Exemplos do IAM usando o AWS CLI

Os exemplos de código a seguir mostram como realizar ações e implementar cenários comuns usando o AWS Command Line Interface com o IAM.

Ações são trechos de código de programas maiores e devem ser executadas em contexto. Embora as ações mostrem como chamar perfis de serviço individuais, você pode ver as ações no contexto em seus cenários relacionados.

Cada exemplo inclui um link para o código-fonte completo, em que você pode encontrar instruções sobre como configurar e executar o código.

Ações

add-client-id-to-open-id-connect-provider

O código de exemplo a seguir mostra como usar add-client-id-to-open-id-connect-provider.

AWS CLI

Adicionar um ID de cliente (público) a um provedor Open-ID Connect (OIDC)

O comando add-client-id-to-open-id-connect-provider a seguir adiciona o ID do cliente my-application-ID ao provedor OIDC denominado server.example.com.

aws iam add-client-id-to-open-id-connect-provider \
    --client-id my-application-ID \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Este comando não produz saída.

Para criar um provedor OIDC, use o comando create-open-id-connect-provider.

Para obter mais informações, consulte Criar provedores de identidade OpenID Connect (OIDC) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte AddClientIdToOpenIdConnectProvider na Referência de comandos da AWS CLI.

add-role-to-instance-profile

O código de exemplo a seguir mostra como usar add-role-to-instance-profile.

AWS CLI

Adicionar um perfil a um perfil de instância

O comando add-role-to-instance-profile a seguir adiciona o perfil denominado S3Access ao perfil de instância denominado Webserver.

aws iam add-role-to-instance-profile \
    --role-name S3Access \
    --instance-profile-name Webserver

Este comando não produz saída.

Para criar um perfil de instância, use o comando create-instance-profile.

Para obter mais informações, consulte Uso de um perfil do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2 no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte AddRoleToInstanceProfile na Referência de comandos da AWS CLI.

add-user-to-group

O código de exemplo a seguir mostra como usar add-user-to-group.

AWS CLI

Como adicionar um usuário a um grupo do IAM

O comando add-user-to-group, apresentado a seguir, adiciona um usuário do IAM denominado Bob ao grupo do IAM denominado Admins.

aws iam add-user-to-group \
    --user-name Bob \
    --group-name Admins

Este comando não produz saída.

Para obter mais informações, consulte Adicionar e remover usuários de um grupo de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte AddUserToGroup na Referência de comandos da AWS CLI.

attach-group-policy

O código de exemplo a seguir mostra como usar attach-group-policy.

AWS CLI

Anexar uma política gerenciada a um grupo do IAM

O comando attach-group-policy a seguir anexa a política gerenciada da AWS denominada ReadOnlyAccess ao grupo do IAM denominado Finance.

aws iam attach-group-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --group-name Finance

Este comando não produz saída.

Para obter mais informações, consulte Políticas gerenciadas e em linha no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte AttachGroupPolicy na Referência de comandos da AWS CLI.

attach-role-policy

O código de exemplo a seguir mostra como usar attach-role-policy.

AWS CLI

Como anexar uma política gerenciada a um perfil do IAM

O comando attach-role-policy, apresentado a seguir, anexa a política gerenciada pela AWS denominada ReadOnlyAccess ao perfil do IAM denominado ReadOnlyRole.

aws iam attach-role-policy \
    --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess \
    --role-name ReadOnlyRole

Este comando não produz saída.

Para obter mais informações, consulte Políticas gerenciadas e em linha no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte AttachRolePolicy na Referência de comandos da AWS CLI.

attach-user-policy

O código de exemplo a seguir mostra como usar attach-user-policy.

AWS CLI

Como anexar uma política gerenciada a um usuário do IAM

O comando attach-user-policy, apresentado a seguir, anexa a política gerenciada pela AWS denominada AdministratorAccess ao usuário do IAM denominado Alice.

aws iam attach-user-policy \
    --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
    --user-name Alice

Este comando não produz saída.

Para obter mais informações, consulte Políticas gerenciadas e em linha no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte AttachUserPolicy na Referência de comandos da AWS CLI.

change-password

O código de exemplo a seguir mostra como usar change-password.

AWS CLI

Alterar a senha do usuário do IAM

Para alterar a senha do usuário do IAM, recomendamos usar o parâmetro --cli-input-json para transmitir um arquivo JSON que contém suas senhas antigas e novas. Com esse método, você pode usar senhas fortes com caracteres não alfanuméricos. Pode ser difícil usar senhas com caracteres não alfanuméricos quando elas são transmitidas como parâmetros da linha de comando. Para usar o parâmetro --cli-input-json, comece usando o comando change-password com o parâmetro --generate-cli-skeleton, como no exemplo a seguir.

aws iam change-password \
    --generate-cli-skeleton > change-password.json

O comando anterior cria um arquivo JSON chamado change-password.json que você pode usar para preencher senhas antigas e novas. Por exemplo, o perfil pode ter a aparência a seguir.

{
    "OldPassword": "3s0K_;xh4~8XXI",
    "NewPassword": "]35d/{pB9Fo9wJ"
}

Em seguida, para alterar a senha, use o comando change-password novamente, desta vez transmitindo o parâmetro --cli-input-json para especificar o arquivo JSON. O comando change-password a seguir usa o parâmetro --cli-input-json com um arquivo JSON chamado change-password.json.

aws iam change-password \
    --cli-input-json file://change-password.json

Este comando não produz saída.

Esse comando pode ser chamado somente por usuários do IAM. Se esse comando for chamado usando credenciais da conta (raiz) da AWS, o comando retornará um erro InvalidUserType.

Para obter mais informações, consulte Como um usuário do IAM altera a própria senha no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ChangePassword na Referência de comandos da AWS CLI.

create-access-key

O código de exemplo a seguir mostra como usar create-access-key.

AWS CLI

Como criar uma chave de acesso para um usuário do IAM

O comando create-access-key, apresentado a seguir, cria uma chave de acesso (ID da chave de acesso e chave de acesso secreta) para o usuário do IAM denominado Bob.

aws iam create-access-key \
    --user-name Bob

Saída:

{
    "AccessKey": {
        "UserName": "Bob",
        "Status": "Active",
        "CreateDate": "2015-03-09T18:39:23.411Z",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
    }
}

Armazene a chave de acesso secreta em um local seguro. Se ela for perdida, não será possível recuperá-la e você deverá criar uma nova chave de acesso.

Para obter mais informações, consulte Gerenciamento de chaves de acesso de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateAccessKey na Referência de comandos da AWS CLI.

create-account-alias

O código de exemplo a seguir mostra como usar create-account-alias.

AWS CLI

Como criar um alias da conta

O comando create-account-alias, apresentado a seguir, cria o alias examplecorp para sua conta da AWS.

aws iam create-account-alias \
    --account-alias examplecorp

Este comando não produz saída.

Para obter mais informações, consulte O ID da sua conta da AWS e seu alias no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateAccountAlias na Referência de comandos da AWS CLI.

create-group

O código de exemplo a seguir mostra como usar create-group.

AWS CLI

Para criar um grupo do IAM

O comando create-group, apresentado a seguir, cria um grupo do IAM denominado Admins.

aws iam create-group \
    --group-name Admins

Saída:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-03-09T20:30:24.940Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    }
}

Para obter mais informações, consulte Criação de grupos de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateGroup na Referência de comandos da AWS CLI.

create-instance-profile

O código de exemplo a seguir mostra como usar create-instance-profile.

AWS CLI

Como criar um perfil de instância

O comando create-instance-profile, apresentado a seguir, cria um perfil de instância denominado Webserver.

aws iam create-instance-profile \
    --instance-profile-name Webserver

Saída:

{
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJMBYC7DLSPEXAMPLE",
        "Roles": [],
        "CreateDate": "2015-03-09T20:33:19.626Z",
        "InstanceProfileName": "Webserver",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/Webserver"
    }
}

Para adicionar um perfil a um perfil de instância, use o comando add-role-to-instance-profile.

Para obter mais informações, consulte Uso de um perfil do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2 no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateInstanceProfile na Referência de comandos da AWS CLI.

create-login-profile

O código de exemplo a seguir mostra como usar create-login-profile.

AWS CLI

Criar uma senha para um usuário do IAM

Para criar uma senha de um usuário do IAM, recomendamos usar o parâmetro --cli-input-json para transmitir um arquivo JSON que contém a senha. Usando esse método, você pode criar uma senha forte com caracteres não alfanuméricos. Pode ser difícil criar uma senha com caracteres não alfanuméricos ao transmiti-la como parâmetro da linha de comando.

Para usar o parâmetro --cli-input-json, comece usando o comando create-login-profile com o parâmetro --generate-cli-skeleton, como no exemplo a seguir.

aws iam create-login-profile \
    --generate-cli-skeleton > create-login-profile.json

O comando anterior cria um arquivo JSON chamado create-login-profile.json que pode ser usado para preencher as informações de um comando create-login-profile subsequente. Por exemplo:

{
    "UserName": "Bob",
    "Password": "&1-3a6u:RA0djs",
    "PasswordResetRequired": true
}

Em seguida, para criar uma senha de um usuário do IAM, use o comando create-login-profile novamente, desta vez transmitindo o parâmetro --cli-input-json a fim de especificar o arquivo JSON. O comando create-login-profile a seguir usa o parâmetro --cli-input-json com um arquivo JSON chamado create-login-profile.json.

aws iam create-login-profile \
    --cli-input-json file://create-login-profile.json

Saída:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2015-03-10T20:55:40.274Z",
        "PasswordResetRequired": true
    }
}

Se a nova senha violar a política de senha da conta, o comando retornará um erro PasswordPolicyViolation.

Para alterar a senha de um usuário que já tem uma, use update-login-profile. Para definir uma política de senha da conta, use o comando update-account-password-policy.

Se a política de senha da conta permitir, os usuários do IAM poderão alterar suas próprias senhas usando o comando change-password.

Para obter mais informações, consulte Gerenciamento de senhas de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateLoginProfile na Referência de comandos da AWS CLI.

create-open-id-connect-provider

O código de exemplo a seguir mostra como usar create-open-id-connect-provider.

AWS CLI

Criar um provedor OpenID Connect (OIDC)

Para criar um provedor OpenID Connect (OIDC), recomendamos usar o parâmetro --cli-input-json para transmitir um arquivo JSON que contém os parâmetros necessários. Ao criar um provedor OIDC, você deve transmitir o URL do provedor, e o URL deve começar com https://. Pode ser difícil transmitir o URL como parâmetro de linha de comando, porque os caracteres de dois pontos (:) e barra (/) têm um significado especial em alguns ambientes de linha de comando. Usar o parâmetro --cli-input-json contorna essa limitação.

Para usar o parâmetro --cli-input-json, comece usando o comando create-open-id-connect-provider com o parâmetro --generate-cli-skeleton, como no exemplo a seguir.

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

O comando anterior cria um arquivo JSON chamado create-open-id-connect-provider.json que você pode usar para preencher as informações de um comando create-open-id-connect-provider subsequente. Por exemplo:

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

Em seguida, para criar o provedor OpenID Connect (OIDC), use o comando create-open-id-connect-provider novamente, desta vez transmitindo o parâmetro --cli-input-json a fim de especificar o arquivo JSON. O comando create-open-id-connect-provider a seguir usa o parâmetro --cli-input-json com um arquivo JSON chamado create-open-id-connect-provider.json.

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

Saída:

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

Para obter mais informações sobre provedores OIDC, consulte Criar provedores de identidade OpenID Connect (OIDC) no Guia do usuário do AWS IAM.

Para obter mais informações sobre como conseguir impressões digitais de um provedor OIDC, consulte Obter a impressão digital para um provedor de identidade OpenID Connect no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateOpenIdConnectProvider na Referência de comandos da AWS CLI.

create-policy-version

O código de exemplo a seguir mostra como usar create-policy-version.

AWS CLI

Como criar uma nova versão de uma política gerenciada

Este exemplo cria uma nova versão v2 da política do IAM cujo ARN é arn:aws:iam::123456789012:policy/MyPolicy e a torna a versão padrão.

aws iam create-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --policy-document file://NewPolicyVersion.json \
    --set-as-default

Saída:

{
    "PolicyVersion": {
        "CreateDate": "2015-06-16T18:56:03.721Z",
        "VersionId": "v2",
        "IsDefaultVersion": true
    }
}

Para obter mais informações, consulte Versionamento de políticas do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreatePolicyVersion na Referência de comandos da AWS CLI.

create-policy

O código de exemplo a seguir mostra como usar create-policy.

AWS CLI

Exemplo 1: como criar uma política gerenciada pelo cliente

O comando apresentado a seguir cria uma política gerenciada pelo cliente denominada my-policy. O arquivo policy.json é um documento JSON na pasta atual que concede acesso somente leitura à pasta shared em um bucket do Amazon S3 denominado amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json

Conteúdo de policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/shared/*"
            ]
        }
    ]
}

Saída:

{
    "Policy": {
        "PolicyName": "my-policy",
        "CreateDate": "2015-06-01T19:31:18.620Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::0123456789012:policy/my-policy",
        "UpdateDate": "2015-06-01T19:31:18.620Z"
    }
}

Para obter mais informações sobre como usar arquivos como entrada para parâmetros de string, consulte Especificar valores de parâmetro para a AWS CLI no Guia do usuário da AWS CLI.

Exemplo 2: como criar uma política gerenciada pelo cliente com uma descrição

O comando a seguir cria uma política gerenciada pelo cliente denominada my-policy com uma descrição imutável.

O arquivo policy.json é um documento JSON na pasta atual que concede acesso a todas as ações Put, List e Get para um bucket do Amazon S3 denominado amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --description "This policy grants access to all Put, Get, and List actions for amzn-s3-demo-bucket"

Conteúdo de policy.json:

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Saída:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T22:38:47+00:00",
        "UpdateDate": "2023-05-24T22:38:47+00:00"
    }
}

Para obter mais informações sobre as políticas baseadas em identidade, consulte Políticas baseadas em identidade e em recurso no Guia do usuário do AWS IAM.

Exemplo 3: para criar uma política gerenciada pelo cliente com tags

O comando apresentado a seguir cria uma política gerenciada pelo cliente, denominada my-policy, com etiquetas. Este exemplo usa o parâmetro --tags com as seguintes tags formatadas em JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Como alternativa, o parâmetro --tags pode ser usado com tags no formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

O arquivo policy.json é um documento JSON na pasta atual que concede acesso a todas as ações Put, List e Get para um bucket do Amazon S3 denominado amzn-s3-demo-bucket.

aws iam create-policy \
    --policy-name my-policy \
    --policy-document file://policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Conteúdo de policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

Saída:

{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "ANPAWGSUGIDPEXAMPLE",
        "Arn": "arn:aws:iam::12345678012:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-05-24T23:16:39+00:00",
        "UpdateDate": "2023-05-24T23:16:39+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
                "Key": "Location",
                "Value": "Seattle"
            {
        ]
    }
}

Para obter mais informações sobre as políticas de marcação, consulte Marcar políticas gerenciadas pelo cliente no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreatePolicy na Referência de comandos da AWS CLI.

create-role

O código de exemplo a seguir mostra como usar create-role.

AWS CLI

Exemplo 1: como criar um perfil do IAM

O comando create-role, apresentado a seguir, cria um perfil, denominado Test-Role, e anexa uma política de confiança a ele.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json

Saída:

{
    "Role": {
        "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "CreateDate": "2013-06-07T20:43:32.821Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

A política de confiança é definida como um documento JSON no arquivo Test-Role-Trust-Policy.json. (O nome e a extensão do arquivo não têm significado.) A política de confiança deve especificar uma entidade principal.

Para anexar uma política de permissões a um perfil, use o comando put-role-policy.

Para obter mais informações, consulte Criação de perfis do IAM no Guia do usuário do AWS IAM.

Exemplo 2: como criar um perfil do IAM com a duração máxima da sessão especificada

O comando create-role, apresentado a seguir, cria um perfil denominado Test-Role e define a duração máxima da sessão como 7.200 segundos (duas horas).

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --max-session-duration 7200

Saída:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:role/Test-Role",
        "CreateDate": "2023-05-24T23:50:25+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::12345678012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

Para obter mais informações, consulte Modificar a duração máxima da sessão de um perfil (API da AWS) no Guia do usuário do AWS IAM.

Exemplo 3: como criar um perfil do IAM com etiquetas

O comando apresentado a seguir cria um perfil do IAM Test-Role com etiquetas. Este exemplo usa o sinalizador de parâmetro --tags com as seguintes etiquetas formatadas em JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Como alternativa, o sinalizador --tags pode ser usado com etiquetas no formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-role \
    --role-name Test-Role \
    --assume-role-policy-document file://Test-Role-Trust-Policy.json \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Saída:

{
    "Role": {
        "Path": "/",
        "RoleName": "Test-Role",
        "RoleId": "AKIAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/Test-Role",
        "CreateDate": "2023-05-25T23:29:41+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Statement1",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Para obter mais informações, consulte Marcar perfis do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateRole na Referência de comandos da AWS CLI.

create-saml-provider

O código de exemplo a seguir mostra como usar create-saml-provider.

AWS CLI

Como criar um provedor SAML

Este exemplo cria um novo provedor SAML no IAM denominado MySAMLProvider. Ele é descrito pelo documento de metadados do SAML, que encontra-se no arquivo SAMLMetaData.xml.

aws iam create-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --name MySAMLProvider

Saída:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"
}

Para obter mais informações, consulte Criação de provedores de identidade SAML do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateSAMLProvider na Referência de comandos da AWS CLI.

create-service-linked-role

O código de exemplo a seguir mostra como usar create-service-linked-role.

