können.

[ "Policy1", "Policy2" ]

Eine Datei, die die Richtlinie aus dem vorherigen Beispiel enthält, muss also wie folgt aussehen. Sie müssen jedem eingebetteten doppelten Anführungszeichen in der Richtlinienzeichenfolge einen umgekehrten Schrägstrich voranstellen.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Diese Datei kann dann an den folgenden Befehl gesendet werden.

aws iam get-context-keys-for-custom-policy \ --policy-input-list file://policyfile.json

Ausgabe:

{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }

Weitere Informationen finden Sie unter Verwenden des IAM-Richtliniensimulators (AWS CLI und AWS API) im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-context-keys-for-principal-policy.

AWS CLI

Um die Kontextschlüssel aufzulisten, auf die von allen Richtlinien verwiesen wird, die einem IAM-Prinzipal zugeordnet sind

Mit dem folgenden get-context-keys-for-principal-policy Befehl werden alle Richtlinien abgerufen, die dem Benutzer saanvi und allen Gruppen, denen er angehört, zugeordnet sind. Anschließend analysiert er die einzelnen Richtlinien und listet die von diesen Richtlinien verwendeten Kontextschlüssel auf. Verwenden Sie diesen Befehl, um zu ermitteln, welche Kontextschlüsselwerte Sie angeben müssen, um die simulate-principal-policy Befehle simulate-custom-policy und erfolgreich verwenden zu können. Mit dem get-context-keys-for-custom-policy Befehl können Sie auch die Liste der Kontextschlüssel abrufen, die von einer beliebigen JSON-Richtlinie verwendet werden.

aws iam get-context-keys-for-principal-policy \ --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Ausgabe:

{ "ContextKeyNames": [ "aws:username", "aws:CurrentTime" ] }

Weitere Informationen finden Sie unter Verwenden des IAM-Richtliniensimulators (AWS CLI und AWS API) im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-credential-report.

AWS CLI

So rufen Sie einen Bericht zu Anmeldeinformationen ab

In diesem Beispiel wird der zurückgegebene Bericht geöffnet und als Array von Textzeilen an die Pipeline ausgegeben.

aws iam get-credential-report

Ausgabe:

{ "GeneratedTime": "2015-06-17T19:11:50Z", "ReportFormat": "text/csv" }

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS Konto.

Das folgende Codebeispiel zeigt die Verwendungget-group-policy.

AWS CLI

Um Informationen über eine Richtlinie abzurufen, die einer IAM-Gruppe zugeordnet ist

Mit dem folgenden get-group-policy Befehl werden Informationen über die angegebene Richtlinie abgerufen, die der genannten Test-Group Gruppe zugeordnet ist.

aws iam get-group-policy \ --group-name Test-Group \ --policy-name S3-ReadOnly-Policy

Ausgabe:

{ "GroupName": "Test-Group", "PolicyDocument": { "Statement": [ { "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*", "Effect": "Allow" } ] }, "PolicyName": "S3-ReadOnly-Policy" }

Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetGroupPolicyunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-group.

AWS CLI

Um eine IAM-Gruppe zu erhalten

In diesem Beispiel werden Details zur IAM-Gruppe zurückgegeben. Admins

aws iam get-group \ --group-name Admins

Ausgabe:

{ "Group": { "Path": "/", "CreateDate": "2015-06-16T19:41:48Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, "Users": [] }

Weitere Informationen finden Sie unter IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetGroupin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-instance-profile.

AWS CLI

Um Informationen über ein Instanzprofil abzurufen

Der folgende get-instance-profile Befehl ruft Informationen über das angegebene Instanzprofil abExampleInstanceProfile.

aws iam get-instance-profile \ --instance-profile-name ExampleInstanceProfile

Ausgabe:

{ "InstanceProfile": { "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDGPMS9RO4H3FEXAMPLE", "CreateDate": "2013-01-09T06:33:26Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::336924118301:role/Test-Role" } ], "CreateDate": "2013-06-12T23:52:02Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile" } }

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-login-profile.

AWS CLI

Um Passwortinformationen für einen IAM-Benutzer abzurufen

Mit dem folgenden get-login-profile Befehl werden Informationen zum Passwort für den IAM-Benutzer mit dem Namen abgerufen. Bob

aws iam get-login-profile \ --user-name Bob

Ausgabe:

{ "LoginProfile": { "UserName": "Bob", "CreateDate": "2012-09-21T23:03:39Z" } }

Der get-login-profile Befehl kann verwendet werden, um zu überprüfen, ob ein IAM-Benutzer ein Passwort hat. Der Befehl gibt einen NoSuchEntity Fehler zurück, wenn kein Passwort für den Benutzer definiert ist.

Mit diesem Befehl können Sie kein Passwort anzeigen. Wenn das Passwort verloren gegangen ist, können Sie das Passwort (update-login-profile) für den Benutzer zurücksetzen. Alternativ können Sie das Anmeldeprofil (delete-login-profile) für den Benutzer löschen und dann ein neues erstellen (create-login-profile).

Weitere Informationen finden Sie unter Passwörter für IAM-Benutzer verwalten im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-mfa-device.

AWS CLI

Um Informationen über einen FIDO-Sicherheitsschlüssel abzurufen

Das folgende get-mfa-device Befehlsbeispiel ruft Informationen über den angegebenen FIDO-Sicherheitsschlüssel ab.

aws iam get-mfa-device \ --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Ausgabe:

{ "UserName": "alice", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00", "Certifications": { "FIDO": "L1" } }

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-open-id-connect-provider.

AWS CLI

Um Informationen über den angegebenen OpenID Connect-Anbieter zurückzugeben

In diesem Beispiel werden Details über den OpenID Connect-Anbieter zurückgegeben, dessen ARN lautetarn:aws:iam::123456789012:oidc-provider/server.example.com.

aws iam get-open-id-connect-provider \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Ausgabe:

{ "Url": "server.example.com" "CreateDate": "2015-06-16T19:41:48Z", "ThumbprintList": [ "12345abcdefghijk67890lmnopqrst987example" ], "ClientIDList": [ "example-application-ID" ] }

Weitere Informationen finden Sie unter Creating OpenID Connect (OIDC) Identity Providers im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-organizations-access-report.

AWS CLI

Um einen Zugriffsbericht abzurufen

Im folgenden get-organizations-access-report Beispiel wird ein zuvor generierter Zugriffsbericht für eine AWS Organisationseinheit angezeigt. Verwenden Sie den generate-organizations-access-report Befehl, um einen Bericht zu generieren.

aws iam get-organizations-access-report \ --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Ausgabe:

{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-09-30T06:53:36.187Z", "JobCompletionDate": "2019-09-30T06:53:37.547Z", "NumberOfServicesAccessible": 188, "NumberOfServicesNotAccessed": 171, "AccessDetails": [ { "ServiceName": "Alexa for Business", "ServiceNamespace": "a4b", "TotalAuthenticatedEntities": 0 }, ... }

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Das folgende Codebeispiel zeigt die Verwendungget-policy-version.

AWS CLI

So rufen Sie Informationen über die angegebene Version der angegebenen verwalteten Richtlinie ab

In diesem Beispiel wird das Richtliniendokument für die Version v2 der Richtlinie zurückgegeben, deren ARN arn:aws:iam::123456789012:policy/MyManagedPolicy lautet.

aws iam get-policy-version \ --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \ --version-id v2

Ausgabe:

{ "PolicyVersion": { "Document": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } ] }, "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2023-04-11T00:22:54+00:00" } }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetPolicyVersionin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-policy.

AWS CLI

So rufen Sie Informationen über die angegebene verwaltete Richtlinie ab

In diesem Beispiel werden Details über die verwaltete Richtlinie mit dem ARN arn:aws:iam::123456789012:policy/MySamplePolicy zurückgegeben.

aws iam get-policy \ --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Ausgabe:

{ "Policy": { "PolicyName": "MySamplePolicy", "CreateDate": "2015-06-17T19:23;32Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy", "UpdateDate": "2015-06-17T19:23:32Z" } }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetPolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-role-policy.

AWS CLI

Um Informationen über eine Richtlinie abzurufen, die einer IAM-Rolle zugeordnet ist

Mit dem folgenden get-role-policy Befehl werden Informationen über die angegebene Richtlinie abgerufen, die der genannten Test-Role Rolle zugeordnet ist.

aws iam get-role-policy \ --role-name Test-Role \ --policy-name ExamplePolicy

Ausgabe:

{ "RoleName": "Test-Role", "PolicyDocument": { "Statement": [ { "Action": [ "s3:ListBucket", "s3:Put*", "s3:Get*", "s3:*MultipartUpload*" ], "Resource": "*", "Effect": "Allow", "Sid": "1" } ] } "PolicyName": "ExamplePolicy" }

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetRolePolicyunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-role.

