Création d'utilisateurs et de groupes IAM Associer une politique IAM gérée à un utilisateur Définir un mot de passe initial pour un IAM utilisateur Création d'une clé d'accès pour un IAM utilisateur

À utiliser AWS Identity and Access Management à partir du AWS CLI

Une introduction à AWS Identity and Access Management

Vous pouvez accéder aux fonctionnalités de AWS Identity and Access Management (IAM) à l'aide du AWS Command Line Interface (AWS CLI). Pour répertorier les AWS CLI commandes pourIAM, utilisez la commande suivante.


aws iam help

Cette rubrique présente des exemples de AWS CLI commandes qui exécutent des tâches courantes pourIAM.

Avant d'exécuter des commandes, définissez vos informations d'identification par défaut. Pour plus d’informations, consultez Configurez le AWS CLI.

Pour plus d'informations sur le IAM service, consultez le guide de AWS Identity and Access Management l'utilisateur.

Rubriques

Création d'utilisateurs et de groupes IAM
Associer une politique IAM gérée à un utilisateur
Définir un mot de passe initial pour un IAM utilisateur
Création d'une clé d'accès pour un IAM utilisateur

Création d'utilisateurs et de groupes IAM

Pour créer un groupe et y ajouter un nouvel utilisateur

Utilisez la commande create-group pour créer le groupe.


$ aws iam create-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52.834Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    }
}

Utilisez la commande create-user pour créer l'utilisateur.


$ aws iam create-user --user-name MyUser
{
    "User": {
        "UserName": "MyUser",
        "Path": "/",
        "CreateDate": "2018-12-14T03:13:02.581Z",
        "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/MyUser"
    }
}

Utilisez la commande add-user-to-group pour ajouter l'utilisateur au groupe.


$ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup

Pour vérifier que le groupe MyIamGroup contient le code MyUser, utilisez la commande get-group.


$ aws iam get-group --group-name MyIamGroup
{
    "Group": {
        "GroupName": "MyIamGroup",
        "CreateDate": "2018-12-14T03:03:52Z",
        "GroupId": "AGPAJNUJ2W4IJVEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/MyIamGroup",
        "Path": "/"
    },
    "Users": [
        {
            "UserName": "MyUser",
            "Path": "/",
            "CreateDate": "2018-12-14T03:13:02Z",
            "UserId": "AIDAJY2PE5XUZ4EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/MyUser"
        }
    ],
    "IsTruncated": "false"
}

Associer une politique IAM gérée à un utilisateur

La stratégie dans cet exemple fournit à l'utilisateur un « accès utilisateur avancé ».

Pour associer une politique IAM gérée à un utilisateur

Déterminez le nom de ressource Amazon (ARN) de la politique à joindre. La commande suivante list-policies permet de rechercher ARN la politique portant le nomPowerUserAccess. Il les stocke ensuite ARN dans une variable d'environnement.
```
$ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text)       ~
$ echo $POLICYARN
arn:aws:iam::aws:policy/PowerUserAccess
```
Pour attacher la politique, utilisez la commande et référencez la variable d'environnement qui contient la politiqueARN.
```
$ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN
```

Vérifiez que la stratégie est bien attachée à l'utilisateur en exécutant la commande list-attached-user-policies.


$ aws iam list-attached-user-policies --user-name MyUser
{
    "AttachedPolicies": [
        {
            "PolicyName": "PowerUserAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
        }
    ]
}

Pour plus d'informations, consultez Ressources de gestion des accès. Cette rubrique fournit des liens vers un aperçu des autorisations et des politiques, ainsi que des liens vers des exemples de politiques d'accès à Amazon S3EC2, Amazon et à d'autres services.

Définir un mot de passe initial pour un IAM utilisateur

La commande suivante permet create-login-profile de définir un mot de passe initial pour l'utilisateur spécifié. Lorsque l'utilisateur se connecte pour la première fois, il doit modifier le mot de passe afin que seul lui le connaisse.


$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required
{
    "LoginProfile": {
        "UserName": "MyUser",
        "CreateDate": "2018-12-14T17:27:18Z",
        "PasswordResetRequired": true
    }
}

Vous pouvez utiliser la update-login-profile commande pour modifier le mot de passe d'un utilisateur.


$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword

Création d'une clé d'accès pour un IAM utilisateur

Vous pouvez utiliser la commande pour créer une clé d'accès pour un utilisateur. Une clé d'accès est un ensemble d'informations d'identification de sécurité qui comprend un ID de clé d'accès et une clé secrète.

Un utilisateur ne peut créer que deux clés d'accès à la fois. Si vous essayez de créer un troisième ensemble, la commande renvoie une erreur LimitExceeded.


$ aws iam create-access-key --user-name MyUser
{
    "AccessKey": {
        "UserName": "MyUser",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "Status": "Active",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "CreateDate": "2018-12-14T17:34:16Z"
    }
}

Utilisez la commande pour supprimer une clé d'accès pour un utilisateur. Spécifiez quelle clé d'accès supprimer à l'aide de l'ID de clé d'accès.


$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

S3 Glacier

Amazon S3