AWS CLI

Como criar um perfil vinculado ao serviço

O exemplo que usa create-service-linked-role, apresentado a seguir, cria um perfil vinculado ao serviço para o serviço da AWS especificado e anexa a descrição especificada.

aws iam create-service-linked-role \
    --aws-service-name lex.amazonaws.com \
    --description "My service-linked role to support Lex"

Saída:

{
    "Role": {
        "Path": "/aws-service-role/lex.amazonaws.com/",
        "RoleName": "AWSServiceRoleForLexBots",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::1234567890:role/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots",
        "CreateDate": "2019-04-17T20:34:14+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Effect": "Allow",
                    "Principal": {
                        "Service": [
                            "lex.amazonaws.com"
                        ]
                    }
                }
            ]
        }
    }
}

Para obter mais informações, consulte Usar perfis vinculados ao serviço no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateServiceLinkedRole na Referência de comandos da AWS CLI.

create-service-specific-credential

O código de exemplo a seguir mostra como usar create-service-specific-credential.

AWS CLI

Criar um conjunto de credenciais específicas do serviço para um usuário

O exemplo create-service-specific-credential a seguir cria um nome de usuário e uma senha que podem ser usados apenas para acessar o serviço configurado.

aws iam create-service-specific-credential \
    --user-name sofia \
    --service-name codecommit.amazonaws.com

Saída:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "k1zPZM6uVxMQ3oxqgoYlNuJPyRTZ1vREs76zTQE3eJk=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Para obter mais informações, consulte Criar credenciais do Git para conexões HTTPS com o CodeCommit no Guia do usuário do AWS CodeCommit.

• Para ver detalhes da API, consulte CreateServiceSpecificCredential na Referência de comandos da AWS CLI.

create-user

O código de exemplo a seguir mostra como usar create-user.

AWS CLI

Exemplo 1: como criar um usuário do IAM

O comando create-user, apresentado a seguir, cria um usuário do IAM denominado Bob na conta atual.

aws iam create-user \
    --user-name Bob

Saída:

{
    "User": {
        "UserName": "Bob",
        "Path": "/",
        "CreateDate": "2023-06-08T03:20:41.270Z",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Bob"
    }
}

Para obter mais informações, consulte Criar um usuário do IAM na sua conta da AWS no Guia do usuário do AWS IAM.

Exemplo 2: como criar um usuário do IAM em um caminho especificado

O comando create-user, apresentado a seguir, cria um usuário do IAM denominado Bob no caminho especificado.

aws iam create-user \
    --user-name Bob \
    --path /division_abc/subdivision_xyz/

Saída:

{
    "User": {
        "Path": "/division_abc/subdivision_xyz/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/division_abc/subdivision_xyz/Bob",
        "CreateDate": "2023-05-24T18:20:17+00:00"
    }
}

Para obter mais informações, consulte Identificadores do IAM no Guia do usuário do AWS IAM.

Exemplo 3: como criar um usuário do IAM com etiquetas

O comando create-user, apresentado a seguir, cria um usuário do IAM denominado Bob com etiquetas. Este exemplo usa o sinalizador de parâmetro --tags com as seguintes etiquetas formatadas em JSON: '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'. Como alternativa, o sinalizador --tags pode ser usado com etiquetas no formato abreviado: 'Key=Department,Value=Accounting Key=Location,Value=Seattle'.

aws iam create-user \
    --user-name Bob \
    --tags '{"Key": "Department", "Value": "Accounting"}' '{"Key": "Location", "Value": "Seattle"}'

Saída:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-25T17:14:21+00:00",
        "Tags": [
            {
                "Key": "Department",
                "Value": "Accounting"
            },
            {
                "Key": "Location",
                "Value": "Seattle"
            }
        ]
    }
}

Para obter mais informações, consulte Marcar usuários do IAM no Guia do usuário do AWS IAM.

Exemplo 4: como criar um usuário do IAM com um limite de permissões definido

O comando create-user, apresentado a seguir, cria um usuário do IAM denominado Bob com o limite de permissões AmazonS3FullAccess.

aws iam create-user \
    --user-name Bob \
    --permissions-boundary arn:aws:iam::aws:policy/AmazonS3FullAccess

Saída:

{
    "User": {
        "Path": "/",
        "UserName": "Bob",
        "UserId": "AIDAIOSFODNN7EXAMPLE",
        "Arn": "arn:aws:iam::12345678012:user/Bob",
        "CreateDate": "2023-05-24T17:50:53+00:00",
        "PermissionsBoundary": {
        "PermissionsBoundaryType": "Policy",
        "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
        }
    }
}

Para obter mais informações, consulte Limites de permissões para entidades do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateUser na Referência de comandos da AWS CLI.

create-virtual-mfa-device

O código de exemplo a seguir mostra como usar create-virtual-mfa-device.

AWS CLI

Criar um dispositivo de MFA virtual

Este exemplo cria um dispositivo de MFA virtual denominado BobsMFADevice. Ele cria um arquivo contendo informações de bootstrap denominadas QRCode.png e as coloca no diretório C:/. O método de bootstrap usado neste exemplo é QRCodePNG.

aws iam create-virtual-mfa-device \
    --virtual-mfa-device-name BobsMFADevice \
    --outfile C:/QRCode.png \
    --bootstrap-method QRCodePNG

Saída:

{
    "VirtualMFADevice": {
        "SerialNumber": "arn:aws:iam::210987654321:mfa/BobsMFADevice"
}

Para obter mais informações, consulte Uso de autenticação multifator (MFA) na AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte CreateVirtualMfaDevice na Referência de comandos da AWS CLI.

deactivate-mfa-device

O código de exemplo a seguir mostra como usar deactivate-mfa-device.

AWS CLI

Desativar um dispositivo de MFA

Esse comando desativa o dispositivo de MFA virtual com o ARN arn:aws:iam::210987654321:mfa/BobsMFADevice associado ao usuário Bob.

aws iam deactivate-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice

Este comando não produz saída.

Para obter mais informações, consulte Uso de autenticação multifator (MFA) na AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeactivateMfaDevice na Referência de comandos da AWS CLI.

decode-authorization-message

O código de exemplo a seguir mostra como usar decode-authorization-message.

AWS CLI

Decodificar uma mensagem de falha de autorização

O exemplo decode-authorization-message a seguir decodifica a mensagem retornada pelo console do EC2 ao tentar iniciar uma instância sem as permissões necessárias.

aws sts decode-authorization-message \
    --encoded-message lxzA8VEjEvu-s0TTt3PgYCXik9YakOqsrFJGRZR98xNcyWAxwRq14xIvd-npzbgTevuufCTbjeBAaDARg9cbTK1rJbg3awM33o-Vy3ebPErE2-mWR9hVYdvX-0zKgVOWF9pWjZaJSMqxB-aLXo-I_8TTvBq88x8IFPbMArNdpu0IjxDjzf22PF3SOE3XvIQ-_PEO0aUqHCCcsSrFtvxm6yQD1nbm6VTIVrfa0Bzy8lsoMo7SjIaJ2r5vph6SY5vCCwg6o2JKe3hIHTa8zRrDbZSFMkcXOT6EOPkQXmaBsAC6ciG7Pz1JnEOvuj5NSTlSMljrAXczWuRKAs5GsMYiU8KZXZhokVzdQCUZkS5aVHumZbadu0io53jpgZqhMqvS4fyfK4auK0yKRMtS6JCXPlhkolEs7ZMFA0RVkutqhQqpSDPB5SX5l00lYipWyFK0_AyAx60vumPuVh8P0AzXwdFsT0l4D0m42NFIKxbWXsoJdqaOqVFyFEd0-Xx9AYAAIr6bhcis7C__bZh4dlAAWooHFGKgfoJcWGwgdzgbu9hWyVvKTpeot5hsb8qANYjJRCPXTKpi6PZfdijIkwb6gDMEsJ9qMtr62qP_989mwmtNgnVvBa_ir6oxJxVe_kL9SH1j5nsGDxQFajvPQhxWOHvEQIg_H0bnKWk

A saída é formatada como uma string de uma única linha de texto JSON que pode ser analisada com qualquer processador de texto JSON.

{
    "DecodedMessage": "{\"allowed\":false,\"explicitDeny\":false,\"matchedStatements\":{\"items\":[]},\"failures\":{\"items\":[]},\"context\":{\"principal\":{\"id\":\"AIDAV3ZUEFP6J7GY7O6LO\",\"name\":\"chain-user\",\"arn\":\"arn:aws:iam::403299380220:user/chain-user\"},\"action\":\"ec2:RunInstances\",\"resource\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\",\"conditions\":{\"items\":[{\"key\":\"ec2:InstanceMarketType\",\"values\":{\"items\":[{\"value\":\"on-demand\"}]}},{\"key\":\"aws:Resource\",\"values\":{\"items\":[{\"value\":\"instance/*\"}]}},{\"key\":\"aws:Account\",\"values\":{\"items\":[{\"value\":\"403299380220\"}]}},{\"key\":\"ec2:AvailabilityZone\",\"values\":{\"items\":[{\"value\":\"us-east-2b\"}]}},{\"key\":\"ec2:ebsOptimized\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:IsLaunchTemplateResource\",\"values\":{\"items\":[{\"value\":\"false\"}]}},{\"key\":\"ec2:InstanceType\",\"values\":{\"items\":[{\"value\":\"t2.micro\"}]}},{\"key\":\"ec2:RootDeviceType\",\"values\":{\"items\":[{\"value\":\"ebs\"}]}},{\"key\":\"aws:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:Service\",\"values\":{\"items\":[{\"value\":\"ec2\"}]}},{\"key\":\"ec2:InstanceID\",\"values\":{\"items\":[{\"value\":\"*\"}]}},{\"key\":\"aws:Type\",\"values\":{\"items\":[{\"value\":\"instance\"}]}},{\"key\":\"ec2:Tenancy\",\"values\":{\"items\":[{\"value\":\"default\"}]}},{\"key\":\"ec2:Region\",\"values\":{\"items\":[{\"value\":\"us-east-2\"}]}},{\"key\":\"aws:ARN\",\"values\":{\"items\":[{\"value\":\"arn:aws:ec2:us-east-2:403299380220:instance/*\"}]}}]}}}"
}

Para obter mais informações, consulte Como decodificar uma mensagem de falha de autorização após receber um erro de "UnauthorizedOperation" durante a execução de uma instância do EC2? em AWS re:Post.

• Para obter detalhes da API, consulte DecodeAuthorizationMessage na Referência de comandos da AWS CLI.

delete-access-key

O código de exemplo a seguir mostra como usar delete-access-key.

AWS CLI

Como excluir uma chave de acesso para um usuário do IAM

O comando delete-access-key, apresentado a seguir, exclui a chave de acesso especificada (ID da chave de acesso e chave de acesso secreta) para o usuário do IAM denominado Bob.

aws iam delete-access-key \
    --access-key-id AKIDPMS9RO4H3FEXAMPLE \
    --user-name Bob

Este comando não produz saída.

Para listar as chaves de acesso definidas para um usuário do IAM, use o comando list-access-keys.

Para obter mais informações, consulte Gerenciamento de chaves de acesso de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteAccessKey na Referência de comandos da AWS CLI.

delete-account-alias

O código de exemplo a seguir mostra como usar delete-account-alias.

AWS CLI

Como excluir um alias da conta

O comando delete-account-alias, apresentado a seguir, remove o alias mycompany para a conta atual.

aws iam delete-account-alias \
    --account-alias mycompany

Este comando não produz saída.

Para obter mais informações, consulte O ID da sua conta da AWS e seu alias no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteAccountAlias na Referência de comandos da AWS CLI.

delete-account-password-policy

O código de exemplo a seguir mostra como usar delete-account-password-policy.

AWS CLI

Excluir a política de senha da conta atual

O comando delete-account-password-policy a seguir remove a política de senha da conta atual.

aws iam delete-account-password-policy

Este comando não produz saída.

Para obter mais informações, consulte Definição de uma política de senhas de contas para usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteAccountPasswordPolicy na Referência de comandos da AWS CLI.

delete-group-policy

O código de exemplo a seguir mostra como usar delete-group-policy.

AWS CLI

Como excluir uma política de um grupo do IAM

O comando delete-group-policy, apresentado a seguir, exclui a política denominada ExamplePolicy do grupo denominado Admins.

aws iam delete-group-policy \
    --group-name Admins \
    --policy-name ExamplePolicy

Este comando não produz saída.

Para visualizar as políticas anexadas a um grupo, use o comando list-group-policies.

Para obter mais informações, consulte Gerenciamento de políticas do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteGroupPolicy na Referência de comandos da AWS CLI.

delete-group

O código de exemplo a seguir mostra como usar delete-group.

AWS CLI

Como excluir um grupo do IAM

O comando delete-group, apresentado a seguir, exclui um grupo do IAM denominado MyTestGroup.

aws iam delete-group \
    --group-name MyTestGroup

Este comando não produz saída.

Para obter mais informações, consulte Exclusão de um grupo de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteGroup na Referência de comandos da AWS CLI.

delete-instance-profile

O código de exemplo a seguir mostra como usar delete-instance-profile.

AWS CLI

Como excluir um perfil de instância

O comando delete-instance-profile, apresentado a seguir, exclui o perfil de instância denominado ExampleInstanceProfile.

aws iam delete-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Este comando não produz saída.

Para obter mais informações, consulte Usar perfis de instância no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteInstanceProfile na Referência de comandos da AWS CLI.

delete-login-profile

O código de exemplo a seguir mostra como usar delete-login-profile.

AWS CLI

Excluir uma senha de um usuário do IAM

O comando delete-login-profile a seguir exclui a senha do usuário do IAM chamado Bob.

aws iam delete-login-profile \
    --user-name Bob

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de senhas de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteLoginProfile na Referência de comandos da AWS CLI.

delete-open-id-connect-provider

O código de exemplo a seguir mostra como usar delete-open-id-connect-provider.

AWS CLI

Excluir um provedor de identidade OpenID Connect do IAM

Este exemplo exclui o provedor OIDC do IAM que se conecta ao provedor example.oidcprovider.com.

aws iam delete-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Este comando não produz saída.

Para obter mais informações, consulte Criar provedores de identidade OpenID Connect (OIDC) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteOpenIdConnectProvider na Referência de comandos da AWS CLI.

delete-policy-version

O código de exemplo a seguir mostra como usar delete-policy-version.

AWS CLI

Para excluir uma versão de uma política gerenciada

Este exemplo exclui a versão identificada como v2 da política cujo ARN é arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Este comando não produz saída.

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeletePolicyVersion na Referência de comandos da AWS CLI.

delete-policy

O código de exemplo a seguir mostra como usar delete-policy.

AWS CLI

Como excluir uma política do IAM

Este exemplo exclui a política cujo ARN é arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam delete-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Este comando não produz saída.

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeletePolicy na Referência de comandos da AWS CLI.

delete-role-permissions-boundary

O código de exemplo a seguir mostra como usar delete-role-permissions-boundary.

AWS CLI

Excluir um limite de permissões de um perfil do IAM

O exemplo de delete-role-permissions-boundary a seguir exclui o limite de permissões do perfil do IAM especificado. Para aplicar um limite de permissões a um perfil, use o comando put-role-permissions-boundary.

aws iam delete-role-permissions-boundary \
    --role-name lambda-application-role

Este comando não produz saída.

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteRolePermissionsBoundary na Referência de comandos da AWS CLI.

delete-role-policy

O código de exemplo a seguir mostra como usar delete-role-policy.

AWS CLI

Como remover uma política de um perfil do IAM

O comando delete-role-policy, apresentado a seguir, remove a política denominada ExamplePolicy do perfil denominado Test-Role.

aws iam delete-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Este comando não produz saída.

Para obter mais informações, consulte Modificar um perfil no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteRolePolicy na Referência de comandos da AWS CLI.

delete-role

O código de exemplo a seguir mostra como usar delete-role.

AWS CLI

Como excluir um perfil do IAM

O comando delete-role, apresentado a seguir, remove o perfil denominado Test-Role.

aws iam delete-role \
    --role-name Test-Role

Este comando não produz saída.

Antes de poder excluir um perfil, você deve removê-lo de qualquer perfil de instância (remove-role-from-instance-profile), desanexar quaisquer políticas gerenciadas (detach-role-policy) e excluir quaisquer políticas em linha anexadas a ele (delete-role-policy).

Para obter mais informações, consulte Criação de perfis do IAM e Usar perfis de instância no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteRole na Referência de comandos da AWS CLI.

delete-saml-provider

O código de exemplo a seguir mostra como usar delete-saml-provider.

AWS CLI

Como excluir um provedor SAML

Este exemplo exclui o provedor SAML 2.0 do IAM cujo ARN é arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider.

aws iam delete-saml-provider \
--saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFSProvider

Este comando não produz saída.

Para obter mais informações, consulte Criação de provedores de identidade SAML do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteSAMLProvider na Referência de comandos da AWS CLI.

delete-server-certificate

O código de exemplo a seguir mostra como usar delete-server-certificate.

AWS CLI

Como excluir um certificado de servidor da sua conta da AWS

O comando delete-server-certificate, apresentado a seguir, remove o certificado de servidor especificado da sua conta da AWS.

aws iam delete-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Este comando não produz saída.

Para listar os certificados de servidor disponíveis em sua conta da AWS, use o comando list-server-certificates.