AWS CLI

So rufen Sie Informationen über eine IAM-Rolle ab

Mit dem folgenden get-role-Befehl werden Informationen über die Rolle mit dem Namen Test-Role abgerufen.

aws iam get-role \ --role-name Test-Role

Ausgabe:

{ "Role": { "Description": "Test Role", "AssumeRolePolicyDocument":"<URL-encoded-JSON>", "MaxSessionDuration": 3600, "RoleId": "AROA1234567890EXAMPLE", "CreateDate": "2019-11-13T16:45:56Z", "RoleName": "Test-Role", "Path": "/", "RoleLastUsed": { "Region": "us-east-1", "LastUsedDate": "2019-11-13T17:14:00Z" }, "Arn": "arn:aws:iam::123456789012:role/Test-Role" } }

Der Befehl zeigt die Vertrauensrichtlinie an, die der Rolle zugeordnet ist. Verwenden Sie den list-role-policies-Befehl, um die einer Rolle zugeordneten Berechtigungsrichtlinien aufzulisten.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetRolein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-saml-provider.

AWS CLI

Um das SAML-Provider-Metadokument abzurufen

In diesem Beispiel werden die Details über den SAML 2.0-Anbieter abgerufen, dessen ARM ist. arn:aws:iam::123456789012:saml-provider/SAMLADFS Die Antwort enthält das Metadatendokument, das Sie vom Identitätsanbieter zur Erstellung der AWS SAML-Provider-Entität erhalten haben, sowie die Erstellungs- und Ablaufdaten.

aws iam get-saml-provider \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Ausgabe:

{ "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...", "CreateDate": "2017-03-06T22:29:46+00:00", "ValidUntil": "2117-03-06T22:29:46.433000+00:00", "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetSamlProviderin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-server-certificate.

AWS CLI

Um Details zu einem Serverzertifikat in Ihrem AWS Konto abzurufen

Mit dem folgenden get-server-certificate Befehl werden alle Details zum angegebenen Serverzertifikat in Ihrem AWS Konto abgerufen.

aws iam get-server-certificate \ --server-certificate-name myUpdatedServerCertificate

Ausgabe:

{ "ServerCertificate": { "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, "CertificateBody": "-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----", "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md 7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----" } }

Verwenden Sie den list-server-certificates Befehl, um die in Ihrem AWS Konto verfügbaren Serverzertifikate aufzulisten.

Weitere Informationen finden Sie unter Verwaltung von Serverzertifikaten in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-service-last-accessed-details-with-entities.

AWS CLI

Um einen Servicezugriffsbericht mit Details für einen Dienst abzurufen

Im folgenden get-service-last-accessed-details-with-entities Beispiel wird ein Bericht abgerufen, der Details zu IAM-Benutzern und anderen Entitäten enthält, die auf den angegebenen Dienst zugegriffen haben. Verwenden Sie den Befehl, um einen Bericht zu generieren. generate-service-last-accessed-details Um eine Liste der Dienste abzurufen, auf die über Namespaces zugegriffen wird, verwenden Sie. get-service-last-accessed-details

aws iam get-service-last-accessed-details-with-entities \ --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \ --service-namespace lambda

Ausgabe:

{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:55:41.756Z", "JobCompletionDate": "2019-10-01T03:55:42.533Z", "EntityDetailsList": [ { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/admin", "Name": "admin", "Type": "USER", "Id": "AIDAIO2XMPLENQEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-30T23:02:00Z" }, { "EntityInfo": { "Arn": "arn:aws:iam::123456789012:user/developer", "Name": "developer", "Type": "USER", "Id": "AIDAIBEYXMPL2YEXAMPLE", "Path": "/" }, "LastAuthenticated": "2019-09-16T19:34:00Z" } ] }

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die AWS zuletzt zugegriffen wurde.

Das folgende Codebeispiel zeigt die Verwendungget-service-last-accessed-details.

AWS CLI

Um einen Servicezugriffsbericht abzurufen

Im folgenden get-service-last-accessed-details Beispiel wird ein zuvor generierter Bericht abgerufen, der die Dienste auflistet, auf die IAM-Entitäten zugreifen. Verwenden Sie den Befehl, um einen Bericht zu generieren. generate-service-last-accessed-details

aws iam get-service-last-accessed-details \ --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Ausgabe:

{ "JobStatus": "COMPLETED", "JobCreationDate": "2019-10-01T03:50:35.929Z", "ServicesLastAccessed": [ ... { "ServiceName": "AWS Lambda", "LastAuthenticated": "2019-09-30T23:02:00Z", "ServiceNamespace": "lambda", "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin", "TotalAuthenticatedEntities": 6 }, ] }

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Verfeinerung von Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Das folgende Codebeispiel zeigt die Verwendungget-service-linked-role-deletion-status.

AWS CLI

So überprüfen Sie den Status einer Anfrage zum Löschen einer serviceverknüpften Rolle

Im folgenden get-service-linked-role-deletion-status-Beispiel wird der Status einer früheren Anfrage zum Löschen einer serviceverknüpften Rolle angezeigt. Der Löschvorgang erfolgt asynchron. Wenn Sie die Anfrage stellen, erhalten Sie einen DeletionTaskId-Wert, den Sie als Parameter für diesen Befehl angeben.

aws iam get-service-linked-role-deletion-status \ --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Ausgabe:

{ "Status": "SUCCEEDED" }

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-ssh-public-key.

AWS CLI

Beispiel 1: Um einen öffentlichen SSH-Schlüssel abzurufen, der an einen IAM-Benutzer in SSH-codierter Form angehängt ist

Mit dem folgenden get-ssh-public-key Befehl wird der angegebene öffentliche SSH-Schlüssel vom IAM-Benutzer abgerufen. sofia Die Ausgabe erfolgt in SSH-Kodierung.

aws iam get-ssh-public-key \ --user-name sofia \ --ssh-public-key-id APKA123456789EXAMPLE \ --encoding SSH

Ausgabe:

{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }

Beispiel 2: Um einen öffentlichen SSH-Schlüssel abzurufen, der an einen IAM-Benutzer angehängt ist, in PEM-codierter Form

Mit dem folgenden get-ssh-public-key Befehl wird der angegebene öffentliche SSH-Schlüssel vom IAM-Benutzer abgerufen. sofia Die Ausgabe erfolgt in PEM-Codierung.

aws iam get-ssh-public-key \ --user-name sofia \ --ssh-public-key-id APKA123456789EXAMPLE \ --encoding PEM

Ausgabe:

{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA123456789EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } }

Weitere Informationen finden Sie unter SSH-Schlüssel und SSH mit verwenden CodeCommit im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetSshPublicKeyin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-user-policy.

AWS CLI

Um Richtliniendetails für einen IAM-Benutzer aufzulisten

Der folgende get-user-policy Befehl listet die Details der angegebenen Richtlinie auf, die dem genannten IAM-Benutzer zugeordnet ist. Bob

aws iam get-user-policy \ --user-name Bob \ --policy-name ExamplePolicy

Ausgabe:

{ "UserName": "Bob", "PolicyName": "ExamplePolicy", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow" } ] } }

Verwenden Sie den list-user-policies-Befehl, um eine Liste der Richtlinien für einen IAM-Benutzer abzurufen.

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-user.

AWS CLI

So rufen Sie Informationen über einen IAM-Benutzer ab

Mit dem folgenden get-user-Befehl werden Informationen über den IAM-Benutzer mit dem Namen Paulo abgerufen.

aws iam get-user \ --user-name Paulo

Ausgabe:

{ "User": { "UserName": "Paulo", "Path": "/", "CreateDate": "2019-09-21T23:03:13Z", "UserId": "AIDA123456789EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Paulo" } }

Weitere Informationen finden Sie unter Verwalten von IAM-Benutzern im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetUserin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-access-keys.

AWS CLI

So listen Sie die Zugriffsschlüssel-IDs für einen IAM-Benutzer auf

Der folgende list-access-keys-Befehl listet die Zugriffsschlüssel-IDs für den IAM-Benutzer mit dem Namen Bob auf.

aws iam list-access-keys \ --user-name Bob

Ausgabe:

{ "AccessKeyMetadata": [ { "UserName": "Bob", "Status": "Active", "CreateDate": "2013-06-04T18:17:34Z", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE" }, { "UserName": "Bob", "Status": "Inactive", "CreateDate": "2013-06-06T20:42:26Z", "AccessKeyId": "AKIAI44QH8DHBEXAMPLE" } ] }

Sie können die geheimen Zugriffsschlüssel für IAM-Benutzer nicht auflisten. Bei Verlust der geheimen Zugangsschlüssel müssen Sie mit dem create-access-keys-Befehl neue Zugangsschlüssel erstellen.