Para obter mais informações, consulte Gerenciar certificados de servidor no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteServerCertificate na Referência de comandos da AWS CLI.

delete-service-linked-role

O código de exemplo a seguir mostra como usar delete-service-linked-role.

AWS CLI

Como excluir um perfil vinculado ao serviço

O exemplo para delete-service-linked-role, apresentado a seguir, exclui o perfil vinculado ao serviço especificado que não é mais necessário. A exclusão acontece de forma assíncrona. É possível verificar o status da exclusão e confirmar quando ela for concluída ao usar o comando get-service-linked-role-deletion-status.

aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForLexBots

Saída:

{
    "DeletionTaskId": "task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE"
}

Para obter mais informações, consulte Usar perfis vinculados ao serviço no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteServiceLinkedRole na Referência de comandos da AWS CLI.

delete-service-specific-credential

O código de exemplo a seguir mostra como usar delete-service-specific-credential.

AWS CLI

Exemplo 1: excluir uma credencial específica do serviço para o usuário solicitante

O exemplo delete-service-specific-credential a seguir exclui a credencial específica de um dado serviço para o usuário que faz a solicitação. O service-specific-credential-id é fornecido quando você cria a credencial e você pode recuperá-la usando o list-service-specific-credentials comando.

aws iam delete-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Este comando não produz saída.

Exemplo 2: exclui as credenciais específicas de um dado serviço para um usuário do IAM

O exemplo delete-service-specific-credential a seguir exclui a credencial específica de um dado serviço para o usuário especificado. O service-specific-credential-id é fornecido quando você cria a credencial e você pode recuperá-la usando o list-service-specific-credentials comando.

aws iam delete-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Este comando não produz saída.

Para obter mais informações, consulte Criar credenciais do Git para conexões HTTPS com o CodeCommit no Guia do usuário do AWS CodeCommit.

• Para ver detalhes da API, consulte DeleteServiceSpecificCredential na Referência de comandos da AWS CLI.

delete-signing-certificate

O código de exemplo a seguir mostra como usar delete-signing-certificate.

AWS CLI

Excluir um certificado de assinatura de um usuário do IAM

O comando delete-signing-certificate a seguir exclui o certificado de assinatura especificado do usuário do IAM chamado Bob.

aws iam delete-signing-certificate \
    --user-name Bob \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE

Este comando não produz saída.

Para obter o ID de um certificado de assinatura, use o comando list-signing-certificates.

Para obter mais informações, consulte Manage signing certificates no Guia do usuário do Amazon EC2.

• Para obter detalhes da API, consulte DeleteSigningCertificate na Referência de comandos da AWS CLI.

delete-ssh-public-key

O código de exemplo a seguir mostra como usar delete-ssh-public-key.

AWS CLI

Excluir uma chave pública SSH anexada a um usuário do IAM

O comando delete-ssh-public-key a seguir exclui a chave pública SSH específica anexada ao usuário do IAM sofia.

aws iam delete-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE

Este comando não produz saída.

Para obter mais informações, consulte Usar chaves SSH com o CodeCommit no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte DeleteSshPublicKey na Referência de comandos da AWS CLI.

delete-user-permissions-boundary

O código de exemplo a seguir mostra como usar delete-user-permissions-boundary.

AWS CLI

Excluir um limite de permissões de um usuário do IAM

O exemplo delete-user-permissions-boundary a seguir exclui o limite de permissões anexado ao usuário do IAM chamado intern. Para aplicar um limite de permissões a um usuário, use o comando put-user-permissions-boundary.

aws iam delete-user-permissions-boundary \
    --user-name intern

Este comando não produz saída.

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteUserPermissionsBoundary na Referência de comandos da AWS CLI.

delete-user-policy

O código de exemplo a seguir mostra como usar delete-user-policy.

AWS CLI

Como remover uma política de um usuário do IAM

O comando delete-user-policy, apresentado a seguir, remove a política especificada do usuário do IAM denominado Bob.

aws iam delete-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Este comando não produz saída.

Para obter uma lista de políticas para um usuário do IAM, use o comando list-user-policies.

Para obter mais informações, consulte Criar um usuário do IAM na sua conta da AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteUserPolicy na Referência de comandos da AWS CLI.

delete-user

O código de exemplo a seguir mostra como usar delete-user.

AWS CLI

Como excluir um usuário do IAM

O comando delete-user, apresentado a seguir, remove o usuário do IAM denominado Bob da conta atual.

aws iam delete-user \
    --user-name Bob

Este comando não produz saída.

Para obter mais informações, consulte Exclusão de um usuário do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteUser na Referência de comandos da AWS CLI.

delete-virtual-mfa-device

O código de exemplo a seguir mostra como usar delete-virtual-mfa-device.

AWS CLI

Remover um dispositivo de MFA virtual

O comando delete-virtual-mfa-device a seguir remove o dispositivo de MFA especificado da conta atual.

aws iam delete-virtual-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/MFATest

Este comando não produz saída.

Para obter mais informações, consulte Desativar dispositivos de MFA no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DeleteVirtualMfaDevice na Referência de comandos da AWS CLI.

detach-group-policy

O código de exemplo a seguir mostra como usar detach-group-policy.

AWS CLI

Para desanexar uma política de um grupo

Este exemplo remove a política gerenciada com o ARN arn:aws:iam::123456789012:policy/TesterAccessPolicy do grupo denominado Testers.

aws iam detach-group-policy \
    --group-name Testers \
    --policy-arn arn:aws:iam::123456789012:policy/TesterAccessPolicy

Este comando não produz saída.

Para obter mais informações, consulte Gerenciar grupos de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DetachGroupPolicy na Referência de comandos da AWS CLI.

detach-role-policy

O código de exemplo a seguir mostra como usar detach-role-policy.

AWS CLI

Como desanexar uma política de um perfil

Este exemplo remove a política gerenciada com o ARN arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy do perfil denominado FedTesterRole.

aws iam detach-role-policy \
    --role-name FedTesterRole \
    --policy-arn arn:aws:iam::123456789012:policy/FederatedTesterAccessPolicy

Este comando não produz saída.

Para obter mais informações, consulte Modificar um perfil no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte.DetachRolePolicy na Referência de comandos da AWS CLI.

detach-user-policy

O código de exemplo a seguir mostra como usar detach-user-policy.

AWS CLI

Como desanexar uma política de um usuário

Este exemplo remove a política gerenciada com o ARN arn:aws:iam::123456789012:policy/TesterPolicy do usuário Bob.

aws iam detach-user-policy \
    --user-name Bob \
    --policy-arn arn:aws:iam::123456789012:policy/TesterPolicy

Este comando não produz saída.

Para obter mais informações, consulte Alteração de permissões de um usuário do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte DetachUserPolicy na Referência de comandos da AWS CLI.

disable-organizations-root-credentials-management

O código de exemplo a seguir mostra como usar disable-organizations-root-credentials-management.

AWS CLI

Como desabilitar o recurso RootCredentialsManagement em sua organização

O comando disable-organizations-root-credentials-management a seguir desabilita o gerenciamento de credenciais de usuário-raiz privilegiado em todas as contas-membro da sua organização.

aws iam disable-organizations-root-credentials-management

Saída:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Consulte mais informações em Centralização de acesso raiz para contas-membro no Guia do usuário do AWS IAM.

• Consulte detalhes da API em DisableOrganizationsRootCredentialsManagement na Referência de comandos da AWS CLI.

disable-organizations-root-sessions

O código de exemplo a seguir mostra como usar disable-organizations-root-sessions.

AWS CLI

Como desabilitar o recurso RootSessions em sua organização

O comando de disable-organizations-root-sessions a seguir desabilita as sessões do usuário-raiz para tarefas privilegiadas em contas-membro em sua organização.

aws iam disable-organizations-root-sessions

Saída:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Consulte mais informações em Centralização de acesso raiz para contas-membro no Guia do usuário do AWS IAM.

• Consulte detalhes da API em DisableOrganizationsRootSessions na Referência de comandos da AWS CLI.

enable-mfa-device

O código de exemplo a seguir mostra como usar enable-mfa-device.

AWS CLI

Habilitar um dispositivo de MFA

Depois de usar o comando create-virtual-mfa-device para criar um dispositivo de MFA virtual, você pode atribuir o dispositivo de MFA a um usuário. O exemplo de enable-mfa-device a seguir atribui o dispositivo de MFA com o número de série arn:aws:iam::210987654321:mfa/BobsMFADevice ao usuário Bob. O comando também sincroniza o dispositivo com a AWS incluindo os dois primeiros códigos em sequência do dispositivo de MFA virtual.

aws iam enable-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 789012

Este comando não produz saída.

Para obter mais informações, consulte Habilitar um dispositivo de autenticação multifator (MFA) virtual no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte EnableMfaDevice na Referência de comandos da AWS CLI.

enable-organizations-root-credentials-management

O código de exemplo a seguir mostra como usar enable-organizations-root-credentials-management.

AWS CLI

Como habilitar o recurso RootCredentialsManagement em sua organização

O comando enable-organizations-root-credentials-management a seguir habilita o gerenciamento de credenciais de usuário-raiz privilegiado em todas as contas-membro da sua organização.

aws iam enable-organizations-root-credentials-management

Saída:

{
    "EnabledFeatures": [
        "RootCredentialsManagement"
    ]
    "OrganizationId": "o-aa111bb222"
}

Consulte mais informações em Centralização de acesso raiz para contas-membro no Guia do usuário do AWS IAM.

• Consulte detalhes da API em EnableOrganizationsRootCredentialsManagement na Referência de comandos da AWS CLI.

enable-organizations-root-sessions

O código de exemplo a seguir mostra como usar enable-organizations-root-sessions.

AWS CLI

Como habilitar o recurso RootSessions em sua organização

O comando enable-organizations-root-sessions a seguir permite que a conta de gerenciamento ou o administrador delegado execute tarefas privilegiadas em contas-membro em sua organização.

aws iam enable-organizations-root-sessions

Saída:

{
    "EnabledFeatures": [
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Consulte mais informações em Centralização de acesso raiz para contas-membro no Guia do usuário do AWS IAM.

• Consulte detalhes da API em EnableOrganizationsRootSessions na Referência de comandos da AWS CLI.

generate-credential-report

O código de exemplo a seguir mostra como usar generate-credential-report.

AWS CLI

Como gerar um relatório de credenciais

O exemplo apresentado a seguir tenta gerar um relatório de credenciais para a conta da AWS.

aws iam generate-credential-report

Saída:

{
    "State":  "STARTED",
    "Description": "No report exists. Starting a new report generation task"
}

Para obter mais informações, consulte Obter relatórios de credenciais da sua conta da AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GenerateCredentialReport na Referência de comandos da AWS CLI.

generate-organizations-access-report

O código de exemplo a seguir mostra como usar generate-organizations-access-report.

AWS CLI

Exemplo 1: gerar um relatório de acesso para uma raiz em uma organização

O exemplo generate-organizations-access-report a seguir inicia um serviço em segundo plano para criar um relatório de acesso para a raiz especificada em uma organização. Você pode exibir o relatório após a criação executando o comando get-organizations-access-report.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb

Saída:

{
    "JobId": "a8b6c06f-aaa4-8xmp-28bc-81da71836359"
}

Exemplo 2: gerar um relatório de acesso para uma conta em uma organização

O exemplo generate-organizations-access-report a seguir inicia um serviço em segundo plano para criar um relatório de acesso para a ID da conta 123456789012 na organização o-4fxmplt198. Você pode exibir o relatório após a criação executando o comando get-organizations-access-report.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/123456789012

Saída:

{
    "JobId": "14b6c071-75f6-2xmp-fb77-faf6fb4201d2"
}

Exemplo 3: gerar um relatório de acesso para uma conta em uma unidade organizacional em uma organização

O exemplo generate-organizations-access-report a seguir inicia um trabalho em segundo plano para criar um relatório de acesso para a ID da conta 234567890123 na unidade organizacional ou-c3xb-lmu7j2yg da organização o-4fxmplt198. Você pode exibir o relatório após a criação executando o comando get-organizations-access-report.

aws iam generate-organizations-access-report \
    --entity-path o-4fxmplt198/r-c3xb/ou-c3xb-lmu7j2yg/234567890123

Saída:

{
    "JobId": "2eb6c2e6-0xmp-ec04-1425-c937916a64af"
}

Para obter detalhes sobre raízes e unidades organizacionais em sua organização, use os comandos organizations list-roots e organizations list-organizational-units-for-parent.

Para obter mais informações, consulte Refinar permissões na AWS usando as informações do último acesso no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte GenerateOrganizationsAccessReport na Referência de Comandos da AWS CLI.

generate-service-last-accessed-details

O código de exemplo a seguir mostra como usar generate-service-last-accessed-details.

AWS CLI

Exemplo 1: para gerar um relatório de acesso ao serviço de uma política personalizada

O exemplo de generate-service-last-accessed-details a seguir inicia um trabalho em segundo plano para gerar um relatório que lista os serviços acessados pelos usuários do IAM e outras entidades com uma política personalizada denominada intern-boundary. Você pode exibir o relatório após a criação executando o comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::123456789012:policy/intern-boundary

Saída:

{
    "JobId": "2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc"
}

Exemplo 2: para gerar um relatório de acesso ao serviço da política gerenciada AdministratorAccess da AWS

O exemplo de generate-service-last-accessed-details a seguir inicia um trabalho em segundo plano para gerar um relatório que lista os serviços acessados pelos usuários do IAM e outras entidades com a política gerenciada AdministratorAccess da AWS. Você pode exibir o relatório após a criação executando o comando get-service-last-accessed-details.

aws iam generate-service-last-accessed-details \
    --arn arn:aws:iam::aws:policy/AdministratorAccess

Saída:

{
    "JobId": "78b6c2ba-d09e-6xmp-7039-ecde30b26916"
}

Para obter mais informações, consulte Refinar permissões na AWS usando as informações do último acesso no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GenerateServiceLastAccessedDetails na Referência de comandos da AWS CLI.

get-access-key-last-used

O código de exemplo a seguir mostra como usar get-access-key-last-used.

AWS CLI

Para recuperar informações sobre quando a chave de acesso especificada foi usada pela última vez

O exemplo apresentado a seguir recupera informações sobre quando a chave de acesso ABCDEXAMPLE foi usada pela última vez.

aws iam get-access-key-last-used \
    --access-key-id ABCDEXAMPLE

Saída:

{
    "UserName":  "Bob",
    "AccessKeyLastUsed": {
        "Region": "us-east-1",
        "ServiceName": "iam",
        "LastUsedDate": "2015-06-16T22:45:00Z"
    }
}

Para obter mais informações, consulte Gerenciamento de chaves de acesso de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetAccessKeyLastUsed na Referência de comandos da AWS CLI.

get-account-authorization-details

O código de exemplo a seguir mostra como usar get-account-authorization-details.

AWS CLI

Para listar usuários, grupos, perfis e políticas do IAM de contas da AWS

O comando get-account-authorization-details, apresentado a seguir, retorna informações sobre todos os usuários, grupos, perfis e políticas do IAM na conta da AWS.

aws iam get-account-authorization-details

Saída:

{
    "RoleDetailList": [
        {
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "RoleId": "AROA1234567890EXAMPLE",
            "CreateDate": "2014-07-30T17:09:20Z",
            "InstanceProfileList": [
                {
                    "InstanceProfileId": "AIPA1234567890EXAMPLE",
                    "Roles": [
                        {
                            "AssumeRolePolicyDocument": {
                                "Version": "2012-10-17",
                                "Statement": [
                                    {
                                        "Sid": "",
                                        "Effect": "Allow",
                                        "Principal": {
                                            "Service": "ec2.amazonaws.com"
                                        },
                                        "Action": "sts:AssumeRole"
                                    }
                                ]
                            },
                            "RoleId": "AROA1234567890EXAMPLE",
                            "CreateDate": "2014-07-30T17:09:20Z",
                            "RoleName": "EC2role",
                            "Path": "/",
                            "Arn": "arn:aws:iam::123456789012:role/EC2role"
                        }
                    ],
                    "CreateDate": "2014-07-30T17:09:20Z",
                    "InstanceProfileName": "EC2role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:instance-profile/EC2role"
                }
            ],
            "RoleName": "EC2role",
            "Path": "/",
            "AttachedManagedPolicies": [
                {
                    "PolicyName": "AmazonS3FullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonS3FullAccess"
                },
                {
                    "PolicyName": "AmazonDynamoDBFullAccess",
                    "PolicyArn": "arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess"
                }
            ],
            "RoleLastUsed": {
                "Region": "us-west-2",
                "LastUsedDate": "2019-11-13T17:30:00Z"
            },
            "RolePolicyList": [],
            "Arn": "arn:aws:iam::123456789012:role/EC2role"
        }
    ],
    "GroupDetailList": [
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            },
            "GroupName": "Admins",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "CreateDate": "2013-10-14T18:32:24Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": {
                "PolicyName": "PowerUserAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess"
            },
            "GroupName": "Dev",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Dev",
            "CreateDate": "2013-10-14T18:33:55Z",
            "GroupPolicyList": []
        },
        {
            "GroupId": "AIDA1234567890EXAMPLE",
            "AttachedManagedPolicies": [],
            "GroupName": "Finance",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:group/Finance",
            "CreateDate": "2013-10-14T18:57:48Z",
            "GroupPolicyList": [
                {
                    "PolicyName": "policygen-201310141157",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "aws-portal:*",
                                "Sid": "Stmt1381777017000",
                                "Resource": "*",
                                "Effect": "Allow"
                            }
                        ]
                    }
                }
            ]
        }
    ],
    "UserDetailList": [
        {
            "UserName": "Alice",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:24Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Alice"
        },
        {
            "UserName": "Bob",
            "GroupList": [
                "Admins"
            ],
            "CreateDate": "2013-10-14T18:32:25Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [
                {
                    "PolicyName": "DenyBillingAndIAMPolicy",
                    "PolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Deny",
                            "Action": [
                                "aws-portal:*",
                                "iam:*"
                            ],
                            "Resource": "*"
                        }
                    }
                }
            ],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        },
        {
            "UserName": "Charlie",
            "GroupList": [
                "Dev"
            ],
            "CreateDate": "2013-10-14T18:33:56Z",
            "UserId": "AIDA1234567890EXAMPLE",
            "UserPolicyList": [],
            "Path": "/",
            "AttachedManagedPolicies": [],
            "Arn": "arn:aws:iam::123456789012:user/Charlie"
        }
    ],
    "Policies": [
        {
            "PolicyName": "create-update-delete-set-managed-policies",
            "CreateDate": "2015-02-06T19:58:34Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-02-06T19:58:34Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": {
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreatePolicy",
                                "iam:CreatePolicyVersion",
                                "iam:DeletePolicy",
                                "iam:DeletePolicyVersion",
                                "iam:GetPolicy",
                                "iam:GetPolicyVersion",
                                "iam:ListPolicies",
                                "iam:ListPolicyVersions",
                                "iam:SetDefaultPolicyVersion"
                            ],
                            "Resource": "*"
                        }
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/create-update-delete-set-managed-policies",
            "UpdateDate": "2015-02-06T19:58:34Z"
        },
        {
            "PolicyName": "S3-read-only-specific-bucket",
            "CreateDate": "2015-01-21T21:39:41Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2015-01-21T21:39:41Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Action": [
                                    "s3:Get*",
                                    "s3:List*"
                                ],
                                "Resource": [
                                    "arn:aws:s3:::amzn-s3-demo-bucket",
                                    "arn:aws:s3:::amzn-s3-demo-bucket/*"
                                ]
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/S3-read-only-specific-bucket",
            "UpdateDate": "2015-01-21T23:39:41Z"
        },
        {
            "PolicyName": "AmazonEC2FullAccess",
            "CreateDate": "2015-02-06T18:40:15Z",
            "AttachmentCount": 1,
            "IsAttachable": true,
            "PolicyId": "ANPA1234567890EXAMPLE",
            "DefaultVersionId": "v1",
            "PolicyVersionList": [
                {
                    "CreateDate": "2014-10-30T20:59:46Z",
                    "VersionId": "v1",
                    "Document": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": "ec2:*",
                                "Effect": "Allow",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "elasticloadbalancing:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "cloudwatch:*",
                                "Resource": "*"
                            },
                            {
                                "Effect": "Allow",
                                "Action": "autoscaling:*",
                                "Resource": "*"
                            }
                        ]
                    },
                    "IsDefaultVersion": true
                }
            ],
            "Path": "/",
            "Arn": "arn:aws:iam::aws:policy/AmazonEC2FullAccess",
            "UpdateDate": "2015-02-06T18:40:15Z"
        }
    ],
    "Marker": "EXAMPLEkakv9BCuUNFDtxWSyfzetYwEx2ADc8dnzfvERF5S6YMvXKx41t6gCl/eeaCX3Jo94/bKqezEAg8TEVS99EKFLxm3jtbpl25FDWEXAMPLE",
    "IsTruncated": true
}

Para obter mais informações, consulte Diretrizes de auditoria de segurança da AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetAccountAuthorizationDetails na Referência de comandos da AWS CLI.

get-account-password-policy

O código de exemplo a seguir mostra como usar get-account-password-policy.

AWS CLI

Como visualizar a política de senha da conta atual

O comando get-account-password-policy, apresentado a seguir, exibe detalhes sobre a política de senha para a conta atual.

aws iam get-account-password-policy

Saída:

{
    "PasswordPolicy": {
        "AllowUsersToChangePassword": false,
        "RequireLowercaseCharacters": false,
        "RequireUppercaseCharacters": false,
        "MinimumPasswordLength": 8,
        "RequireNumbers": true,
        "RequireSymbols": true
    }
}

Se nenhuma política de senha estiver definida para a conta, o comando retornará um erro NoSuchEntity.

Para obter mais informações, consulte Definição de uma política de senhas de contas para usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetAccountPasswordPolicy na Referência de comandos da AWS CLI.

get-account-summary

O código de exemplo a seguir mostra como usar get-account-summary.

AWS CLI

Como obter informações sobre o uso da entidade do IAM e das cotas do IAM na conta atual

O comando get-account-summary, apresentado a seguir, retorna informações sobre o uso atual da entidade do IAM e das cotas atuais da entidade do IAM na conta.

aws iam get-account-summary

Saída:

{
    "SummaryMap": {
        "UsersQuota": 5000,
        "GroupsQuota": 100,
        "InstanceProfiles": 6,
        "SigningCertificatesPerUserQuota": 2,
        "AccountAccessKeysPresent": 0,
        "RolesQuota": 250,
        "RolePolicySizeQuota": 10240,
        "AccountSigningCertificatesPresent": 0,
        "Users": 27,
        "ServerCertificatesQuota": 20,
        "ServerCertificates": 0,
        "AssumeRolePolicySizeQuota": 2048,
        "Groups": 7,
        "MFADevicesInUse": 1,
        "Roles": 3,
        "AccountMFAEnabled": 1,
        "MFADevices": 3,
        "GroupsPerUserQuota": 10,
        "GroupPolicySizeQuota": 5120,
        "InstanceProfilesQuota": 100,
        "AccessKeysPerUserQuota": 2,
        "Providers": 0,
        "UserPolicySizeQuota": 2048
    }
}

Para obter mais informações sobre as limitações de entidade, consulte IAM e cotas do AWS STS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetAccountSummary na Referência de comandos da AWS CLI.

get-context-keys-for-custom-policy

O código de exemplo a seguir mostra como usar get-context-keys-for-custom-policy.

AWS CLI

Exemplo 1: para listar as chaves de contexto referenciadas por uma ou mais políticas JSON personalizadas fornecidas como um parâmetro na linha de comando

O comando get-context-keys-for-custom-policy a seguir analisa cada política fornecida e lista as chaves de contexto usadas por essas políticas. Use esse comando para identificar quais valores de chave de contexto você deve fornecer para usar com êxito os comandos do simulador de políticas simulate-custom-policy e simulate-custom-policy. Você também pode recuperar a lista de chaves de contexto utilizadas por todas as políticas associadas a um perfil ou usuário do IAM com o comando get-context-keys-for-custom-policy. Os valores de parâmetro que começam com file:// instruem o comando a ler o arquivo e usar o conteúdo como o valor do parâmetro em vez do próprio nome do arquivo.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"arn:aws:dynamodb:us-west-2:123456789012:table/${aws:username}","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2015-08-16T12:00:00Z"}}}}'

Saída:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Exemplo 2: para listar as chaves de contexto referenciadas por uma ou mais políticas JSON personalizadas fornecidas como entrada de arquivo

O comando get-context-keys-for-custom-policy a seguir é igual ao exemplo anterior, exceto que as políticas são fornecidas em um arquivo e não como um parâmetro. Como o comando espera uma lista JSON de strings e não uma lista de estruturas JSON, o arquivo deve ser estruturado da forma a seguir, embora você possa reduzi-lo em uma só.

[
    "Policy1",
    "Policy2"
]

Assim, por exemplo, um arquivo que contém a política do exemplo anterior deve ter a aparência a seguir. Você deve escapar cada aspas duplas incorporadas dentro da string de política precedendo-as com uma barra invertida ''.

[ "{\"Version\": \"2012-10-17\", \"Statement\": {\"Effect\": \"Allow\", \"Action\": \"dynamodb:*\", \"Resource\": \"arn:aws:dynamodb:us-west-2:128716708097:table/${aws:username}\", \"Condition\": {\"DateGreaterThan\": {\"aws:CurrentTime\": \"2015-08-16T12:00:00Z\"}}}}" ]

Esse arquivo pode então ser enviado ao comando a seguir.

aws iam get-context-keys-for-custom-policy \
    --policy-input-list file://policyfile.json

Saída:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Para obter mais informações, consulte Uso do simulador de políticas do IAM (AWS CLI e API da AWS) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetContextKeysForCustomPolicy na Referência de comandos da AWS CLI.

get-context-keys-for-principal-policy

O código de exemplo a seguir mostra como usar get-context-keys-for-principal-policy.

AWS CLI

Para listar as chaves de contexto referenciadas por todas as políticas associadas a uma entidade principal do IAM

O comando get-context-keys-for-principal-policy a seguir recupera todas as políticas anexadas à usuária saanvi e aos grupos dos quais ela é membro. Em seguida, ele analisa cada uma delas e lista as chaves de contexto usadas por essas políticas. Utilize esse comando para identificar quais valores de chave de contexto você deve fornecer para usar com êxito os comandos simulate-custom-policy e simulate-principal-policy. Você também pode recuperar a lista de chaves de contexto usadas por uma política JSON arbitrária com o comando get-context-keys-for-custom-policy.

aws iam get-context-keys-for-principal-policy \
   --policy-source-arn arn:aws:iam::123456789012:user/saanvi

Saída:

{
    "ContextKeyNames": [
        "aws:username",
        "aws:CurrentTime"
    ]
}

Para obter mais informações, consulte Uso do simulador de políticas do IAM (AWS CLI e API da AWS) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetContextKeysForPrincipalPolicy na Referência de comandos da AWS CLI.

get-credential-report

O código de exemplo a seguir mostra como usar get-credential-report.

AWS CLI

Como obter um relatório de credenciais

Este exemplo abre o relatório retornado e o envia ao pipeline como uma matriz de linhas de texto.

aws iam get-credential-report

Saída:

{
    "GeneratedTime":  "2015-06-17T19:11:50Z",
    "ReportFormat": "text/csv"
}

Para obter mais informações, consulte Obter relatórios de credenciais da sua conta da AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetCredentialReport na Referência de comandos da AWS CLI.

get-group-policy

O código de exemplo a seguir mostra como usar get-group-policy.

AWS CLI

Obter informações sobre uma política anexada a um grupo do IAM

O comando get-group-policy a seguir obtém informações sobre a política especificada anexada ao grupo denominado Test-Group.

aws iam get-group-policy \
    --group-name Test-Group \
    --policy-name S3-ReadOnly-Policy

Saída:

{
    "GroupName": "Test-Group",
    "PolicyDocument": {
        "Statement": [
            {
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    },
    "PolicyName": "S3-ReadOnly-Policy"
}

Para obter mais informações, consulte Gerenciamento de políticas do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetGroupPolicy na Referência de comandos da AWS CLI.

get-group

O código de exemplo a seguir mostra como usar get-group.

AWS CLI

Obter um grupo do IAM

Este exemplo retorna detalhes sobre o grupo do IAM Admins.

aws iam get-group \
    --group-name Admins

Saída:

{
    "Group": {
        "Path": "/",
        "CreateDate": "2015-06-16T19:41:48Z",
        "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
        "Arn": "arn:aws:iam::123456789012:group/Admins",
        "GroupName": "Admins"
    },
    "Users": []
}

Para obter mais informações, consulte Identidades do IAM (usuários, grupos de usuários e perfis) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetGroup na Referência de comandos da AWS CLI.

get-instance-profile

O código de exemplo a seguir mostra como usar get-instance-profile.

AWS CLI

Obter informações sobre um perfil de instância

O comando get-instance-profile a seguir obtém informações sobre o perfil de instância denominado ExampleInstanceProfile.

aws iam get-instance-profile \
    --instance-profile-name ExampleInstanceProfile

Saída:

{
    "InstanceProfile": {
        "InstanceProfileId": "AID2MAB8DPLSRHEXAMPLE",
        "Roles": [
            {
                "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                "RoleId": "AIDGPMS9RO4H3FEXAMPLE",
                "CreateDate": "2013-01-09T06:33:26Z",
                "RoleName": "Test-Role",
                "Path": "/",
                "Arn": "arn:aws:iam::336924118301:role/Test-Role"
            }
        ],
        "CreateDate": "2013-06-12T23:52:02Z",
        "InstanceProfileName": "ExampleInstanceProfile",
        "Path": "/",
        "Arn": "arn:aws:iam::336924118301:instance-profile/ExampleInstanceProfile"
    }
}

Para obter mais informações, consulte Usar perfis de instância no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetInstanceProfile na Referência de comandos da AWS CLI.

get-login-profile

O código de exemplo a seguir mostra como usar get-login-profile.

AWS CLI

Obter informações de senha de um usuário do IAM

O comando get-login-profile a seguir obtém informações sobre a senha do usuário do IAM chamado Bob.

aws iam get-login-profile \
    --user-name Bob

Saída:

{
    "LoginProfile": {
        "UserName": "Bob",
        "CreateDate": "2012-09-21T23:03:39Z"
    }
}

O comando get-login-profile pode ser usado para verificar se um usuário do IAM tem uma senha. O comando retorna um erro NoSuchEntity se nenhuma senha for definida para o usuário.

Não é possível visualizar uma senha com esse comando. Se a senha for perdida, você pode redefini-la (update-login-profile) para o usuário. Como alternativa, você pode excluir o perfil de login (delete-login-profile) do usuário e criar um novo (create-login-profile).

Para obter mais informações, consulte Gerenciamento de senhas de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetLoginProfile na Referência de comandos da AWS CLI.

get-mfa-device

O código de exemplo a seguir mostra como usar get-mfa-device.

AWS CLI

Recuperar informações sobre uma chave de segurança FIDO

O comando get-mfa-device a seguir recupera informações sobre a chave de segurança FIDO especificada.

aws iam get-mfa-device \
    --serial-number arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE

Saída:

{
    "UserName": "alice",
    "SerialNumber": "arn:aws:iam::123456789012:u2f/user/alice/fidokeyname-EXAMPLEBN5FHTECLFG7EXAMPLE",
    "EnableDate": "2023-09-19T01:49:18+00:00",
    "Certifications": {
        "FIDO": "L1"
    }
}

Para obter mais informações, consulte Uso de autenticação multifator (MFA) na AWS no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte GetMfaDevice na Referência de comandos da AWS CLI.

get-open-id-connect-provider

O código de exemplo a seguir mostra como usar get-open-id-connect-provider.

AWS CLI

Retornar informações sobre o provedor OpenID Connect especificado

Este exemplo retorna detalhes sobre o provedor OpenID Connect cujo ARN é arn:aws:iam::123456789012:oidc-provider/server.example.com.

aws iam get-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Saída:

{
    "Url": "server.example.com"
        "CreateDate": "2015-06-16T19:41:48Z",
        "ThumbprintList": [
        "12345abcdefghijk67890lmnopqrst987example"
        ],
        "ClientIDList": [
        "example-application-ID"
        ]
}

Para obter mais informações, consulte Criar provedores de identidade OpenID Connect (OIDC) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetOpenIdConnectProvider na Referência de comandos da AWS CLI.

get-organizations-access-report

O código de exemplo a seguir mostra como usar get-organizations-access-report.

AWS CLI

Recuperar um relatório de acesso

O exemplo get-organizations-access-report a seguir exibe um relatório de acesso gerado anteriormente para uma entidade de AWS Organizations. Para gerar um relatório, use o comando generate-organizations-access-report.

aws iam get-organizations-access-report \
    --job-id a8b6c06f-aaa4-8xmp-28bc-81da71836359

Saída:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-09-30T06:53:36.187Z",
    "JobCompletionDate": "2019-09-30T06:53:37.547Z",
    "NumberOfServicesAccessible": 188,
    "NumberOfServicesNotAccessed": 171,
    "AccessDetails": [
        {
            "ServiceName": "Alexa for Business",
            "ServiceNamespace": "a4b",
            "TotalAuthenticatedEntities": 0
        },
        ...
}

Para obter mais informações, consulte Refinar permissões na AWS usando as informações do último acesso no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte GetOrganizationsAccessReport na Referência de comandos da AWS CLI.

get-policy-version

O código de exemplo a seguir mostra como usar get-policy-version.

AWS CLI

Para recuperar informações sobre a versão especificada da política gerenciada especificada

Este exemplo retorna o documento da política para a versão v2 da política cujo ARN é arn:aws:iam::123456789012:policy/MyManagedPolicy.

aws iam get-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Saída:

{
    "PolicyVersion": {
        "Document": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "iam:*",
                    "Resource": "*"
                }
            ]
        },
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2023-04-11T00:22:54+00:00"
    }
}

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetPolicyVersion na Referência de comandos da AWS CLI.

get-policy

O código de exemplo a seguir mostra como usar get-policy.

AWS CLI

Para recuperar informações sobre a política gerenciada especificada

Este exemplo retorna detalhes sobre a política gerenciada cujo ARN é arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam get-policy \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Saída:

{
    "Policy": {
        "PolicyName": "MySamplePolicy",
        "CreateDate": "2015-06-17T19:23;32Z",
        "AttachmentCount": 0,
        "IsAttachable": true,
        "PolicyId": "Z27SI6FQMGNQ2EXAMPLE1",
        "DefaultVersionId": "v1",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:policy/MySamplePolicy",
        "UpdateDate": "2015-06-17T19:23:32Z"
    }
}

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetPolicy na Referência de comandos da AWS CLI.

get-role-policy

O código de exemplo a seguir mostra como usar get-role-policy.