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ListAccessKeysin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-account-aliases.

AWS CLI

So listen Sie Konto-Aliase auf

Der folgende list-account-aliases-Befehl listet die Aliase für das aktuelle Konto auf.

aws iam list-account-aliases

Ausgabe:

{ "AccountAliases": [ "mycompany" ] }

Weitere Informationen finden Sie unter Ihre AWS Konto-ID und ihr Alias im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-attached-group-policies.

AWS CLI

Um alle verwalteten Richtlinien aufzulisten, die der angegebenen Gruppe zugeordnet sind

In diesem Beispiel werden die Namen und ARNs der verwalteten Richtlinien zurückgegeben, die der Admins im Konto genannten IAM-Gruppe zugeordnet sind. AWS

aws iam list-attached-group-policies \ --group-name Admins

Ausgabe:

{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-attached-role-policies.

AWS CLI

So listen Sie alle verwalteten Richtlinien auf, die der angegebenen Rolle angefügt sind

Dieser Befehl gibt die Namen und ARNs der verwalteten Richtlinien zurück, die der SecurityAuditRole im Konto genannten IAM-Rolle zugeordnet sind. AWS

aws iam list-attached-role-policies \ --role-name SecurityAuditRole

Ausgabe:

{ "AttachedPolicies": [ { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-attached-user-policies.

AWS CLI

Um alle verwalteten Richtlinien aufzulisten, die dem angegebenen Benutzer zugeordnet sind

Dieser Befehl gibt die Namen und ARNs der verwalteten Richtlinien für den IAM-Benutzer zurück, der Bob AWS im Konto angegeben ist.

aws iam list-attached-user-policies \ --user-name Bob

Ausgabe:

{ "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" }, { "PolicyName": "SecurityAudit", "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit" } ], "IsTruncated": false }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-entities-for-policy.

AWS CLI

Um alle Benutzer, Gruppen und Rollen aufzulisten, denen die angegebene verwaltete Richtlinie zugeordnet ist

In diesem Beispiel wird eine Liste von IAM-Gruppen, -Rollen und Benutzern zurückgegeben, denen die Richtlinie arn:aws:iam::123456789012:policy/TestPolicy angehängt ist.

aws iam list-entities-for-policy \ --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Ausgabe:

{ "PolicyGroups": [ { "GroupName": "Admins", "GroupId": "AGPACKCEVSQ6C2EXAMPLE" } ], "PolicyUsers": [ { "UserName": "Alice", "UserId": "AIDACKCEVSQ6C2EXAMPLE" } ], "PolicyRoles": [ { "RoleName": "DevRole", "RoleId": "AROADBQP57FF2AEXAMPLE" } ], "IsTruncated": false }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-group-policies.

AWS CLI

Um alle Inline-Richtlinien aufzulisten, die der angegebenen Gruppe zugeordnet sind

Der folgende list-group-policies Befehl listet die Namen der Inline-Richtlinien auf, die an die Admins im aktuellen Konto angegebene IAM-Gruppe angehängt sind.

aws iam list-group-policies \ --group-name Admins

Ausgabe:

{ "PolicyNames": [ "AdminRoot", "ExamplePolicy" ] }

Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-groups-for-user.

AWS CLI

Um die Gruppen aufzulisten, zu denen ein IAM-Benutzer gehört

Der folgende list-groups-for-user Befehl zeigt die Gruppen an, zu denen der angegebene IAM-Benutzer Bob gehört.

aws iam list-groups-for-user \ --user-name Bob

Ausgabe:

{ "Groups": [ { "Path": "/", "CreateDate": "2013-05-06T01:18:08Z", "GroupId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admin", "GroupName": "Admin" }, { "Path": "/", "CreateDate": "2013-05-06T01:37:28Z", "GroupId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/s3-Users", "GroupName": "s3-Users" } ] }

Weitere Informationen finden Sie unter Verwaltung von IAM-Benutzergruppen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-groups.

AWS CLI

So listen Sie die IAM-Gruppen für das aktuelle Konto auf

Der folgende list-groups-Befehl listet die IAM-Gruppen im aktuellen Konto auf.

aws iam list-groups

Ausgabe:

{ "Groups": [ { "Path": "/", "CreateDate": "2013-06-04T20:27:27.972Z", "GroupId": "AIDACKCEVSQ6C2EXAMPLE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" }, { "Path": "/", "CreateDate": "2013-04-16T20:30:42Z", "GroupId": "AIDGPMS9RO4H3FEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/S3-Admins", "GroupName": "S3-Admins" } ] }

Weitere Informationen finden Sie unter Verwaltung von IAM-Benutzergruppen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ListGroupsin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-instance-profile-tags.

AWS CLI

Um die einem Instanzprofil angehängten Tags aufzulisten

Mit dem folgenden list-instance-profile-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen Instanzprofil zugeordnet sind.

aws iam list-instance-profile-tags \ --instance-profile-name deployment-role

Ausgabe:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-instance-profiles-for-role.

AWS CLI

Um die Instanzprofile für eine IAM-Rolle aufzulisten

Der folgende list-instance-profiles-for-role Befehl listet die Instanzprofile auf, die der Rolle Test-Role zugeordnet sind.

aws iam list-instance-profiles-for-role \ --role-name Test-Role

Ausgabe:

{ "InstanceProfiles": [ { "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE", "Roles": [ { "AssumeRolePolicyDocument": "<URL-encoded-JSON>", "RoleId": "AIDACKCEVSQ6C2EXAMPLE", "CreateDate": "2013-06-07T20:42:15Z", "RoleName": "Test-Role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/Test-Role" } ], "CreateDate": "2013-06-07T21:05:24Z", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile" } ] }

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-instance-profiles.

AWS CLI

Um die Instanzprofile für das Konto aufzulisten

Der folgende list-instance-profiles Befehl listet die Instanzprofile auf, die dem aktuellen Konto zugeordnet sind.

aws iam list-instance-profiles

Ausgabe:

{ "InstanceProfiles": [ { "Path": "/", "InstanceProfileName": "example-dev-role", "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role", "CreateDate": "2023-09-21T18:17:41+00:00", "Roles": [ { "Path": "/", "RoleName": "example-dev-role", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-dev-role", "CreateDate": "2023-09-21T18:17:40+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] }, { "Path": "/", "InstanceProfileName": "example-s3-role", "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE", "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role", "CreateDate": "2023-09-21T18:18:50+00:00", "Roles": [ { "Path": "/", "RoleName": "example-s3-role", "RoleId": "AROAINUBC5O7XLEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example-s3-role", "CreateDate": "2023-09-21T18:18:49+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } } ] } ] }

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-mfa-device-tags.

AWS CLI

Um die an ein MFA-Gerät angeschlossenen Tags aufzulisten

Mit dem folgenden list-mfa-device-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen MFA-Gerät zugeordnet sind.

aws iam list-mfa-device-tags \ --serial-number arn:aws:iam::123456789012:mfa/alice

Ausgabe:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im IAM-Benutzerhandbuch.AWS

Das folgende Codebeispiel zeigt die Verwendunglist-mfa-devices.

AWS CLI

Um alle MFA-Geräte für einen bestimmten Benutzer aufzulisten

In diesem Beispiel werden Details über das MFA-Gerät zurückgegeben, das dem IAM-Benutzer zugewiesen wurde. Bob

aws iam list-mfa-devices \ --user-name Bob

Ausgabe:

{ "MFADevices": [ { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob", "EnableDate": "2019-10-28T20:37:09+00:00" }, { "UserName": "Bob", "SerialNumber": "GAKT12345678", "EnableDate": "2023-02-18T21:44:42+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE", "EnableDate": "2023-09-19T02:25:35+00:00" }, { "UserName": "Bob", "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE", "EnableDate": "2023-09-19T01:49:18+00:00" } ] }

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-open-id-connect-provider-tags.

AWS CLI

Um die Tags aufzulisten, die an einen OpenID Connect (OIDC) -kompatiblen Identitätsanbieter angehängt sind

Mit dem folgenden list-open-id-connect-provider-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen OIDC-Identitätsanbieter zugeordnet sind.

aws iam list-open-id-connect-provider-tags \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Ausgabe:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im IAM-Benutzerhandbuch.AWS

Das folgende Codebeispiel zeigt die Verwendunglist-open-id-connect-providers.