AWS CLI

Obter informações sobre uma política anexada a um perfil do IAM

O comando get-role-policy a seguir obtém informações sobre a política especificada anexada ao perfil denominado Test-Role.

aws iam get-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy

Saída:

{
  "RoleName": "Test-Role",
  "PolicyDocument": {
      "Statement": [
          {
              "Action": [
                  "s3:ListBucket",
                  "s3:Put*",
                  "s3:Get*",
                  "s3:*MultipartUpload*"
              ],
              "Resource": "*",
              "Effect": "Allow",
              "Sid": "1"
          }
      ]
  }
  "PolicyName": "ExamplePolicy"
}

Para obter mais informações, consulte Criação de perfis do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetRolePolicy na Referência de comandos da AWS CLI.

get-role

O código de exemplo a seguir mostra como usar get-role.

AWS CLI

Como obter informações sobre um perfil do IAM

O comando get-role, apresentado a seguir, obtém informações sobre o perfil denominado Test-Role.

aws iam get-role \
    --role-name Test-Role

Saída:

{
    "Role": {
        "Description": "Test Role",
        "AssumeRolePolicyDocument":"<URL-encoded-JSON>",
        "MaxSessionDuration": 3600,
        "RoleId": "AROA1234567890EXAMPLE",
        "CreateDate": "2019-11-13T16:45:56Z",
        "RoleName": "Test-Role",
        "Path": "/",
        "RoleLastUsed": {
            "Region": "us-east-1",
            "LastUsedDate": "2019-11-13T17:14:00Z"
        },
        "Arn": "arn:aws:iam::123456789012:role/Test-Role"
    }
}

O comando exibe a política de confiança anexada ao perfil. Para listar as políticas de permissões anexadas a um perfil, use o comando list-role-policies.

Para obter mais informações, consulte Criação de perfis do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetRole na Referência de comandos da AWS CLI.

get-saml-provider

O código de exemplo a seguir mostra como usar get-saml-provider.

AWS CLI

Recuperar o metadocumento do provedor SAML

Este exemplo recupera os detalhes sobre o provedor SAML 2.0 cujo ARM é arn:aws:iam::123456789012:saml-provider/SAMLADFS. A resposta inclui o documento de metadados que você obteve do provedor de identidade para criar a entidade do provedor SAML da AWS, bem como as datas de criação e expiração.

aws iam get-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Saída:

{
    "SAMLMetadataDocument": "...SAMLMetadataDocument-XML...",
    "CreateDate": "2017-03-06T22:29:46+00:00",
    "ValidUntil": "2117-03-06T22:29:46.433000+00:00",
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obter mais informações, consulte Criação de provedores de identidade SAML do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetSamlProvider na Referência de comandos da AWS CLI.

get-server-certificate

O código de exemplo a seguir mostra como usar get-server-certificate.

AWS CLI

Como obter detalhes sobre um certificado de servidor em sua conta da AWS

O comando get-server-certificate, apresentado a seguir, recupera todos os detalhes sobre o certificado de servidor especificado em sua conta da AWS.

aws iam get-server-certificate \
    --server-certificate-name myUpdatedServerCertificate

Saída:

{
    "ServerCertificate": {
        "ServerCertificateMetadata": {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        "CertificateBody": "-----BEGIN CERTIFICATE-----
            MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
            VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
            b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
            BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
            MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
            VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
            b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
            YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
            21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
            rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
            Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
            nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
            FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
            NYiytVbZPQUQ5Yaxu2jXnimvrszlaEXAMPLE=-----END CERTIFICATE-----",
        "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIICiTCCAfICCQD6md
            7oRw0uXOjANBgkqhkiG9w0BAqQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgT
            AldBMRAwDgYDVQQHEwdTZWF0drGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAs
            TC0lBTSBDb25zb2xlMRIwEAYDVsQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQ
            jb20wHhcNMTEwNDI1MjA0NTIxWhtcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
            MCVVMxCzAJBgNVBAgTAldBMRAwDgsYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
            WF6b24xFDASBgNVBAsTC0lBTSBDb2d5zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
            HzAdBgkqhkiG9w0BCQEWEG5vb25lQGfFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
            BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIgWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
            k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8mh9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
            ITxOUSQv7c7ugFFDzQGBzZswY6786m86gjpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
            AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCku4nUhVVxYUntneD9+h8Mg9q6q+auN
            KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FlkbFFBjvSfpJIlJ00zbhNYS5f6Guo
            EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjS;TbNYiytVbZPQUQ5Yaxu2jXnimvw
            3rrszlaEWEG5vb25lQGFtsYXpvbiEXAMPLE=\n-----END CERTIFICATE-----"
    }
}

Para listar os certificados de servidor disponíveis em sua conta da AWS, use o comando list-server-certificates.

Para obter mais informações, consulte Gerenciar certificados de servidor no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetServerCertificate na Referência de comandos da AWS CLI.

get-service-last-accessed-details-with-entities

O código de exemplo a seguir mostra como usar get-service-last-accessed-details-with-entities.

AWS CLI

Recuperar um relatório de acesso ao serviço com detalhes de um serviço

O exemplo de get-service-last-accessed-details-with-entities a seguir recupera um relatório que contém detalhes sobre os usuários do IAM e outras entidades que acessaram o serviço especificado. Para gerar um relatório, use o comando generate-service-last-accessed-details. Para obter uma lista de serviços acessados com namespaces, use get-service-last-accessed-details.

aws iam get-service-last-accessed-details-with-entities \
    --job-id 78b6c2ba-d09e-6xmp-7039-ecde30b26916 \
    --service-namespace lambda

Saída:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:55:41.756Z",
    "JobCompletionDate": "2019-10-01T03:55:42.533Z",
    "EntityDetailsList": [
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/admin",
                "Name": "admin",
                "Type": "USER",
                "Id": "AIDAIO2XMPLENQEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-30T23:02:00Z"
        },
        {
            "EntityInfo": {
                "Arn": "arn:aws:iam::123456789012:user/developer",
                "Name": "developer",
                "Type": "USER",
                "Id": "AIDAIBEYXMPL2YEXAMPLE",
                "Path": "/"
            },
            "LastAuthenticated": "2019-09-16T19:34:00Z"
        }
    ]
}

Para obter mais informações, consulte Refinar permissões na AWS usando as informações do último acesso no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetServiceLastAccessedDetailsWithEntities na Referência de comandos da AWS CLI.

get-service-last-accessed-details

O código de exemplo a seguir mostra como usar get-service-last-accessed-details.

AWS CLI

Recuperar um relatório de acesso ao serviço

O exemplo de get-service-last-accessed-details a seguir recupera um relatório gerado anteriormente que lista os serviços acessados pelas entidades do IAM. Para gerar um relatório, use o comando generate-service-last-accessed-details.

aws iam get-service-last-accessed-details \
    --job-id 2eb6c2b8-7b4c-3xmp-3c13-03b72c8cdfdc

Saída:

{
    "JobStatus": "COMPLETED",
    "JobCreationDate": "2019-10-01T03:50:35.929Z",
    "ServicesLastAccessed": [
        ...
        {
            "ServiceName": "AWS Lambda",
            "LastAuthenticated": "2019-09-30T23:02:00Z",
            "ServiceNamespace": "lambda",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/admin",
            "TotalAuthenticatedEntities": 6
        },
    ]
}

Para obter mais informações, consulte Refinar permissões na AWS usando as informações do último acesso no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetServiceLastAccessedDetails na Referência de comandos da AWS CLI.

get-service-linked-role-deletion-status

O código de exemplo a seguir mostra como usar get-service-linked-role-deletion-status.

AWS CLI

Como verificar o status de uma solicitação para excluir um perfil vinculado ao serviço

O exemplo de get-service-linked-role-deletion-status, apresentado a seguir, exibe o status de uma solicitação anterior para excluir um perfil vinculado ao serviço. A operação de exclusão ocorre de forma assíncrona. Ao fazer a solicitação, você obtém um valor DeletionTaskId fornecido como parâmetro para esse comando.

aws iam get-service-linked-role-deletion-status \
    --deletion-task-id task/aws-service-role/lex.amazonaws.com/AWSServiceRoleForLexBots/1a2b3c4d-1234-abcd-7890-abcdeEXAMPLE

Saída:

{
"Status": "SUCCEEDED"
}

Para obter mais informações, consulte Usar perfis vinculados ao serviço no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetServiceLinkedRoleDeletionStatus na Referência de comandos da AWS CLI.

get-ssh-public-key

O código de exemplo a seguir mostra como usar get-ssh-public-key.

AWS CLI

Exemplo 1: recuperar uma chave pública SSH anexada a um usuário do IAM em formato codificado por SSH

O comando get-ssh-public-key a seguir recupera a chave pública SSH especificada do usuário do IAM sofia. A saída está na codificação SSH.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding SSH

Saída:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long encoded SSH string>>",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Exemplo 2: recuperar uma chave pública SSH anexada a um usuário do IAM no formato codificado PEM

O comando get-ssh-public-key a seguir recupera a chave pública SSH especificada do usuário do IAM sofia. A saída está na codificação PEM.

aws iam get-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA123456789EXAMPLE \
    --encoding PEM

Saída:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA123456789EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": ""-----BEGIN PUBLIC KEY-----\n<<long encoded PEM string>>\n-----END PUBLIC KEY-----\n"",
        "Status": "Inactive",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Para obter mais informações, consulte Usar chaves SSH com o CodeCommit no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte GetSshPublicKey na Referência de comandos da AWS CLI.

get-user-policy

O código de exemplo a seguir mostra como usar get-user-policy.

AWS CLI

Listar detalhes da política de um usuário do IAM

O comando get-user-policy a seguir lista os detalhes da política especificada anexada ao usuário do IAM chamado Bob.

aws iam get-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy

Saída:

{
    "UserName": "Bob",
    "PolicyName": "ExamplePolicy",
    "PolicyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
}

Para obter uma lista de políticas para um usuário do IAM, use o comando list-user-policies.

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetUserPolicy na Referência de comandos da AWS CLI.

get-user

O código de exemplo a seguir mostra como usar get-user.

AWS CLI

Como obter informações sobre um usuário do IAM

O comando get-user, apresentado a seguir, obtém informações sobre o usuário do IAM denominado Paulo.

aws iam get-user \
    --user-name Paulo

Saída:

{
    "User": {
        "UserName": "Paulo",
        "Path": "/",
        "CreateDate": "2019-09-21T23:03:13Z",
        "UserId": "AIDA123456789EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:user/Paulo"
    }
}

Para obter mais informações, consulte Gerenciar usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte GetUser na Referência de comandos da AWS CLI.

list-access-keys

O código de exemplo a seguir mostra como usar list-access-keys.

AWS CLI

Para listar os IDs da chave de acesso para um usuário do IAM

O comando list-access-keys, apresentado a seguir, lista os IDs das chaves de acesso para o usuário do IAM denominado Bob.

aws iam list-access-keys \
    --user-name Bob

Saída:

{
    "AccessKeyMetadata": [
        {
            "UserName": "Bob",
            "Status": "Active",
            "CreateDate": "2013-06-04T18:17:34Z",
            "AccessKeyId": "AKIAIOSFODNN7EXAMPLE"
        },
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CreateDate": "2013-06-06T20:42:26Z",
            "AccessKeyId": "AKIAI44QH8DHBEXAMPLE"
        }
    ]
}

Não é possível listar as chaves de acesso secretas para os usuários do IAM. Se as chaves de acesso secretas forem perdidas, você deverá criar novas chaves de acesso usando o comando create-access-keys.

Para obter mais informações, consulte Gerenciamento de chaves de acesso de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListAccessKeys na Referência de comandos da AWS CLI.

list-account-aliases

O código de exemplo a seguir mostra como usar list-account-aliases.

AWS CLI

Para listar os aliases da conta

O comando list-account-aliases, apresentado a seguir, lista os aliases para a conta atual.

aws iam list-account-aliases

Saída:

{
    "AccountAliases": [
    "mycompany"
    ]
}

Para obter mais informações, consulte O ID da sua conta da AWS e seu alias no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListAccountAliases na Referência de comandos da AWS CLI.

list-attached-group-policies

O código de exemplo a seguir mostra como usar list-attached-group-policies.

AWS CLI

Para listar todas as políticas gerenciadas anexadas ao grupo especificado

Este exemplo retorna os nomes e os ARNs das políticas gerenciadas anexadas ao grupo do IAM denominado Admins na conta da AWS.

aws iam list-attached-group-policies \
    --group-name Admins

Saída:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListAttachedGroupPolicies na Referência de comandos da AWS CLI.

list-attached-role-policies

O código de exemplo a seguir mostra como usar list-attached-role-policies.

AWS CLI

Para listar todas as políticas gerenciadas anexadas ao perfil especificado

Este comando retorna os nomes e os ARNs das políticas gerenciadas anexadas ao perfil do IAM denominado SecurityAuditRole na conta da AWS.

aws iam list-attached-role-policies \
    --role-name SecurityAuditRole

Saída:

{
    "AttachedPolicies": [
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListAttachedRolePolicies na Referência de comandos da AWS CLI.

list-attached-user-policies

O código de exemplo a seguir mostra como usar list-attached-user-policies.

AWS CLI

Para listar todas as políticas gerenciadas anexadas ao usuário especificado

Este comando retorna os nomes e os ARNs das políticas gerenciadas do usuário do IAM chamado Bob na conta da AWS.

aws iam list-attached-user-policies \
    --user-name Bob

Saída:

{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        },
        {
            "PolicyName": "SecurityAudit",
            "PolicyArn": "arn:aws:iam::aws:policy/SecurityAudit"
        }
    ],
    "IsTruncated": false
}

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListAttachedUserPolicies na Referência de comandos da AWS CLI.

list-entities-for-policy

O código de exemplo a seguir mostra como usar list-entities-for-policy.

AWS CLI

Para listar todos os usuários, grupos e perfis aos quais a política gerenciada especificada está anexada

Este exemplo retorna uma lista de grupos, perfis e usuários do IAM que têm a política arn:aws:iam::123456789012:policy/TestPolicy anexada.

aws iam list-entities-for-policy \
    --policy-arn arn:aws:iam::123456789012:policy/TestPolicy

Saída:

{
    "PolicyGroups": [
        {
            "GroupName": "Admins",
            "GroupId": "AGPACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyUsers": [
        {
            "UserName": "Alice",
            "UserId": "AIDACKCEVSQ6C2EXAMPLE"
        }
    ],
    "PolicyRoles": [
        {
            "RoleName": "DevRole",
            "RoleId": "AROADBQP57FF2AEXAMPLE"
        }
    ],
    "IsTruncated": false
}

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListEntitiesForPolicy na Referência de comandos da AWS CLI.

list-group-policies

O código de exemplo a seguir mostra como usar list-group-policies.

AWS CLI

Para listar todas as políticas em linha anexadas ao grupo especificado

O comando list-group-policies a seguir lista os nomes das políticas em linha anexadas ao grupo do IAM denominado Admins na conta atual.

aws iam list-group-policies \
    --group-name Admins

Saída:

{
    "PolicyNames": [
        "AdminRoot",
        "ExamplePolicy"
    ]
}

Para obter mais informações, consulte Gerenciamento de políticas do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListGroupPolicies na Referência de comandos da AWS CLI.

list-groups-for-user

O código de exemplo a seguir mostra como usar list-groups-for-user.

AWS CLI

Listar os grupos aos quais um usuário do IAM pertence

O comando list-groups-for-user a seguir exibe os grupos aos quais o usuário do IAM chamado Bob pertence.

aws iam list-groups-for-user \
    --user-name Bob

Saída:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:18:08Z",
            "GroupId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admin",
            "GroupName": "Admin"
        },
        {
            "Path": "/",
            "CreateDate": "2013-05-06T01:37:28Z",
            "GroupId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/s3-Users",
            "GroupName": "s3-Users"
        }
    ]
}

Para obter mais informações, consulte Gerenciar grupos de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListGroupsForUser na Referência de comandos da AWS CLI.

list-groups

O código de exemplo a seguir mostra como usar list-groups.

AWS CLI

Para listar os grupos do IAM para a conta atual

O comando list-groups, apresentado a seguir, lista os grupos do IAM na conta atual.

aws iam list-groups

Saída:

{
    "Groups": [
        {
            "Path": "/",
            "CreateDate": "2013-06-04T20:27:27.972Z",
            "GroupId": "AIDACKCEVSQ6C2EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/Admins",
            "GroupName": "Admins"
        },
        {
            "Path": "/",
            "CreateDate": "2013-04-16T20:30:42Z",
            "GroupId": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:group/S3-Admins",
            "GroupName": "S3-Admins"
        }
    ]
}

Para obter mais informações, consulte Gerenciar grupos de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListGroups na Referência de comandos da AWS CLI.

list-instance-profile-tags

O código de exemplo a seguir mostra como usar list-instance-profile-tags.

AWS CLI

Listar marcações atualmente associadas a um perfil de instância

O comando list-instance-profile-tags a seguir recupera a lista de marcações associadas ao perfil de instância especificado.

aws iam list-instance-profile-tags \
    --instance-profile-name deployment-role

Saída:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte ListInstanceProfileTags na Referência de comandos da AWS CLI.

list-instance-profiles-for-role

O código de exemplo a seguir mostra como usar list-instance-profiles-for-role.