AWS CLI

Um Informationen über die OpenID Connect-Anbieter im AWS Konto aufzulisten

Dieses Beispiel gibt eine Liste der ARNS aller OpenID Connect-Anbieter zurück, die im AWS Girokonto definiert sind.

aws iam list-open-id-connect-providers

Ausgabe:

{ "OpenIDConnectProviderList": [ { "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com" } ] }

Weitere Informationen finden Sie unter Creating OpenID Connect (OIDC) Identity Providers im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-policies-granting-service-access.

AWS CLI

Um die Richtlinien aufzulisten, die einem Prinzipalzugriff auf den angegebenen Dienst gewähren

Im folgenden list-policies-granting-service-access Beispiel wird die Liste der Richtlinien abgerufen, die dem IAM-Benutzer sofia Zugriff auf den Dienst gewähren. AWS CodeCommit

aws iam list-policies-granting-service-access \ --arn arn:aws:iam::123456789012:user/sofia \ --service-namespaces codecommit

Ausgabe:

{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "codecommit", "Policies": [ { "PolicyName": "Grant-Sofia-Access-To-CodeCommit", "PolicyType": "INLINE", "EntityType": "USER", "EntityName": "sofia" } ] } ], "IsTruncated": false }

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Verwenden von IAM mit CodeCommit: Git-Anmeldeinformationen, SSH-Schlüsseln und AWS Zugriffsschlüsseln.AWS

Das folgende Codebeispiel zeigt die Verwendunglist-policies.

AWS CLI

Um verwaltete Richtlinien aufzulisten, die für Ihr AWS Konto verfügbar sind

In diesem Beispiel wird eine Sammlung der ersten beiden verwalteten Richtlinien zurückgegeben, die im aktuellen AWS Konto verfügbar sind.

aws iam list-policies \ --max-items 3

Ausgabe:

{ "Policies": [ { "PolicyName": "AWSCloudTrailAccessPolicy", "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE", "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2019-09-04T17:43:42+00:00", "UpdateDate": "2019-09-04T17:43:42+00:00" }, { "PolicyName": "AdministratorAccess", "PolicyId": "ANPAIWMBCKSKIEE64ZLYK", "Arn": "arn:aws:iam::aws:policy/AdministratorAccess", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 6, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:46+00:00", "UpdateDate": "2015-02-06T18:39:46+00:00" }, { "PolicyName": "PowerUserAccess", "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS", "Arn": "arn:aws:iam::aws:policy/PowerUserAccess", "Path": "/", "DefaultVersionId": "v5", "AttachmentCount": 1, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2015-02-06T18:39:47+00:00", "UpdateDate": "2023-07-06T22:04:00+00:00" } ], "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ==" }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ListPoliciesunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-policy-tags.

AWS CLI

Um die mit einer verwalteten Richtlinie verknüpften Tags aufzulisten

Mit dem folgenden list-policy-tags Befehl wird die Liste der Tags abgerufen, die der angegebenen verwalteten Richtlinie zugeordnet sind.

aws iam list-policy-tags \ --policy-arn arn:aws:iam::123456789012:policy/billing-access

Ausgabe:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ListPolicyTagsin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-policy-versions.

AWS CLI

Um Informationen zu den Versionen der angegebenen verwalteten Richtlinie aufzulisten

In diesem Beispiel wird die Liste der verfügbaren Versionen der Richtlinie zurückgegeben, deren ARN lautetarn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \ --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Ausgabe:

{ "IsTruncated": false, "Versions": [ { "VersionId": "v2", "IsDefaultVersion": true, "CreateDate": "2015-06-02T23:19:44Z" }, { "VersionId": "v1", "IsDefaultVersion": false, "CreateDate": "2015-06-02T22:30:47Z" } ] }

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-role-policies.

AWS CLI

So listen Sie die einer IAM-Rolle angefügten Richtlinien auf

Mit dem folgenden list-role-policies-Befehl werden die Namen der Berechtigungsrichtlinien für die angegebene IAM-Rolle aufgelistet.

aws iam list-role-policies \ --role-name Test-Role

Ausgabe:

{ "PolicyNames": [ "ExamplePolicy" ] }

Verwenden Sie den get-role-Befehl, um die einer Rolle angefügten Vertrauensrichtlinie anzuzeigen. Verwenden Sie den get-role-policy-Befehl, um die Details einer Berechtigungsrichtlinie anzuzeigen.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ListRolePoliciesin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-role-tags.

AWS CLI

Um die einer Rolle zugewiesenen Tags aufzulisten

Mit dem folgenden list-role-tags Befehl wird die Liste der Tags abgerufen, die der angegebenen Rolle zugeordnet sind.

aws iam list-role-tags \ --role-name production-role

Ausgabe:

{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ListRoleTagsin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-roles.

AWS CLI

So listen Sie die IAM-Rollen für das aktuelle Konto auf

Der folgende list-roles-Befehl listet die IAM-Rollen für das aktuelle Konto auf.

aws iam list-roles

Ausgabe:

{ "Roles": [ { "Path": "/", "RoleName": "ExampleRole", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "Arn": "arn:aws:iam::123456789012:role/ExampleRole", "CreateDate": "2017-09-12T19:23:36+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 }, { "Path": "/example_path/", "RoleName": "ExampleRoleWithPath", "RoleId": "AROAI4QRP7UFT7EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath", "CreateDate": "2023-09-21T20:29:38+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }, "MaxSessionDuration": 3600 } ] }

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ListRolesin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-saml-provider-tags.

AWS CLI

Um die an einen SAML-Anbieter angehängten Tags aufzulisten

Mit dem folgenden list-saml-provider-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen SAML-Anbieter zugeordnet sind.

aws iam list-saml-provider-tags \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Ausgabe:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im IAM-Benutzerhandbuch.AWS

Das folgende Codebeispiel zeigt die Verwendunglist-saml-providers.

AWS CLI

Um die SAML-Anbieter im Konto aufzulisten AWS

In diesem Beispiel wird die Liste der SAML 2.0-Anbieter abgerufen, die im aktuellen Konto erstellt wurde. AWS

aws iam list-saml-providers

Ausgabe:

{ "SAMLProviderList": [ { "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS", "ValidUntil": "2015-06-05T22:45:14Z", "CreateDate": "2015-06-05T22:45:14Z" } ] }

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendung. list-server-certificate-tags

AWS CLI

Um die an ein Serverzertifikat angehängten Tags aufzulisten

Mit dem folgenden list-server-certificate-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen Serverzertifikat zugeordnet sind.

aws iam list-server-certificate-tags \ --server-certificate-name ExampleCertificate

Ausgabe:

{ "Tags": [ { "Key": "DeptID", "Value": "123456" }, { "Key": "Department", "Value": "Accounting" } ] }

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-server-certificates.

AWS CLI

Um die Serverzertifikate in Ihrem AWS Konto aufzulisten

Der folgende list-server-certificates Befehl listet alle Serverzertifikate auf, die in Ihrem AWS Konto gespeichert sind und zur Verwendung verfügbar sind.

aws iam list-server-certificates

Ausgabe:

{ "ServerCertificateMetadataList": [ { "Path": "/", "ServerCertificateName": "myUpdatedServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" }, { "Path": "/cloudfront/", "ServerCertificateName": "MyTestCert", "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE", "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert", "UploadDate": "2015-04-21T18:14:16+00:00", "Expiration": "2018-01-14T17:52:36+00:00" } ] }

Weitere Informationen finden Sie unter Verwaltung von Serverzertifikaten in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-service-specific-credential.

AWS CLI

Beispiel 1: Listet die dienstspezifischen Anmeldeinformationen für einen Benutzer auf

Im folgenden list-service-specific-credentials Beispiel werden alle dienstspezifischen Anmeldeinformationen angezeigt, die dem angegebenen Benutzer zugewiesen wurden. Passwörter sind nicht in der Antwort enthalten.

aws iam list-service-specific-credentials \ --user-name sofia

Ausgabe:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Beispiel 2: Listet die dienstspezifischen Anmeldeinformationen für einen Benutzer auf, der nach einem bestimmten Dienst gefiltert wurde

Im folgenden list-service-specific-credentials Beispiel werden die dienstspezifischen Anmeldeinformationen angezeigt, die dem Benutzer zugewiesen wurden, der die Anfrage stellt. Die Liste wird so gefiltert, dass sie nur die Anmeldeinformationen für den angegebenen Dienst enthält. Passwörter sind nicht in der Antwort enthalten.

aws iam list-service-specific-credentials \ --service-name codecommit.amazonaws.com

Ausgabe:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu.

Das folgende Codebeispiel zeigt die Verwendunglist-service-specific-credentials.