AWS CLI

Listar os perfis de instância de um perfil do IAM

O comando list-instance-profiles-for-role a seguir lista os perfis de instância associados ao perfil Test-Role.

aws iam list-instance-profiles-for-role \
    --role-name Test-Role

Saída:

{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2013-06-07T20:42:15Z",
                    "RoleName": "Test-Role",
                    "Path": "/",
                    "Arn": "arn:aws:iam::123456789012:role/Test-Role"
                }
            ],
            "CreateDate": "2013-06-07T21:05:24Z",
            "InstanceProfileName": "ExampleInstanceProfile",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:instance-profile/ExampleInstanceProfile"
        }
    ]
}

Para obter mais informações, consulte Usar perfis de instância no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListInstanceProfilesForRole na Referência de comandos da AWS CLI.

list-instance-profiles

O código de exemplo a seguir mostra como usar list-instance-profiles.

AWS CLI

Listar os perfis de instância da conta

O comando list-instance-profiles a seguir lista os perfis de instância associados à conta atual.

aws iam list-instance-profiles

Saída:

{
    "InstanceProfiles": [
        {
            "Path": "/",
            "InstanceProfileName": "example-dev-role",
            "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-dev-role",
            "CreateDate": "2023-09-21T18:17:41+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-dev-role",
                    "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-dev-role",
                    "CreateDate": "2023-09-21T18:17:40+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        },
        {
            "Path": "/",
            "InstanceProfileName": "example-s3-role",
            "InstanceProfileId": "AIPAJVJVNRIQFREXAMPLE",
            "Arn": "arn:aws:iam::123456789012:instance-profile/example-s3-role",
            "CreateDate": "2023-09-21T18:18:50+00:00",
            "Roles": [
                {
                    "Path": "/",
                    "RoleName": "example-s3-role",
                    "RoleId": "AROAINUBC5O7XLEXAMPLE",
                    "Arn": "arn:aws:iam::123456789012:role/example-s3-role",
                    "CreateDate": "2023-09-21T18:18:49+00:00",
                    "AssumeRolePolicyDocument": {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                    "Service": "ec2.amazonaws.com"
                                },
                                "Action": "sts:AssumeRole"
                            }
                        ]
                    }
                }
            ]
        }
    ]
}

Para obter mais informações, consulte Usar perfis de instância no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListInstanceProfiles na Referência de comandos da AWS CLI.

list-mfa-device-tags

O código de exemplo a seguir mostra como usar list-mfa-device-tags.

AWS CLI

Listar as marcações associadas a um dispositivo MFA

O comando list-mfa-device-tags a seguir recupera a lista de marcações associadas ao dispositivo MFA especificado.

aws iam list-mfa-device-tags \
    --serial-number arn:aws:iam::123456789012:mfa/alice

Saída:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte ListMfaDeviceTags na Referência de comandos da AWS CLI.

list-mfa-devices

O código de exemplo a seguir mostra como usar list-mfa-devices.

AWS CLI

Listar todos os dispositivos de MFA de um usuário especificado

Este exemplo retorna detalhes sobre o dispositivo de MFA atribuído ao usuário do IAM Bob.

aws iam list-mfa-devices \
    --user-name Bob

Saída:

{
    "MFADevices": [
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Bob",
            "EnableDate": "2019-10-28T20:37:09+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "GAKT12345678",
            "EnableDate": "2023-02-18T21:44:42+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey1-7XNL7NFNLZ123456789EXAMPLE",
            "EnableDate": "2023-09-19T02:25:35+00:00"
        },
        {
            "UserName": "Bob",
            "SerialNumber": "arn:aws:iam::123456789012:u2f/user/Bob/fidosecuritykey2-VDRQTDBBN5123456789EXAMPLE",
            "EnableDate": "2023-09-19T01:49:18+00:00"
        }
    ]
}

Para obter mais informações, consulte Uso de autenticação multifator (MFA) na AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListMfaDevices na Referência de comandos da AWS CLI.

list-open-id-connect-provider-tags

O código de exemplo a seguir mostra como usar list-open-id-connect-provider-tags.

AWS CLI

Listar as marcações associadas a um provedor de identidades compatível com OpenID Connect (OIDC)

O comando list-open-id-connect-provider-tags a seguir recupera a lista de marcações associadas ao provedor de identidades específico compatível com OIDC.

aws iam list-open-id-connect-provider-tags \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com

Saída:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte ListOpenIdConnectProviderTags na Referência de comandos da AWS CLI.

list-open-id-connect-providers

O código de exemplo a seguir mostra como usar list-open-id-connect-providers.

AWS CLI

Para listar informações sobre os provedores OpenID Connect na conta da AWS

Este exemplo retorna uma lista de ARNS de todos os provedores OpenID Connect definidos na conta atual da AWS.

aws iam list-open-id-connect-providers

Saída:

{
    "OpenIDConnectProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com"
        }
    ]
}

Para obter mais informações, consulte Criar provedores de identidade OpenID Connect (OIDC) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListOpenIdConnectProviders na Referência de comandos da AWS CLI.

list-organizations-features

O código de exemplo a seguir mostra como usar list-organizations-features.

AWS CLI

Como listar os recursos de acesso raiz centralizado habilitados para sua organização

O comando list-organizations-features a seguir lista os recursos de acesso raiz centralizado habilitados para sua organização.

aws iam list-organizations-features

Saída:

{
    "EnabledFeatures": [
        "RootCredentialsManagement",
        "RootSessions"
    ]
    "OrganizationId": "o-aa111bb222"
}

Consulte mais informações em Gerencie centralmente o acesso raiz para contas-membro no Guia do usuário do AWS IAM.

• Consulte detalhes da API em ListOrganizationsFeatures na Referência de comandos da AWS CLI.

list-policies-granting-service-access

O código de exemplo a seguir mostra como usar list-policies-granting-service-access.

AWS CLI

Listar as políticas que concedem acesso ao serviço especificado a uma entidade principal

O exemplo list-policies-granting-service-access a seguir recupera a lista de políticas que concedem ao usuário do IAM acesso sofia ao serviço AWS CodeCommit.

aws iam list-policies-granting-service-access \
    --arn arn:aws:iam::123456789012:user/sofia \
    --service-namespaces codecommit

Saída:

{
    "PoliciesGrantingServiceAccess": [
        {
            "ServiceNamespace": "codecommit",
            "Policies": [
                {
                    "PolicyName": "Grant-Sofia-Access-To-CodeCommit",
                    "PolicyType": "INLINE",
                    "EntityType": "USER",
                    "EntityName": "sofia"
                }
            ]
        }
    ],
    "IsTruncated": false
}

Para obter mais informações, consulte Uso do IAM com CodeCommit: credenciais do Git, chaves SSH e AWS chaves de acesso no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte ListPoliciesGrantingServiceAccess na Referência de comandos da AWS CLI.

list-policies

O código de exemplo a seguir mostra como usar list-policies.

AWS CLI

Para listar as políticas gerenciadas disponíveis para sua conta da AWS

Este exemplo retorna uma compilação das duas primeiras políticas gerenciadas disponíveis na conta da AWS atual.

aws iam list-policies \
    --max-items 3

Saída:

{
    "Policies": [
        {
            "PolicyName": "AWSCloudTrailAccessPolicy",
            "PolicyId": "ANPAXQE2B5PJ7YEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 0,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2019-09-04T17:43:42+00:00",
            "UpdateDate": "2019-09-04T17:43:42+00:00"
        },
        {
            "PolicyName": "AdministratorAccess",
            "PolicyId": "ANPAIWMBCKSKIEE64ZLYK",
            "Arn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "Path": "/",
            "DefaultVersionId": "v1",
            "AttachmentCount": 6,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:46+00:00",
            "UpdateDate": "2015-02-06T18:39:46+00:00"
        },
        {
            "PolicyName": "PowerUserAccess",
            "PolicyId": "ANPAJYRXTHIB4FOVS3ZXS",
            "Arn": "arn:aws:iam::aws:policy/PowerUserAccess",
            "Path": "/",
            "DefaultVersionId": "v5",
            "AttachmentCount": 1,
            "PermissionsBoundaryUsageCount": 0,
            "IsAttachable": true,
            "CreateDate": "2015-02-06T18:39:47+00:00",
            "UpdateDate": "2023-07-06T22:04:00+00:00"
        }
    ],
    "NextToken": "EXAMPLErZXIiOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiA4fQ=="
}

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListPolicies na Referência de comandos da AWS CLI.

list-policy-tags

O código de exemplo a seguir mostra como usar list-policy-tags.

AWS CLI

Listar as marcações anexadas a uma política gerenciada

O comando list-policy-tags a seguir recupera a lista de marcações associadas à política gerenciada específica.

aws iam list-policy-tags \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access

Saída:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte ListPolicyTags na Referência de comandos da AWS CLI.

list-policy-versions

O código de exemplo a seguir mostra como usar list-policy-versions.

AWS CLI

Listar informações sobre as versões da política gerenciada especificada

Este exemplo retorna a lista de versões disponíveis da política cujo ARN é arn:aws:iam::123456789012:policy/MySamplePolicy.

aws iam list-policy-versions \
    --policy-arn arn:aws:iam::123456789012:policy/MySamplePolicy

Saída:

{
    "IsTruncated": false,
    "Versions": [
        {
        "VersionId": "v2",
        "IsDefaultVersion": true,
        "CreateDate": "2015-06-02T23:19:44Z"
        },
        {
        "VersionId": "v1",
        "IsDefaultVersion": false,
        "CreateDate": "2015-06-02T22:30:47Z"
        }
    ]
}

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListPolicyVersions na Referência de comandos da AWS CLI.

list-role-policies

O código de exemplo a seguir mostra como usar list-role-policies.

AWS CLI

Para listar as políticas anexadas a um perfil do IAM

O comando list-role-policies, apresentado a seguir, lista os nomes das políticas de permissões para o perfil do IAM especificado.

aws iam list-role-policies \
    --role-name Test-Role

Saída:

{
    "PolicyNames": [
        "ExamplePolicy"
    ]
}

Para visualizar a política de confiança anexada a um perfil, use o comando get-role. Para visualizar os detalhes de uma política de permissões, use o comando get-role-policy.

Para obter mais informações, consulte Criação de perfis do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListRolePolicies na Referência de comandos da AWS CLI.

list-role-tags

O código de exemplo a seguir mostra como usar list-role-tags.

AWS CLI

Listar as tags anexadas a um perfil

O comando list-role-tags a seguir recupera a lista de tags associadas ao perfil especificado.

aws iam list-role-tags \
    --role-name production-role

Saída:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListRoleTags na Referência de comandos da AWS CLI.

list-roles

O código de exemplo a seguir mostra como usar list-roles.

AWS CLI

Para listar os perfis do IAM para a conta atual

O comando list-roles, apresentado a seguir, lista os perfis do IAM para a conta atual.

aws iam list-roles

Saída:

{
    "Roles": [
        {
            "Path": "/",
            "RoleName": "ExampleRole",
            "RoleId": "AROAJ52OTH4H7LEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/ExampleRole",
            "CreateDate": "2017-09-12T19:23:36+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        },
        {
            "Path": "/example_path/",
            "RoleName": "ExampleRoleWithPath",
            "RoleId": "AROAI4QRP7UFT7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:role/example_path/ExampleRoleWithPath",
            "CreateDate": "2023-09-21T20:29:38+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Sid": "",
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "ec2.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            },
            "MaxSessionDuration": 3600
        }
    ]
}

Para obter mais informações, consulte Criação de perfis do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListRoles na Referência de comandos da AWS CLI.

list-saml-provider-tags

O código de exemplo a seguir mostra como usar list-saml-provider-tags.

AWS CLI

Listar as marcações anexadas a um provedor SAML

O comando list-saml-provider-tags a seguir recupera a lista de marcações associadas ao provedor SAML específico.

aws iam list-saml-provider-tags \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS

Saída:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte ListSamlProviderTags na Referência de comandos da AWS CLI.

list-saml-providers

O código de exemplo a seguir mostra como usar list-saml-providers.

AWS CLI

Para listar os provedores SAML na conta da AWS

Este exemplo recupera a lista de provedores SAML 2.0 criados na conta da AWS atual.

aws iam list-saml-providers

Saída:

{
    "SAMLProviderList": [
        {
            "Arn": "arn:aws:iam::123456789012:saml-provider/SAML-ADFS",
            "ValidUntil": "2015-06-05T22:45:14Z",
            "CreateDate": "2015-06-05T22:45:14Z"
        }
    ]
}

Para obter mais informações, consulte Criação de provedores de identidade SAML do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListSAMLProviders na Referência de comandos da AWS CLI.

list-server-certificate-tags

O código de exemplo a seguir mostra como usar list-server-certificate-tags.

AWS CLI

Listar marcações anexadas a um certificado de servidor

O comando list-server-certificate-tags a seguir recupera a lista de marcações associadas ao certificado de servidor específico.

aws iam list-server-certificate-tags \
    --server-certificate-name ExampleCertificate

Saída:

{
    "Tags": [
        {
            "Key": "DeptID",
            "Value": "123456"
        },
        {
            "Key": "Department",
            "Value": "Accounting"
        }
    ]
}

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte ListServerCertificateTags na Referência de comandos da AWS CLI.

list-server-certificates

O código de exemplo a seguir mostra como usar list-server-certificates.

AWS CLI

Para listar os certificados de servidor em sua conta da AWS

O comando list-server-certificates, apresentado a seguir, lista todos os certificados de servidor armazenados e disponíveis para uso em sua conta da AWS.

aws iam list-server-certificates

Saída:

{
    "ServerCertificateMetadataList": [
        {
            "Path": "/",
            "ServerCertificateName": "myUpdatedServerCertificate",
            "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/myUpdatedServerCertificate",
            "UploadDate": "2019-04-22T21:13:44+00:00",
            "Expiration": "2019-10-15T22:23:16+00:00"
        },
        {
            "Path": "/cloudfront/",
            "ServerCertificateName": "MyTestCert",
            "ServerCertificateId": "ASCAEXAMPLE456EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:server-certificate/Org1/Org2/MyTestCert",
            "UploadDate": "2015-04-21T18:14:16+00:00",
            "Expiration": "2018-01-14T17:52:36+00:00"
        }
    ]
}

Para obter mais informações, consulte Gerenciar certificados de servidor no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListServerCertificates na Referência de comandos da AWS CLI.

list-service-specific-credential

O código de exemplo a seguir mostra como usar list-service-specific-credential.

AWS CLI

Exemplo 1: listar as credenciais específicas do serviço para um usuário

O exemplo list-service-specific-credentials a seguir exibe todas as credenciais específicas do serviço atribuídas a um dado usuário. As senhas não estão incluídas na resposta.

aws iam list-service-specific-credentials \
    --user-name sofia

Saída:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Exemplo 2: listar as credenciais específicas do serviço de um usuário filtradas para um serviço específico

O exemplo list-service-specific-credentials a seguir exibe as credenciais específicas do serviço atribuídas ao usuário que fez a solicitação. A lista é filtrada para incluir somente as credenciais do serviço especificado. As senhas não estão incluídas na resposta.

aws iam list-service-specific-credentials \
    --service-name codecommit.amazonaws.com

Saída:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Para obter mais informações, consulte Criar credenciais do Git para conexões HTTPS com o CodeCommit no Guia do usuário do AWS CodeCommit.

• Para ver detalhes da API, consulte ListServiceSpecificCredential na Referência de comandos da AWS CLI.

list-service-specific-credentials

O código de exemplo a seguir mostra como usar list-service-specific-credentials.

AWS CLI

Recuperar uma lista de credenciais

O exemplo list-service-specific-credentials a seguir lista as credenciais geradas para acesso HTTPS aos repositórios do AWS CodeCommit para um usuário chamado developer.

aws iam list-service-specific-credentials \
    --user-name developer \
    --service-name codecommit.amazonaws.com

Saída:

{
    "ServiceSpecificCredentials": [
        {
            "UserName": "developer",
            "Status": "Inactive",
            "ServiceUserName": "developer-at-123456789012",
            "CreateDate": "2019-10-01T04:31:41Z",
            "ServiceSpecificCredentialId": "ACCAQFODXMPL4YFHP7DZE",
            "ServiceName": "codecommit.amazonaws.com"
        },
        {
            "UserName": "developer",
            "Status": "Active",
            "ServiceUserName": "developer+1-at-123456789012",
            "CreateDate": "2019-10-01T04:31:45Z",
            "ServiceSpecificCredentialId": "ACCAQFOXMPL6VW57M7AJP",
            "ServiceName": "codecommit.amazonaws.com"
        }
    ]
}

Para obter mais informações, consulte Criar credenciais do Git para conexões HTTPS com o CodeCommit no Guia do usuário do AWS CodeCommit.

• Para ver detalhes da API, consulte ListServiceSpecificCredentials na Referência de comandos da AWS CLI.

list-signing-certificates

O código de exemplo a seguir mostra como usar list-signing-certificates.

AWS CLI

Listar os certificados de assinatura de um usuário do IAM

O comando list-signing-certificates a seguir lista os certificados de assinatura do usuário do IAM denominado Bob.

aws iam list-signing-certificates \
    --user-name Bob

Saída:

{
    "Certificates": [
        {
            "UserName": "Bob",
            "Status": "Inactive",
            "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
            "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
            "UploadDate": "2013-06-06T21:40:08Z"
        }
    ]
}

Para obter mais informações, consulte Manage signing certificates no Guia do usuário do Amazon EC2.

• Para obter detalhes da API, consulte ListSigningCertificates na Referência de comandos da AWS CLI.

list-ssh-public-keys

O código de exemplo a seguir mostra como usar list-ssh-public-keys.