AWS CLI

Um eine Liste mit Anmeldeinformationen abzurufen

Das folgende list-service-specific-credentials Beispiel listet die Anmeldeinformationen auf, die für den HTTPS-Zugriff auf AWS CodeCommit Repositorys für einen Benutzer mit dem Namen developer generiert wurden.

aws iam list-service-specific-credentials \ --user-name developer \ --service-name codecommit.amazonaws.com

Ausgabe:

{ "ServiceSpecificCredentials": [ { "UserName": "developer", "Status": "Inactive", "ServiceUserName": "developer-at-123456789012", "CreateDate": "2019-10-01T04:31:41Z", "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE", "ServiceName": "codecommit.amazonaws.com" }, { "UserName": "developer", "Status": "Active", "ServiceUserName": "developer+1-at-123456789012", "CreateDate": "2019-10-01T04:31:45Z", "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP", "ServiceName": "codecommit.amazonaws.com" } ] }

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu.

Das folgende Codebeispiel zeigt die Verwendunglist-signing-certificates.

AWS CLI

Um die Signaturzertifikate für einen IAM-Benutzer aufzulisten

Der folgende list-signing-certificates Befehl listet die Signaturzertifikate für den genannten IAM-Benutzer auf. Bob

aws iam list-signing-certificates \ --user-name Bob

Ausgabe:

{ "Certificates": [ { "UserName": "Bob", "Status": "Inactive", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08Z" } ] }

Weitere Informationen finden Sie unter Signaturzertifikate verwalten im Amazon EC2 EC2-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-ssh-public-keys.

AWS CLI

Um die öffentlichen SSH-Schlüssel aufzulisten, die an einen IAM-Benutzer angehängt sind

Das folgende list-ssh-public-keys Beispiel listet die öffentlichen SSH-Schlüssel auf, die an den IAM-Benutzer angehängt sind. sofia

aws iam list-ssh-public-keys \ --user-name sofia

Ausgabe:

{ "SSHPublicKeys": [ { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Status": "Inactive", "UploadDate": "2019-04-18T17:04:49+00:00" } ] }

Weitere Informationen finden Sie unter Verwenden von SSH-Schlüsseln und SSH mit CodeCommit im IAM-BenutzerhandbuchAWS

Das folgende Codebeispiel zeigt die Verwendunglist-user-policies.

AWS CLI

So listen Sie Richtlinien für einen IAM-Benutzer auf

Der folgende list-user-policies-Befehl listet die Richtlinien auf, die dem IAM-Benutzer mit dem Namen Bob zugeordnet sind.

aws iam list-user-policies \ --user-name Bob

Ausgabe:

{ "PolicyNames": [ "ExamplePolicy", "TestPolicy" ] }

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Einen IAM-Benutzer in Ihrem AWS Konto erstellen.AWS

Das folgende Codebeispiel zeigt die Verwendunglist-user-tags.

AWS CLI

Um die einem Benutzer zugewiesenen Tags aufzulisten

Mit dem folgenden list-user-tags Befehl wird die Liste der Tags abgerufen, die dem angegebenen IAM-Benutzer zugeordnet sind.

aws iam list-user-tags \ --user-name alice

Ausgabe:

{ "Tags": [ { "Key": "Department", "Value": "Accounting" }, { "Key": "DeptID", "Value": "12345" } ], "IsTruncated": false }

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im IAM-Benutzerhandbuch.AWS

  • Einzelheiten zur API finden Sie ListUserTagsin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-users.

AWS CLI

So listen Sie IAM Benutzer auf

Der folgende list-users-Befehl listet die IAM-Benutzer im aktuellen Konto auf.

aws iam list-users

Ausgabe:

{ "Users": [ { "UserName": "Adele", "Path": "/", "CreateDate": "2013-03-07T05:14:48Z", "UserId": "AKIAI44QH8DHBEXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Adele" }, { "UserName": "Bob", "Path": "/", "CreateDate": "2012-09-21T23:03:13Z", "UserId": "AKIAIOSFODNN7EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/Bob" } ] }

Weitere Informationen finden Sie unter Auflisten von IAM-Benutzern im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ListUsersin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-virtual-mfa-devices.

AWS CLI

Um virtuelle MFA-Geräte aufzulisten

Der folgende list-virtual-mfa-devices Befehl listet die virtuellen MFA-Geräte auf, die für das aktuelle Konto konfiguriert wurden.

aws iam list-virtual-mfa-devices

Ausgabe:

{ "VirtualMFADevices": [ { "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice" }, { "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred" } ] }

Weitere Informationen finden Sie unter Aktivieren eines Geräts mit virtueller Multi-Faktor-Authentifizierung (MFA) im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungput-group-policy.

AWS CLI

So fügen Sie eine Richtlinie zu einer Gruppe hinzu

Der folgende put-group-policy-Befehl fügt eine Richtlinie zur IAM-Gruppe mit dem Namen Admins hinzu.

aws iam put-group-policy \ --group-name Admins \ --policy-document file://AdminPolicy.json \ --policy-name AdminRoot

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON-Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Weitere Informationen finden Sie unter Verwalten von IAM-Richtlinien im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie PutGroupPolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungput-role-permissions-boundary.

AWS CLI

Beispiel 1: Um eine auf einer benutzerdefinierten Richtlinie basierende Berechtigungsgrenze auf eine IAM-Rolle anzuwenden

Im folgenden put-role-permissions-boundary Beispiel wird die benutzerdefinierte Richtlinie angewendet, die intern-boundary als Berechtigungsgrenze für die angegebene IAM-Rolle bezeichnet wird.

aws iam put-role-permissions-boundary \ --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \ --role-name lambda-application-role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Um eine auf einer AWS verwalteten Richtlinie basierende Berechtigungsgrenze auf eine IAM-Rolle anzuwenden

Im folgenden put-role-permissions-boundary Beispiel AWS wird die verwaltete PowerUserAccess Richtlinie als Berechtigungsgrenze für die angegebene IAM-Rolle angewendet.

aws iam put-role-permissions-boundary \ --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \ --role-name x-account-admin

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungput-role-policy.

AWS CLI

So fügen Sie einer IAM-Rolle eine Berechtigungsrichtlinie hinzu

Der folgende put-role-policy-Befehl fügt der Rolle mit dem Namen Test-Role eine Berechtigungsrichtlinie hinzu.

aws iam put-role-policy \ --role-name Test-Role \ --policy-name ExamplePolicy \ --policy-document file://AdminPolicy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON-Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Verwenden Sie den update-assume-role-policy-Befehl, um einer Rolle eine Vertrauensrichtlinie anzufügen.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie PutRolePolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungput-user-permissions-boundary.

AWS CLI

Beispiel 1: Um eine auf einer benutzerdefinierten Richtlinie basierende Berechtigungsgrenze auf einen IAM-Benutzer anzuwenden

Im folgenden put-user-permissions-boundary Beispiel wird eine benutzerdefinierte Richtlinie angewendet, die intern-boundary als Berechtigungsgrenze für den angegebenen IAM-Benutzer bezeichnet wird.

aws iam put-user-permissions-boundary \ --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \ --user-name intern

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Um eine auf einer AWS verwalteten Richtlinie basierende Berechtigungsgrenze auf einen IAM-Benutzer anzuwenden

Im folgenden put-user-permissions-boundary Beispiel AWS wird die verwaltete Richtlinie angewendet, die PowerUserAccess als Berechtigungsgrenze für den angegebenen IAM-Benutzer bezeichnet wird.

aws iam put-user-permissions-boundary \ --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \ --user-name developer

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungput-user-policy.

AWS CLI

So fügen Sie einem IAM-Benutzer eine Richtlinie an

Der folgende put-user-policy-Befehl fügt dem IAM-Benutzer mit dem Namen Bob eine Richtlinie an.

aws iam put-user-policy \ --user-name Bob \ --policy-name ExamplePolicy \ --policy-document file://AdminPolicy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Richtlinie ist als JSON-Dokument in der AdminPolicyJSON-Datei definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.)

Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie PutUserPolicyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungremove-client-id-from-open-id-connect-provider.

AWS CLI

Um die angegebene Client-ID aus der Liste der Client-IDs zu entfernen, die für den angegebenen IAM OpenID Connect-Anbieter registriert sind

In diesem Beispiel wird die Client-ID My-TestApp-3 aus der Liste der Client-IDs entfernt, die dem IAM-OIDC-Anbieter zugeordnet sind, dessen ARN lautet. arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

aws iam remove-client-id-from-open-id-connect-provider --client-id My-TestApp-3 \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Creating OpenID Connect (OIDC) Identity Providers im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungremove-role-from-instance-profile.