AWS CLI

Listar as chaves públicas SSH anexadas a um usuário do IAM

O exemplo list-ssh-public-keys a seguir lista as chaves públicas SSH anexadas ao usuário do IAM sofia.

aws iam list-ssh-public-keys \
    --user-name sofia

Saída:

{
    "SSHPublicKeys": [
        {
            "UserName": "sofia",
            "SSHPublicKeyId": "APKA1234567890EXAMPLE",
            "Status": "Inactive",
            "UploadDate": "2019-04-18T17:04:49+00:00"
        }
    ]
}

Para obter mais informações, consulte Usar chaves SSH com o CodeCommit no Guia do usuário do AWS IAM

• Para ver detalhes da API, consulte ListSshPublicKeys na Referência de comandos da AWS CLI.

list-user-policies

O código de exemplo a seguir mostra como usar list-user-policies.

AWS CLI

Para listar as políticas para um usuário do IAM

O comando list-user-policies, apresentado a seguir, lista as políticas anexadas ao usuário do IAM denominado Bob.

aws iam list-user-policies \
    --user-name Bob

Saída:

{
    "PolicyNames": [
        "ExamplePolicy",
        "TestPolicy"
    ]
}

Para obter mais informações, consulte Criar um usuário do IAM na sua conta da AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListUserPolicies na Referência de comandos da AWS CLI.

list-user-tags

O código de exemplo a seguir mostra como usar list-user-tags.

AWS CLI

Listar as tags anexadas a um usuário

O comando list-user-tags a seguir recupera a lista de tags associadas ao usuário do IAM especificado.

aws iam list-user-tags \
    --user-name alice

Saída:

{
    "Tags": [
        {
            "Key": "Department",
            "Value": "Accounting"
        },
        {
            "Key": "DeptID",
            "Value": "12345"
        }
    ],
    "IsTruncated": false
}

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListUserTags na Referência de comandos da AWS CLI.

list-users

O código de exemplo a seguir mostra como usar list-users.

AWS CLI

Para listar os usuários do IAM

O comando list-users, apresentado a seguir, lista os usuários do IAM na conta atual.

aws iam list-users

Saída:

{
    "Users": [
        {
            "UserName": "Adele",
            "Path": "/",
            "CreateDate": "2013-03-07T05:14:48Z",
            "UserId": "AKIAI44QH8DHBEXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Adele"
        },
        {
            "UserName": "Bob",
            "Path": "/",
            "CreateDate": "2012-09-21T23:03:13Z",
            "UserId": "AKIAIOSFODNN7EXAMPLE",
            "Arn": "arn:aws:iam::123456789012:user/Bob"
        }
    ]
}

Para obter mais informações, consulte Listagem de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListUsers na Referência de comandos da AWS CLI.

list-virtual-mfa-devices

O código de exemplo a seguir mostra como usar list-virtual-mfa-devices.

AWS CLI

Listar dispositivos de MFA virtuais

O comando list-virtual-mfa-devices a seguir lista os dispositivos de MFA virtuais configurados na conta atual.

aws iam list-virtual-mfa-devices

Saída:

{
    "VirtualMFADevices": [
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/ExampleMFADevice"
        },
        {
            "SerialNumber": "arn:aws:iam::123456789012:mfa/Fred"
        }
    ]
}

Para obter mais informações, consulte Habilitar um dispositivo de autenticação multifator (MFA) virtual no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ListVirtualMfaDevices na Referência de comandos da AWS CLI.

put-group-policy

O código de exemplo a seguir mostra como usar put-group-policy.

AWS CLI

Como adicionar uma política a um grupo

O comando put-group-policy, apresentado a seguir, adiciona uma política ao grupo do IAM denominado Admins.

aws iam put-group-policy \
    --group-name Admins \
    --policy-document file://AdminPolicy.json \
    --policy-name AdminRoot

Este comando não produz saída.

A política é definida como um documento JSON no arquivo AdminPolicy.json. (O nome e a extensão do arquivo não têm significado.)

Para obter mais informações, consulte Gerenciamento de políticas do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte PutGroupPolicy na Referência de comandos da AWS CLI.

put-role-permissions-boundary

O código de exemplo a seguir mostra como usar put-role-permissions-boundary.

AWS CLI

Exemplo 1: para aplicar um limite de permissões a um perfil do IAM com base em uma política personalizada

O exemplo de put-role-permissions-boundary a seguir aplica a política personalizada denominada intern-boundary como limite de permissões no perfil do IAM especificado.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --role-name lambda-application-role

Este comando não produz saída.

Exemplo 2: para aplicar um limite de permissões a um perfil do IAM com base em uma política gerenciada da AWS

O exemplo de put-role-permissions-boundary a seguir aplica a política gerenciada PowerUserAccess da AWS como limite de permissões no perfil do IAM especificado.

aws iam put-role-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --role-name x-account-admin

Este comando não produz saída.

Para obter mais informações, consulte Modificar um perfil no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte PutRolePermissionsBoundary na Referência de comandos da AWS CLI.

put-role-policy

O código de exemplo a seguir mostra como usar put-role-policy.

AWS CLI

Como anexar uma política de permissões a um perfil do IAM

O comando put-role-policy, apresentado a seguir, adiciona uma política de permissões ao perfil denominada Test-Role.

aws iam put-role-policy \
    --role-name Test-Role \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Este comando não produz saída.

A política é definida como um documento JSON no arquivo AdminPolicy.json. (O nome e a extensão do arquivo não têm significado.)

Para anexar uma política de confiança a um perfil, use o comando update-assume-role-policy.

Para obter mais informações, consulte Modificar um perfil no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte PutRolePolicy na Referência de comandos da AWS CLI.

put-user-permissions-boundary

O código de exemplo a seguir mostra como usar put-user-permissions-boundary.

AWS CLI

Exemplo 1: para aplicar um limite de permissões a um usuário do IAM com base em uma política personalizada

O exemplo de put-user-permissions-boundary a seguir aplica uma política personalizada denominada intern-boundary como limite de permissões no usuário do IAM especificado.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::123456789012:policy/intern-boundary \
    --user-name intern

Este comando não produz saída.

Exemplo 2: para aplicar um limite de permissões a um usuário do IAM com base em uma política gerenciada da AWS

O exemplo de put-user-permissions-boundary a seguir aplica a política gerenciada da AWS denominada PowerUserAccess como limite de permissões no usuário do IAM especificado.

aws iam put-user-permissions-boundary \
    --permissions-boundary arn:aws:iam::aws:policy/PowerUserAccess \
    --user-name developer

Este comando não produz saída.

Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte PutUserPermissionsBoundary na Referência de comandos da AWS CLI.

put-user-policy

O código de exemplo a seguir mostra como usar put-user-policy.

AWS CLI

Como anexar uma política a um usuário do IAM

O comando put-user-policy, apresentado a seguir, anexa uma política ao usuário do IAM denominado Bob.

aws iam put-user-policy \
    --user-name Bob \
    --policy-name ExamplePolicy \
    --policy-document file://AdminPolicy.json

Este comando não produz saída.

A política é definida como um documento JSON no arquivo AdminPolicy.json. (O nome e a extensão do arquivo não têm significado.)

Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte PutUserPolicy na Referência de comandos da AWS CLI.

remove-client-id-from-open-id-connect-provider

O código de exemplo a seguir mostra como usar remove-client-id-from-open-id-connect-provider.

AWS CLI

Para remover o ID do cliente especificado da lista de IDs de clientes registrados do provedor OpenID Connect do IAM

Este exemplo remove o ID do cliente My-TestApp-3 da lista de IDs de cliente associados ao provedor OIDC do IAM cujo ARN é arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com.

aws iam remove-client-id-from-open-id-connect-provider
    --client-id My-TestApp-3 \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com

Este comando não produz saída.

Para obter mais informações, consulte Criar provedores de identidade OpenID Connect (OIDC) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte RemoveClientIdFromOpenIdConnectProvider na Referência de comandos da AWS CLI.

remove-role-from-instance-profile

O código de exemplo a seguir mostra como usar remove-role-from-instance-profile.

AWS CLI

Para remover um cargo de um perfil de instância‭

O comando remove-role-from-instance-profile a seguir remove o perfil denominado Test-Role do perfil de instância denominado ExampleInstanceProfile.

aws iam remove-role-from-instance-profile \
    --instance-profile-name ExampleInstanceProfile \
    --role-name Test-Role

Para obter mais informações, consulte Usar perfis de instância no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte RemoveRoleFromInstanceProfile na Referência de comandos da AWS CLI.

remove-user-from-group

O código de exemplo a seguir mostra como usar remove-user-from-group.

AWS CLI

Como remover um usuário de um grupo do IAM

O comando remove-user-from-group, apresentado a seguir, remove o usuário denominado Bob do grupo do IAM denominado Admins.

aws iam remove-user-from-group \
    --user-name Bob \
    --group-name Admins

Este comando não produz saída.

Para obter mais informações, consulte Adicionar e remover usuários de um grupo de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte RemoveUserFromGroup na Referência de comandos da AWS CLI.

reset-service-specific-credential

O código de exemplo a seguir mostra como usar reset-service-specific-credential.

AWS CLI

Exemplo 1: redefinir a senha de uma credencial específica do serviço anexada ao usuário que fez a solicitação

O exemplo reset-service-specific-credential a seguir gera uma nova senha criptograficamente forte para a credencial específica de um dado serviço, anexada ao usuário que está fazendo a solicitação.

aws iam reset-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Saída:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Exemplo 2: redefinir a senha de uma credencial específica do serviço anexada a um usuário especificado

O exemplo reset-service-specific-credential a seguir gera uma nova senha criptograficamente forte para uma credencial específica do serviço anexada ao usuário especificado.

aws iam reset-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE

Saída:

{
    "ServiceSpecificCredential": {
        "CreateDate": "2019-04-18T20:45:36+00:00",
        "ServiceName": "codecommit.amazonaws.com",
        "ServiceUserName": "sofia-at-123456789012",
        "ServicePassword": "+oaFsNk7tLco+C/obP9GhhcOzGcKOayTmE3LnAmAmH4=",
        "ServiceSpecificCredentialId": "ACCAEXAMPLE123EXAMPLE",
        "UserName": "sofia",
        "Status": "Active"
    }
}

Para obter mais informações, consulte Criar credenciais do Git para conexões HTTPS com o CodeCommit no Guia do usuário do AWS CodeCommit.

• Para ver detalhes da API, consulte ResetServiceSpecificCredential na Referência de comandos da AWS CLI.

resync-mfa-device

O código de exemplo a seguir mostra como usar resync-mfa-device.

AWS CLI

Para sincronizar um dispositivo de MFA

O exemplo de resync-mfa-device a seguir sincroniza o dispositivo de MFA associado ao usuário do IAM Bob e cujo ARN é arn:aws:iam::123456789012:mfa/BobsMFADevice com um programa autenticador que forneceu os dois códigos de autenticação.

aws iam resync-mfa-device \
    --user-name Bob \
    --serial-number arn:aws:iam::210987654321:mfa/BobsMFADevice \
    --authentication-code1 123456 \
    --authentication-code2 987654

Este comando não produz saída.

Para obter mais informações, consulte Uso de autenticação multifator (MFA) na AWS no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte ResyncMfaDevice na Referência de comandos da AWS CLI.

set-default-policy-version

O código de exemplo a seguir mostra como usar set-default-policy-version.

AWS CLI

Para definir a versão especificada da política especificada como a versão da política padrão.

Este exemplo define a versão v2 da política cujo ARN é arn:aws:iam::123456789012:policy/MyPolicy como versão ativa padrão.

aws iam set-default-policy-version \
    --policy-arn arn:aws:iam::123456789012:policy/MyPolicy \
    --version-id v2

Para obter mais informações, consulte Políticas e permissões no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte SetDefaultPolicyVersion na Referência de comandos da AWS CLI.

set-security-token-service-preferences

O código de exemplo a seguir mostra como usar set-security-token-service-preferences.

AWS CLI

Definir a versão do token do endpoint global

O exemplo set-security-token-service-preferences a seguir configura o Amazon STS para usar tokens da versão 2 quando você se autentica no endpoint global.

aws iam set-security-token-service-preferences \
    --global-endpoint-token-version v2Token

Este comando não produz saída.

Para obter mais informações, consulte Gerenciar o AWS STS em uma região da AWS no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte SetSecurityTokenServicePreferences na Referência de comandos da AWS CLI.

simulate-custom-policy

O código de exemplo a seguir mostra como usar simulate-custom-policy.

AWS CLI

Exemplo 1: simular os efeitos de todas as políticas do IAM associadas a um usuário ou perfil do IAM

Veja a simulate-custom-policy seguir como fornecer a política e definir valores variáveis e simular uma chamada de API para ver se ela é permitida ou negada. O exemplo a seguir mostra uma política que permite acesso ao banco de dados somente após uma data e hora especificadas. A simulação é bem-sucedida porque as ações simuladas e a aws:CurrentTime variável especificada atendem aos requisitos da política.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2019-04-25T11:00:00Z',ContextKeyType=date"

Saída:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "PolicyInputList.1",
                    "StartPosition": {
                        "Line": 1,
                        "Column": 38
                    },
                    "EndPosition": {
                        "Line": 1,
                        "Column": 167
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Exemplo 2: simular um comando proibido pela política

O simulate-custom-policy exemplo a seguir mostra os resultados da simulação de um comando proibido pela política. Neste exemplo, a data fornecida é anterior à exigida pela condição da política.

aws iam simulate-custom-policy \
    --policy-input-list '{"Version":"2012-10-17","Statement":{"Effect":"Allow","Action":"dynamodb:*","Resource":"*","Condition":{"DateGreaterThan":{"aws:CurrentTime":"2018-08-16T12:00:00Z"}}}}' \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2014-04-25T11:00:00Z',ContextKeyType=date"

Saída:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Para obter mais informações, consulte Testar as políticas do IAM com o simulador de políticas do IAM no AWS Guia do usuário do IAM.

• Para ver detalhes da API, consulte SimulateCustomPolicy na Referência de comandos da AWS CLI.

simulate-principal-policy

O código de exemplo a seguir mostra como usar simulate-principal-policy.

AWS CLI

Exemplo 1: simular os efeitos de uma política arbitrária do IAM

Veja a simulate-principal-policy seguir como simular um usuário chamando uma ação de API e determinando se as políticas associadas a esse usuário permitem ou negam a ação. No exemplo a seguir, o usuário tem uma política que permite somente a codecommit:ListRepositories ação.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names codecommit:ListRepositories

Saída:

{
    "EvaluationResults": [
        {
            "EvalActionName": "codecommit:ListRepositories",
            "EvalResourceName": "*",
            "EvalDecision": "allowed",
            "MatchedStatements": [
                {
                    "SourcePolicyId": "Grant-Access-To-CodeCommit-ListRepo",
                    "StartPosition": {
                        "Line": 3,
                        "Column": 19
                    },
                    "EndPosition": {
                        "Line": 9,
                        "Column": 10
                    }
                }
            ],
            "MissingContextValues": []
        }
    ]
}

Exemplo 2: simular os efeitos de um comando proibido

O simulate-custom-policy exemplo a seguir mostra os resultados da simulação de um comando proibido por uma das políticas do usuário. No exemplo a seguir, o usuário tem uma política que permite o acesso a um banco de dados do DynamoDB somente após uma determinada data e hora. A simulação mostra o usuário tentando acessar o banco de dados com um aws:CurrentTime valor anterior ao permitido pela condição da política.

aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/alejandro \
    --action-names dynamodb:CreateBackup \
    --context-entries "ContextKeyName='aws:CurrentTime',ContextKeyValues='2018-04-25T11:00:00Z',ContextKeyType=date"

Saída:

{
    "EvaluationResults": [
        {
            "EvalActionName": "dynamodb:CreateBackup",
            "EvalResourceName": "*",
            "EvalDecision": "implicitDeny",
            "MatchedStatements": [],
            "MissingContextValues": []
        }
    ]
}

Para obter mais informações, consulte Testar as políticas do IAM com o simulador de políticas do IAM no AWS Guia do usuário do IAM.

• Para ver detalhes da API, consulte SimulatePrincipalPolicy na Referência de comandos da AWS CLI.

tag-instance-profile

O código de exemplo a seguir mostra como usar tag-instance-profile.

AWS CLI

Adicionar uma marcação a um perfil de instância

O comando tag-instance-profile a seguir adiciona uma marcação com o nome do Departamento ao perfil de instância especificado.

aws iam tag-instance-profile \
    --instance-profile-name deployment-role \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte TagInstanceProfile na Referência de comandos da AWS CLI.

tag-mfa-device

O código de exemplo a seguir mostra como usar tag-mfa-device.

AWS CLI

Adicionar uma marcação a um dispositivo de MFA

O comando tag-mfa-device a seguir adiciona uma marcação com o nome do departamento ao dispositivo de MFA especificado.

aws iam tag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte TagMfaDevice na Referência de comandos da AWS CLI.

tag-open-id-connect-provider

O código de exemplo a seguir mostra como usar tag-open-id-connect-provider.

AWS CLI

Adicionar uma marcação a um provedor de identidades compatível com OpenID Connect (OIDC)

O comando tag-open-id-connect-provider a seguir adiciona uma marcação com o nome do Departamento ao provedor de identidades compatível com OIDC especificado.

aws iam tag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte TagOpenIdConnectProvider na Referência de comandos da AWS CLI.

tag-policy

O código de exemplo a seguir mostra como usar tag-policy.