AWS CLI

Um eine Rolle aus einem Instanzprofil zu entfernen

Mit dem folgenden remove-role-from-instance-profile Befehl wird die angegebene Rolle Test-Role aus dem genannten Instanzprofil entferntExampleInstanceProfile.

aws iam remove-role-from-instance-profile \ --instance-profile-name ExampleInstanceProfile \ --role-name Test-Role

Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungremove-user-from-group.

AWS CLI

So entfernen Sie einen Benutzer aus einer IAM-Gruppe

Mit dem folgenden remove-user-from-group-Befehl wird der Benutzer mit dem Namen Bob aus der IAM-Gruppe mit dem Namen Admins entfernt.

aws iam remove-user-from-group \ --user-name Bob \ --group-name Admins

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Benutzern in einer IAM-Benutzergruppe im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungreset-service-specific-credential.

AWS CLI

Beispiel 1: Setzen Sie das Passwort für einen dienstspezifischen Berechtigungsnachweis zurück, der dem Benutzer, der die Anfrage gestellt hat, zugeordnet ist

Im folgenden reset-service-specific-credential Beispiel wird ein neues kryptografisch sicheres Passwort für die angegebenen dienstspezifischen Anmeldeinformationen generiert, die dem Benutzer zugeordnet sind, der die Anfrage stellt.

aws iam reset-service-specific-credential \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Ausgabe:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Beispiel 2: Setzt das Passwort für dienstspezifische Anmeldeinformationen zurück, die einem bestimmten Benutzer zugewiesen sind

Im folgenden reset-service-specific-credential Beispiel wird ein neues kryptografisch sicheres Passwort für dienstspezifische Anmeldeinformationen generiert, die dem angegebenen Benutzer zugewiesen sind.

aws iam reset-service-specific-credential \ --user-name sofia \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Ausgabe:

{ "ServiceSpecificCredential": { "CreateDate": "2019-04-18T20:45:36+00:00", "ServiceName": "codecommit.amazonaws.com", "ServiceUserName": "sofia-at-123456789012", "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=", "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE", "UserName": "sofia", "Status": "Active" } }

Weitere Informationen finden Sie CodeCommit im AWS CodeCommit Benutzerhandbuch unter Erstellen von Git-Anmeldeinformationen für HTTPS-Verbindungen zu.

Das folgende Codebeispiel zeigt die Verwendungresync-mfa-device.

AWS CLI

So synchronisieren Sie ein MFA-Gerät

Im folgenden resync-mfa-device Beispiel wird das MFA-Gerät synchronisiert, das dem IAM-Benutzer zugeordnet ist Bob und dessen ARN arn:aws:iam::123456789012:mfa/BobsMFADevice mit einem Authentifizierungsprogramm verknüpft ist, das die beiden Authentifizierungscodes bereitgestellt hat.

aws iam resync-mfa-device \ --user-name Bob \ --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \ --authentication-code1 123456 \ --authentication-code2 987654

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie unter ResyncMfaDeviceBefehlsreferenz.AWS CLI

Das folgende Codebeispiel zeigt die Verwendungset-default-policy-version.

AWS CLI

Um die angegebene Version der angegebenen Richtlinie als Standardversion der Richtlinie festzulegen.

In diesem Beispiel wird die v2 Version der Richtlinie festgelegt, deren ARN arn:aws:iam::123456789012:policy/MyPolicy die aktive Standardversion ist.

aws iam set-default-policy-version \ --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \ --version-id v2

Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungset-security-token-service-preferences.

AWS CLI

Um die globale Endpunkt-Token-Version festzulegen

Im folgenden set-security-token-service-preferences Beispiel wird Amazon STS so konfiguriert, dass bei der Authentifizierung am globalen Endpunkt Token der Version 2 verwendet werden.

aws iam set-security-token-service-preferences \ --global-endpoint-token-version v2Token

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter AWS STS in einer AWS Region verwalten.

Das folgende Codebeispiel zeigt die Verwendungsimulate-custom-policy.

AWS CLI

Beispiel 1: Um die Auswirkungen aller IAM-Richtlinien zu simulieren, die einem IAM-Benutzer oder einer IAM-Rolle zugeordnet sind

Im Folgenden wird simulate-custom-policy gezeigt, wie Sie sowohl die Richtlinie angeben als auch Variablenwerte definieren und einen API-Aufruf simulieren, um festzustellen, ob er zulässig oder verweigert ist. Das folgende Beispiel zeigt eine Richtlinie, die den Datenbankzugriff erst nach einem bestimmten Datum und einer bestimmten Uhrzeit ermöglicht. Die Simulation ist erfolgreich, weil die simulierten Aktionen und die angegebene aws:CurrentTime Variable alle den Anforderungen der Richtlinie entsprechen.

aws iam simulate-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \ --action-names dynamodb:CreateBackup \ --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "PolicyInputList.1", "StartPosition": { "Line": 1, "Column": 38 }, "EndPosition": { "Line": 1, "Column": 167 } } ], "MissingContextValues": [] } ] }

Beispiel 2: Um einen Befehl zu simulieren, der durch die Richtlinie verboten ist

Das folgende simulate-custom-policy Beispiel zeigt die Ergebnisse der Simulation eines Befehls, der durch die Richtlinie verboten ist. In diesem Beispiel liegt das angegebene Datum vor dem Datum, das gemäß der Richtlinienbedingung erforderlich ist.

aws iam simulate-custom-policy \ --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \ --action-names dynamodb:CreateBackup \ --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }

Weitere Informationen finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungsimulate-principal-policy.

AWS CLI

Beispiel 1: Um die Auswirkungen einer beliebigen IAM-Richtlinie zu simulieren

Im Folgenden simulate-principal-policy wird gezeigt, wie ein Benutzer simuliert, der eine API-Aktion aufruft und ermittelt, ob die diesem Benutzer zugewiesenen Richtlinien die Aktion zulassen oder ablehnen. Im folgenden Beispiel hat der Benutzer eine Richtlinie, die nur die codecommit:ListRepositories Aktion zulässt.

aws iam simulate-principal-policy \ --policy-source-arn arn:aws:iam::123456789012:user/alejandro \ --action-names codecommit:ListRepositories

Ausgabe:

{ "EvaluationResults": [ { "EvalActionName": "codecommit:ListRepositories", "EvalResourceName": "*", "EvalDecision": "allowed", "MatchedStatements": [ { "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo", "StartPosition": { "Line": 3, "Column": 19 }, "EndPosition": { "Line": 9, "Column": 10 } } ], "MissingContextValues": [] } ] }

Beispiel 2: Um die Auswirkungen eines verbotenen Befehls zu simulieren

Das folgende simulate-custom-policy Beispiel zeigt die Ergebnisse der Simulation eines Befehls, der durch eine der Benutzerrichtlinien verboten ist. Im folgenden Beispiel verfügt der Benutzer über eine Richtlinie, die den Zugriff auf eine DynamoDB-Datenbank erst nach einem bestimmten Datum und einer bestimmten Uhrzeit erlaubt. Bei der Simulation versucht der Benutzer, mit einem aws:CurrentTime Wert auf die Datenbank zuzugreifen, der vor der Bedingung der Richtlinie liegt.

aws iam simulate-principal-policy \ --policy-source-arn arn:aws:iam::123456789012:user/alejandro \ --action-names dynamodb:CreateBackup \ --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Ausgabe:

{ "EvaluationResults": [ { "EvalActionName": "dynamodb:CreateBackup", "EvalResourceName": "*", "EvalDecision": "implicitDeny", "MatchedStatements": [], "MissingContextValues": [] } ] }

Weitere Informationen finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungtag-instance-profile.

AWS CLI

Um einem Instanzprofil ein Tag hinzuzufügen

Der folgende tag-instance-profile Befehl fügt dem angegebenen Instanzprofil ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-instance-profile \ --instance-profile-name deployment-role \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungtag-mfa-device.

AWS CLI

So fügen Sie einem MFA-Gerät ein Tag hinzu

Der folgende tag-mfa-device Befehl fügt dem angegebenen MFA-Gerät ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-mfa-device \ --serial-number arn:aws:iam::123456789012:mfa/alice \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie TagMfaDevicein AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungtag-open-id-connect-provider.

AWS CLI

So fügen Sie einem OpenID Connect (OIDC) -kompatiblen Identitätsanbieter ein Tag hinzu

Der folgende tag-open-id-connect-provider Befehl fügt dem angegebenen OIDC-Identitätsanbieter ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-open-id-connect-provider \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im IAM-Benutzerhandbuch.AWS

Das folgende Codebeispiel zeigt die Verwendungtag-policy.

AWS CLI

Um einer vom Kunden verwalteten Richtlinie ein Tag hinzuzufügen

Mit dem folgenden tag-policy Befehl wird der angegebenen, vom Kunden verwalteten Richtlinie ein Tag mit einem Abteilungsnamen hinzugefügt.

aws iam tag-policy \ --policy-arn arn:aws:iam::123456789012:policy/billing-access \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie TagPolicyin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungtag-role.

AWS CLI

Um einer Rolle ein Tag hinzuzufügen

Der folgende tag-role Befehl fügt der angegebenen Rolle ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-role --role-name my-role \ --tags '{"Key": "Department", "Value": "Accounting"}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie TagRolein AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungtag-saml-provider.

AWS CLI

Um einem SAML-Anbieter ein Tag hinzuzufügen

Mit dem folgenden tag-saml-provider Befehl wird dem angegebenen SAML-Anbieter ein Tag mit einem Abteilungsnamen hinzugefügt.

aws iam tag-saml-provider \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie TagSamlProviderin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungtag-server-certificate.

AWS CLI

Um einem Serverzertifikat ein Tag hinzuzufügen

Der folgende tag-saml-provider Befehl fügt dem angegebenen Serverzertifikat ein Tag mit einem Abteilungsnamen hinzu.

aws iam tag-server-certificate \ --server-certificate-name ExampleCertificate \ --tags '[{"Key": "Department", "Value": "Accounting"}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungtag-user.

AWS CLI

Um einem Benutzer ein Tag hinzuzufügen

Mit dem folgenden tag-user Befehl wird dem angegebenen Benutzer ein Tag mit der zugehörigen Abteilung hinzugefügt.

aws iam tag-user \ --user-name alice \ --tags '{"Key": "Department", "Value": "Accounting"}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie TagUserin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunguntag-instance-profile.

AWS CLI

Um ein Tag aus einem Instanzprofil zu entfernen

Mit dem folgenden untag-instance-profile Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Instanzprofil entfernt.

aws iam untag-instance-profile \ --instance-profile-name deployment-role \ --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunguntag-mfa-device.

AWS CLI

So entfernen Sie ein Tag von einem MFA-Gerät

Mit dem folgenden untag-mfa-device Befehl werden alle Tags mit dem Schlüsselnamen „Department“ vom angegebenen MFA-Gerät entfernt.

aws iam untag-mfa-device \ --serial-number arn:aws:iam::123456789012:mfa/alice \ --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie UntagMfaDevicein AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunguntag-open-id-connect-provider.

AWS CLI

Um ein Tag von einem OIDC-Identitätsanbieter zu entfernen

Mit dem folgenden untag-open-id-connect-provider Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen OIDC-Identitätsanbieter entfernt.

aws iam untag-open-id-connect-provider \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \ --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im IAM-Benutzerhandbuch.AWS

Das folgende Codebeispiel zeigt die Verwendunguntag-policy.

AWS CLI

Um ein Tag aus einer vom Kunden verwalteten Richtlinie zu entfernen

Mit dem folgenden untag-policy Befehl werden alle Tags mit dem Schlüsselnamen „Abteilung“ aus der angegebenen, vom Kunden verwalteten Richtlinie entfernt.

aws iam untag-policy \ --policy-arn arn:aws:iam::452925170507:policy/billing-access \ --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie UntagPolicyin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunguntag-role.

AWS CLI

Um ein Tag aus einer Rolle zu entfernen

Mit dem folgenden untag-role Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus der angegebenen Rolle entfernt.

aws iam untag-role \ --role-name my-role \ --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie UntagRolein AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunguntag-saml-provider.

AWS CLI

Um ein Tag von einem SAML-Anbieter zu entfernen

Mit dem folgenden untag-saml-provider Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Instanzprofil entfernt.

aws iam untag-saml-provider \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \ --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunguntag-server-certificate.

AWS CLI

Um ein Tag aus einem Serverzertifikat zu entfernen

Mit dem folgenden untag-server-certificate Befehl werden alle Tags mit dem Schlüsselnamen „Department“ aus dem angegebenen Serverzertifikat entfernt.

aws iam untag-server-certificate \ --server-certificate-name ExampleCertificate \ --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunguntag-user.

AWS CLI

Um ein Tag von einem Benutzer zu entfernen

Mit dem folgenden untag-user Befehl werden alle Tags mit dem Schlüsselnamen „Department“ vom angegebenen Benutzer entfernt.

aws iam untag-user \ --user-name alice \ --tag-keys Department

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging IAM-Ressourcen im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie UntagUserin AWS CLI der Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungupdate-access-key.

AWS CLI

So aktivieren oder deaktivieren Sie einen Zugriffsschlüssel für einen IAM-Benutzer

Mit dem folgenden update-access-key-Befehl wird der angegebene Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den IAM-Benutzer mit dem Namen Bob deaktiviert.

aws iam update-access-key \ --access-key-id AKIAIOSFODNN7EXAMPLE \ --status Inactive \ --user-name Bob

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Deaktivierung des Schlüssels bedeutet, dass er nicht für den programmatischen Zugriff auf verwendet werden kann. AWS Der Schlüssel ist jedoch weiterhin verfügbar und kann erneut aktiviert werden.

Weitere Informationen finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie UpdateAccessKeyin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungupdate-account-password-policy.

AWS CLI

Um die Passwortrichtlinie für das aktuelle Konto festzulegen oder zu ändern

Mit dem folgenden update-account-password-policy Befehl wird für die Kennwortrichtlinie eine Mindestlänge von acht Zeichen und eine oder mehrere Zahlen im Kennwort festgelegt.

aws iam update-account-password-policy \ --minimum-password-length 8 \ --require-numbers

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Änderungen an der Passwortrichtlinie eines Kontos wirken sich auf alle neuen Passwörter aus, die für IAM-Benutzer im Konto erstellt werden. Änderungen der Passwortrichtlinie wirken sich nicht auf bestehende Passwörter aus.

Weitere Informationen finden Sie unter Festlegen einer Kontopasswortrichtlinie für IAM-Benutzer im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-assume-role-policy.

AWS CLI

Um die Vertrauensrichtlinie für eine IAM-Rolle zu aktualisieren

Mit dem folgenden update-assume-role-policy Befehl wird die Vertrauensrichtlinie für die angegebene Test-Role Rolle aktualisiert.

aws iam update-assume-role-policy \ --role-name Test-Role \ --policy-document file://Test-Role-Trust-Policy.json

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Die Vertrauensrichtlinie ist als JSON-Dokument in der Datei Test-Role-Trust-Policy.json definiert. (Der Dateiname und die Erweiterung sind nicht von Bedeutung.) Die Vertrauensrichtlinie muss einen Prinzipal angeben.

Verwenden Sie den put-role-policy Befehl, um die Berechtigungsrichtlinie für eine Rolle zu aktualisieren.

Weitere Informationen finden Sie unter Erstellen von IAM-Rollen im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-group.

AWS CLI

Um eine IAM-Gruppe umzubenennen

Mit dem folgenden update-group Befehl wird der Name der IAM-Gruppe Test in geändert. Test-1

aws iam update-group \ --group-name Test \ --new-group-name Test-1

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Umbenennen einer IAM-Benutzergruppe im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie UpdateGroupin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungupdate-login-profile.

AWS CLI

Um das Passwort für einen IAM-Benutzer zu aktualisieren

Der folgende update-login-profile Befehl erstellt ein neues Passwort für den IAM-Benutzer mit dem Namen. Bob

aws iam update-login-profile \ --user-name Bob \ --password <password>

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Verwenden Sie den update-account-password-policy Befehl, um eine Kennwortrichtlinie für das Konto festzulegen. Wenn das neue Passwort gegen die Passwortrichtlinie für das Konto verstößt, gibt der Befehl einen PasswordPolicyViolation Fehler zurück.

Wenn die Kontopasswortrichtlinie dies zulässt, können IAM-Benutzer ihre eigenen Passwörter mithilfe des change-password Befehls ändern.

Bewahren Sie das Passwort an einem sicheren Ort auf. Wenn das Passwort verloren geht, kann es nicht wiederhergestellt werden, und Sie müssen mit dem create-login-profile Befehl ein neues erstellen.

Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Passwörter für AWS IAM-Benutzer verwalten.

Das folgende Codebeispiel zeigt die Verwendungupdate-open-id-connect-provider-thumbprint.

AWS CLI

Um die bestehende Liste der Fingerabdrücke von Serverzertifikaten durch eine neue Liste zu ersetzen

In diesem Beispiel wird die Zertifikat-Fingerabdruckliste für den OIDC-Anbieter aktualisiert, dessen ARN einen neuen Fingerabdruck verwenden arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com soll.

aws iam update-open-id-connect-provider-thumbprint \ --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \ --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Creating OpenID Connect (OIDC) Identity Providers im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-role-description.

AWS CLI

Um die Beschreibung einer IAM-Rolle zu ändern

Mit dem folgenden update-role Befehl wird die Beschreibung der IAM-Rolle production-role in geändert. Main production role

aws iam update-role-description \ --role-name production-role \ --description 'Main production role'

Ausgabe:

{ "Role": { "Path": "/", "RoleName": "production-role", "RoleId": "AROA1234567890EXAMPLE", "Arn": "arn:aws:iam::123456789012:role/production-role", "CreateDate": "2017-12-06T17:16:37+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }, "Description": "Main production role" } }

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-role.

AWS CLI

Um die Beschreibung oder Sitzungsdauer einer IAM-Rolle zu ändern

Mit dem folgenden update-role Befehl wird die Beschreibung der IAM-Rolle production-role auf 12 Stunden geändert Main production role und die maximale Sitzungsdauer wird auf 12 Stunden festgelegt.

aws iam update-role \ --role-name production-role \ --description 'Main production role' \ --max-session-duration 43200

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Ändern einer Rolle im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie UpdateRolein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungupdate-saml-provider.

AWS CLI

Um das Metadatendokument für einen vorhandenen SAML-Anbieter zu aktualisieren

In diesem Beispiel wird der SAML-Anbieter in IAM, dessen ARN ist, arn:aws:iam::123456789012:saml-provider/SAMLADFS mit einem neuen SAML-Metadatendokument aus der Datei aktualisiert. SAMLMetaData.xml

aws iam update-saml-provider \ --saml-metadata-document file://SAMLMetaData.xml \ --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Ausgabe:

{ "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS" }

Weitere Informationen finden Sie unter Erstellen von IAM-SAML-Identitätsanbietern im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-server-certificate.

AWS CLI

Um den Pfad oder Namen eines Serverzertifikats in Ihrem AWS Konto zu ändern

Mit dem folgenden update-server-certificate-Befehl wird der Name des Zertifikats von myServerCertificate in myUpdatedServerCertificate geändert. Außerdem wird der Pfad geändert, /cloudfront/ sodass der CloudFront Amazon-Service darauf zugreifen kann. Mit diesem Befehl wird keine Ausgabe zurückgegeben. Sie können die Ergebnisse der Aktualisierung anzeigen, indem Sie den list-server-certificates-Befehl ausführen.

aws-iam update-server-certificate \ --server-certificate-name myServerCertificate \ --new-server-certificate-name myUpdatedServerCertificate \ --new-path /cloudfront/

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltung von Serverzertifikaten in IAM im AWS -IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-service-specific-credential.

AWS CLI

Beispiel 1: Um den Status der dienstspezifischen Anmeldeinformationen des anfragenden Benutzers zu aktualisieren

Im folgenden update-service-specific-credential Beispiel wird der Status der angegebenen Anmeldeinformationen für den Benutzer geändert, an den die Anfrage gestellt wird. Inactive

aws iam update-service-specific-credential \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \ --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Beispiel 2: Um den Status der dienstspezifischen Anmeldeinformationen eines angegebenen Benutzers zu aktualisieren

Im folgenden update-service-specific-credential Beispiel wird der Status der Anmeldeinformationen des angegebenen Benutzers in Inaktiv geändert.

aws iam update-service-specific-credential \ --user-name sofia \ --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \ --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Git-Anmeldeinformationen für HTTPS-Verbindungen erstellen CodeCommit im AWS CodeCommit Benutzerhandbuch

Das folgende Codebeispiel zeigt die Verwendungupdate-signing-certificate.

AWS CLI

Um ein Signaturzertifikat für einen IAM-Benutzer zu aktivieren oder zu deaktivieren

Der folgende update-signing-certificate Befehl deaktiviert das angegebene Signaturzertifikat für den genannten IAM-Benutzer. Bob

aws iam update-signing-certificate \ --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \ --status Inactive \ --user-name Bob

Verwenden Sie den Befehl, um die ID für ein Signaturzertifikat abzurufen. list-signing-certificates

Weitere Informationen finden Sie unter Signaturzertifikate verwalten im Amazon EC2 EC2-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-ssh-public-key.

AWS CLI

Um den Status eines öffentlichen SSH-Schlüssels zu ändern

Der folgende update-ssh-public-key Befehl ändert den Status des angegebenen öffentlichen Schlüssels inInactive.

aws iam update-ssh-public-key \ --user-name sofia \ --ssh-public-key-id APKA1234567890EXAMPLE \ --status Inactive

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter SSH-Schlüssel und SSH mit verwenden CodeCommit im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-user.

AWS CLI

So ändern Sie den Namen eines IAM-Benutzers

Mit dem folgenden update-user-Befehl wird der Name des IAM-Benutzers Bob in Robert geändert.

aws iam update-user \ --user-name Bob \ --new-user-name Robert

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Umbenennen einer IAM-Benutzergruppe im AWS -IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie UpdateUserin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungupload-server-certificate.

AWS CLI

Um ein Serverzertifikat auf Ihr AWS Konto hochzuladen

Mit dem folgenden upload-server-certificateBefehl wird ein Serverzertifikat auf Ihr AWS Konto hochgeladen. In diesem Beispiel befindet sich das Zertifikat in der Datei public_key_cert_file.pem, der zugehörige private Schlüssel in der Datei my_private_key.pem und die von der Zertifizierungsstelle (CA) bereitgestellte Zertifikatskette befindet sich in der my_certificate_chain_file.pem-Datei. Wenn der Upload der Datei abgeschlossen ist, ist sie unter dem Namen verfügbar. myServerCertificate Parameter, die mit file:// beginnen, weisen den Befehl an, den Inhalt der Datei zu lesen und diesen als Parameterwert anstelle des Dateinamens selbst zu verwenden.

aws iam upload-server-certificate \ --server-certificate-name myServerCertificate \ --certificate-body file://public_key_cert_file.pem \ --private-key file://my_private_key.pem \ --certificate-chain file://my_certificate_chain_file.pem

Ausgabe:

{ "ServerCertificateMetadata": { "Path": "/", "ServerCertificateName": "myServerCertificate", "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE", "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate", "UploadDate": "2019-04-22T21:13:44+00:00", "Expiration": "2019-10-15T22:23:16+00:00" } }

Weitere Informationen finden Sie unter Erstellen, Hochladen und Löschen von Serverzertifikaten im Handbuch zur Verwendung von IAM.

Das folgende Codebeispiel zeigt die Verwendungupload-signing-certificate.

AWS CLI

Um ein Signaturzertifikat für einen IAM-Benutzer hochzuladen

Mit dem folgenden upload-signing-certificate Befehl wird ein Signaturzertifikat für den IAM-Benutzer mit dem Namen hochgeladen. Bob

aws iam upload-signing-certificate \ --user-name Bob \ --certificate-body file://certificate.pem

Ausgabe:

{ "Certificate": { "UserName": "Bob", "Status": "Active", "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----", "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE", "UploadDate": "2013-06-06T21:40:08.121Z" } }

Das Zertifikat befindet sich in einer Datei namens certificate.pem im PEM-Format.

Weitere Informationen finden Sie unter Erstellen und Hochladen eines Benutzersignaturzertifikats im Handbuch Using IAM.

Das folgende Codebeispiel zeigt die Verwendungupload-ssh-public-key.

AWS CLI

Um einen öffentlichen SSH-Schlüssel hochzuladen und ihn einem Benutzer zuzuordnen

Mit dem folgenden upload-ssh-public-key Befehl wird der in der Datei gefundene öffentliche Schlüssel hochgeladen sshkey.pub und an den Benutzer angehängt. sofia

aws iam upload-ssh-public-key \ --user-name sofia \ --ssh-public-key-body file://sshkey.pub

Ausgabe:

{ "SSHPublicKey": { "UserName": "sofia", "SSHPublicKeyId": "APKA1234567890EXAMPLE", "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef", "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>", "Status": "Active", "UploadDate": "2019-04-18T17:04:49+00:00" } }

Weitere Informationen zum Generieren von Schlüsseln in einem für diesen Befehl geeigneten Format finden Sie unter SSH und Linux, macOS oder Unix: Einrichten der öffentlichen und privaten Schlüssel für Git und/oder SSH und Windows: Richten Sie die öffentlichen und privaten Schlüssel für Git ein und CodeCommit im AWS CodeCommit Benutzerhandbuch. CodeCommit