AWS CLI

Adicionar uma marcação a uma política gerenciada pelo cliente

O comando tag-policy a seguir adiciona uma marcação com o nome do Departamento à política gerenciada pelo cliente.

aws iam tag-policy \
    --policy-arn arn:aws:iam::123456789012:policy/billing-access \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte TagPolicy na Referência de comandos da AWS CLI.

tag-role

O código de exemplo a seguir mostra como usar tag-role.

AWS CLI

Adicionar uma tag a um perfil

O comando tag-role a seguir adiciona uma tag com o nome do Departamento ao perfil especificado.

aws iam tag-role --role-name my-role \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte TagRole na Referência de comandos da AWS CLI.

tag-saml-provider

O código de exemplo a seguir mostra como usar tag-saml-provider.

AWS CLI

Adicionar uma marcação a um provedor de SAML

O comando tag-saml-provider a seguir adiciona uma marcação com o nome do Departamento ao provedor de SAML especificado.

aws iam tag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Consulte detalhes da API em TagSamlProvider na AWS CLI Referência de comando.

tag-server-certificate

O código de exemplo a seguir mostra como usar tag-server-certificate.

AWS CLI

Adicionar uma marcação a um certificado

O comando tag-saml-provider a seguir adiciona uma marcação com o nome do Departamento ao certificado de servidor especificado.

aws iam tag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tags '[{"Key": "Department", "Value": "Accounting"}]'

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes sobre a API, consulte TagServerCertificate na Referência de comandos da AWS CLI.

tag-user

O código de exemplo a seguir mostra como usar tag-user.

AWS CLI

Adicionar uma tag a um usuário

O comando tag-user a seguir adiciona uma tag com o Departamento associado ao usuário especificado.

aws iam tag-user \
    --user-name alice \
    --tags '{"Key": "Department", "Value": "Accounting"}'

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte TagUser na Referência de comandos da AWS CLI.

untag-instance-profile

O código de exemplo a seguir mostra como usar untag-instance-profile.

AWS CLI

Remover uma marcação de um perfil de instância‭

O comando untag-instance-profile a seguir remove qualquer marcação com o nome-chave 'Departamento' do perfil de instância especificado.

aws iam untag-instance-profile \
    --instance-profile-name deployment-role \
    --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes sobre a API, consulte UntagInstanceProfile na AWS CLI Referência de comando.

untag-mfa-device

O código de exemplo a seguir mostra como usar untag-mfa-device.

AWS CLI

Remover uma marcação de um dispositivo de MFA

O comando untag-mfa-device a seguir remove qualquer marcação com o nome-chave 'Departamento' do dispositivo de MFA especificado.

aws iam untag-mfa-device \
    --serial-number arn:aws:iam::123456789012:mfa/alice \
    --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte UntagMfaDevice na Referência de Comandos da AWS CLI.

untag-open-id-connect-provider

O código de exemplo a seguir mostra como usar untag-open-id-connect-provider.

AWS CLI

Remover marcações de um provedor de identidade OIDC

O comando untag-open-id-connect-provider a seguir remove qualquer marcação com o nome-chave 'Departamento' do provedor de identidade OIDC especificado.

aws iam untag-open-id-connect-provider \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/server.example.com \
    --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte UntagOpenIdConnectProvider na Referência de comandos da AWS CLI.

untag-policy

O código de exemplo a seguir mostra como usar untag-policy.

AWS CLI

Remover uma marcação de uma política gerenciada pelo cliente

O comando untag-policy a seguir remove qualquer marcação com o nome-chave 'Departamento' da política gerenciada pelo cliente específica.

aws iam untag-policy \
    --policy-arn arn:aws:iam::452925170507:policy/billing-access \
    --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte UntagPolicy na Referência de comandos da AWS CLI.

untag-role

O código de exemplo a seguir mostra como usar untag-role.

AWS CLI

Remover uma tag de um perfil

O comando untag-role a seguir remove qualquer tag com o nome de chave 'Department' do perfil especificado.

aws iam untag-role \
    --role-name my-role \
    --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UntagRole na Referência de comandos da AWS CLI.

untag-saml-provider

O código de exemplo a seguir mostra como usar untag-saml-provider.

AWS CLI

Remover uma marcação de um provedor SAML

O comando untag-saml-provider a seguir remove qualquer marcação com o nome-chave 'Departamento' do perfil de instância especificado.

aws iam untag-saml-provider \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/ADFS \
    --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte UntagSamlProvider na Referência de comandos da AWS CLI.

untag-server-certificate

O código de exemplo a seguir mostra como usar untag-server-certificate.

AWS CLI

Remover uma marcação de um certificado de servidor

O comando untag-server-certificate a seguir remove qualquer marcação com o nome-chave 'Departamento' do certificado de servidor especificado.

aws iam untag-server-certificate \
    --server-certificate-name ExampleCertificate \
    --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte UntagServerCertificate na Referência de comandos da AWS CLI.

untag-user

O código de exemplo a seguir mostra como usar untag-user.

AWS CLI

Remover uma tag de um usuário

O comando untag-user a seguir remove qualquer tag com o nome de chave 'Department' do usuário especificado.

aws iam untag-user \
    --user-name alice \
    --tag-keys Department

Este comando não produz saída.

Para obter mais informações, consulte Recursos de tags do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UntagUser na Referência de comandos da AWS CLI.

update-access-key

O código de exemplo a seguir mostra como usar update-access-key.

AWS CLI

Como ativar ou desativar uma chave de acesso para um usuário do IAM

O comando update-access-key, apresentado a seguir, desativa a chave de acesso especificada (ID da chave de acesso e chave de acesso secreta) para o usuário do IAM denominado Bob.

aws iam update-access-key \
    --access-key-id AKIAIOSFODNN7EXAMPLE \
    --status Inactive \
    --user-name Bob

Este comando não produz saída.

A desativação da chave significa que ela não pode ser usada para acesso programático à AWS. No entanto, a chave continua disponível e pode ser ativada novamente.

Para obter mais informações, consulte Gerenciamento de chaves de acesso de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateAccessKey na Referência de comandos da AWS CLI.

update-account-password-policy

O código de exemplo a seguir mostra como usar update-account-password-policy.

AWS CLI

Definir ou alterar a política de senha da conta atual

O comando update-account-password-policy a seguir define a política de senha para exigir um mínimo de oito caracteres e um ou mais números na senha.

aws iam update-account-password-policy \
    --minimum-password-length 8 \
    --require-numbers

Este comando não produz saída.

As alterações na política de senha de uma conta afetam todas as novas senhas criadas para usuários do IAM na conta. As alterações na política de senha não afetam as senhas existentes.

Para obter mais informações, consulte Definição de uma política de senhas de contas para usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateAccountPasswordPolicy na Referência de comandos da AWS CLI.

update-assume-role-policy

O código de exemplo a seguir mostra como usar update-assume-role-policy.

AWS CLI

Atualizar a política de confiança de um perfil do IAM

O comando update-assume-role-policy a seguir atualiza a política de confiança do perfil denominado Test-Role.

aws iam update-assume-role-policy \
    --role-name Test-Role \
    --policy-document file://Test-Role-Trust-Policy.json

Este comando não produz saída.

A política de confiança é definida como um documento JSON no arquivo Test-Role-Trust-Policy.json. (O nome e a extensão do arquivo não têm significado.) A política de confiança deve especificar uma entidade principal.

Para atualizar a política de permissões de um perfil, use o comando put-role-policy.

Para obter mais informações, consulte Criação de perfis do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateAssumeRolePolicy na Referência de comandos da AWS CLI.

update-group

O código de exemplo a seguir mostra como usar update-group.

AWS CLI

Para renomear um grupo do IAM

O comando update-group a seguir altera o nome do grupo do IAM Test para Test-1.

aws iam update-group \
    --group-name Test \
    --new-group-name Test-1

Este comando não produz saída.

Para obter mais informações, consulte Renomeação de um grupo de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateGroup na Referência de comandos da AWS CLI.

update-login-profile

O código de exemplo a seguir mostra como usar update-login-profile.

AWS CLI

Atualizar a senha de um usuário do IAM

O comando update-login-profile a seguir cria uma senha para o usuário do IAM chamado Bob.

aws iam update-login-profile \
    --user-name Bob \
    --password <password>

Este comando não produz saída.

Para definir uma política de senha da conta, use o comando update-account-password-policy. Se a nova senha violar a política de senha da conta, o comando retornará um erro PasswordPolicyViolation.

Se a política de senha da conta permitir, os usuários do IAM poderão alterar suas próprias senhas usando o comando change-password.

Armazene a senha em um lugar seguro. Se a senha for perdida, não será possível recuperá-la e você deverá criar uma nova usando o comando create-login-profile.

Para obter mais informações, consulte Gerenciamento de senhas de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateLoginProfile na Referência de comandos da AWS CLI.

update-open-id-connect-provider-thumbprint

O código de exemplo a seguir mostra como usar update-open-id-connect-provider-thumbprint.

AWS CLI

Para substituir a lista existente de impressões digitais do certificado de servidor por uma nova

Este exemplo atualiza a lista de impressões digitais do certificado do provedor OIDC cujo ARN é arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com, a fim de usar uma nova impressão digital.

aws iam update-open-id-connect-provider-thumbprint \
    --open-id-connect-provider-arn arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com \
    --thumbprint-list 7359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Este comando não produz saída.

Para obter mais informações, consulte Criar provedores de identidade OpenID Connect (OIDC) no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateOpenIdConnectProviderThumbprint na Referência de comandos da AWS CLI.

update-role-description

O código de exemplo a seguir mostra como usar update-role-description.

AWS CLI

Alterar a descrição de um perfil do IAM

O comando update-role a seguir altera a descrição do perfil do IAM production-role para Main production role.

aws iam update-role-description \
    --role-name production-role \
    --description 'Main production role'

Saída:

{
    "Role": {
        "Path": "/",
        "RoleName": "production-role",
        "RoleId": "AROA1234567890EXAMPLE",
        "Arn": "arn:aws:iam::123456789012:role/production-role",
        "CreateDate": "2017-12-06T17:16:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {}
                }
            ]
        },
        "Description": "Main production role"
    }
}

Para obter mais informações, consulte Modificar um perfil no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateRoleDescription na Referência de comandos da AWS CLI.

update-role

O código de exemplo a seguir mostra como usar update-role.

AWS CLI

Alterar a descrição ou a duração da sessão de um perfil do IAM

O comando update-role a seguir altera a descrição do perfil do IAM production-role para Main production role e define a duração máxima da sessão como 12 horas.

aws iam update-role \
    --role-name production-role \
    --description 'Main production role' \
    --max-session-duration 43200

Este comando não produz saída.

Para obter mais informações, consulte Modificar um perfil no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateRole na Referência de comandos da AWS CLI.

update-saml-provider

O código de exemplo a seguir mostra como usar update-saml-provider.

AWS CLI

Atualizar o documento de metadados de um provedor SAML existente

Este exemplo atualiza o provedor SAML no IAM cujo ARN é arn:aws:iam::123456789012:saml-provider/SAMLADFS com um novo documento de metadados SAML do arquivo SAMLMetaData.xml.

aws iam update-saml-provider \
    --saml-metadata-document file://SAMLMetaData.xml \
    --saml-provider-arn arn:aws:iam::123456789012:saml-provider/SAMLADFS

Saída:

{
    "SAMLProviderArn": "arn:aws:iam::123456789012:saml-provider/SAMLADFS"
}

Para obter mais informações, consulte Criação de provedores de identidade SAML do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateSamlProvider na Referência de comandos da AWS CLI.

update-server-certificate

O código de exemplo a seguir mostra como usar update-server-certificate.

AWS CLI

Como alterar o caminho ou o nome de um certificado de servidor em sua conta da AWS

O comando update-server-certificate, apresentado a seguir, altera o nome do certificado de myServerCertificate para myUpdatedServerCertificate. Além disso, ele altera o caminho para /cloudfront/ com a finalidade de que ele possa ser acessado pelo serviço do Amazon CloudFront. Este comando não produz saída. É possível visualizar os resultados da atualização ao executar o comando list-server-certificates.

aws-iam update-server-certificate \
    --server-certificate-name myServerCertificate \
    --new-server-certificate-name myUpdatedServerCertificate \
    --new-path /cloudfront/

Este comando não produz saída.

Para obter mais informações, consulte Gerenciar certificados de servidor no IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateServerCertificate na Referência de comandos da AWS CLI.

update-service-specific-credential

O código de exemplo a seguir mostra como usar update-service-specific-credential.

AWS CLI

Exemplo 1: atualizar o status da credencial específica do serviço do usuário solicitante

O exemplo update-service-specific-credential a seguir altera o status da credencial específica para o usuário que está fazendo a solicitação a Inactive.

aws iam update-service-specific-credential \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Este comando não produz saída.

Exemplo 2: atualizar o status da credencial específica do serviço do usuário especificado

O exemplo update-service-specific-credential a seguir altera o status da credencial do usuário específico para Inativo.

aws iam update-service-specific-credential \
    --user-name sofia \
    --service-specific-credential-id ACCAEXAMPLE123EXAMPLE \
    --status Inactive

Este comando não produz saída.

Para obter mais informações, consulte Criar credenciais do Git para conexões HTTPS com o CodeCommit no Guia do usuário do AWS CodeCommit

• Para ver detalhes da API, consulte UpdateServiceSpecificCredential na Referência de comandos da AWS CLI.

update-signing-certificate

O código de exemplo a seguir mostra como usar update-signing-certificate.

AWS CLI

Ativar ou desativar um certificado de assinatura de um usuário do IAM

O comando update-signing-certificate a seguir desativa o certificado de assinatura especificado do usuário do IAM chamado Bob.

aws iam update-signing-certificate \
    --certificate-id TA7SMP42TDN5Z26OBPJE7EXAMPLE \
    --status Inactive \
    --user-name Bob

Para obter o ID de um certificado de assinatura, use o comando list-signing-certificates.

Para obter mais informações, consulte Manage signing certificates no Guia do usuário do Amazon EC2.

• Para obter detalhes da API, consulte UpdateSigningCertificate na Referência de comandos da AWS CLI.

update-ssh-public-key

O código de exemplo a seguir mostra como usar update-ssh-public-key.

AWS CLI

Alterar o status de uma chave pública SSH

O comando update-ssh-public-key a seguir altera o status da chave pública especificada para Inactive.

aws iam update-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-id APKA1234567890EXAMPLE \
    --status Inactive

Este comando não produz saída.

Para obter mais informações, consulte Usar chaves SSH com o CodeCommit no Guia do usuário do AWS IAM.

• Para ver detalhes da API, consulte UpdateSshPublicKey na Referência de comandos da AWS CLI.

update-user

O código de exemplo a seguir mostra como usar update-user.

AWS CLI

Como alterar o nome de um usuário do IAM

O comando update-user, apresentado a seguir, altera o nome do usuário do IAM de Bob para Robert.

aws iam update-user \
    --user-name Bob \
    --new-user-name Robert

Este comando não produz saída.

Para obter mais informações, consulte Renomeação de um grupo de usuários do IAM no Guia do usuário do AWS IAM.

• Para obter detalhes da API, consulte UpdateUser na Referência de comandos da AWS CLI.

upload-server-certificate

O código de exemplo a seguir mostra como usar upload-server-certificate.

AWS CLI

Como fazer upload de um certificado de servidor para sua conta da AWS

O comando upload-server-certificate, apresentado a seguir, faz o upload de um certificado de servidor para sua conta da AWS. Neste exemplo, o certificado está no arquivo public_key_cert_file.pem, a chave privada associada está no arquivo my_private_key.pem e a cadeia de certificados fornecida pela autoridade de certificação (CA) está no arquivo my_certificate_chain_file.pem. Quando o upload do arquivo for concluído, ele estará disponível com o nome myServerCertificate. Os parâmetros que começam com file:// informam ao comando para ler o conteúdo do arquivo e usá-lo como valor do parâmetro em vez do próprio nome do arquivo.

aws iam upload-server-certificate \
    --server-certificate-name myServerCertificate \
    --certificate-body file://public_key_cert_file.pem \
    --private-key file://my_private_key.pem \
    --certificate-chain file://my_certificate_chain_file.pem

Saída:

{
    "ServerCertificateMetadata": {
        "Path": "/",
        "ServerCertificateName": "myServerCertificate",
        "ServerCertificateId": "ASCAEXAMPLE123EXAMPLE",
        "Arn": "arn:aws:iam::1234567989012:server-certificate/myServerCertificate",
        "UploadDate": "2019-04-22T21:13:44+00:00",
        "Expiration": "2019-10-15T22:23:16+00:00"
    }
}

Para obter mais informações, consulte Creating, Uploading, and Deleting Server Certificates no guia Using IAM.

• Para obter detalhes da API, consulte UploadServerCertificate na Referência de comandos da AWS CLI.

upload-signing-certificate

O código de exemplo a seguir mostra como usar upload-signing-certificate.

AWS CLI

Fazer upload de um certificado de assinatura de um usuário do IAM

O comando upload-signing-certificate a seguir faz upload de um certificado de assinatura do usuário do IAM chamado Bob.

aws iam upload-signing-certificate \
    --user-name Bob \
    --certificate-body file://certificate.pem

Saída:

{
    "Certificate": {
        "UserName": "Bob",
        "Status": "Active",
        "CertificateBody": "-----BEGIN CERTIFICATE-----<certificate-body>-----END CERTIFICATE-----",
        "CertificateId": "TA7SMP42TDN5Z26OBPJE7EXAMPLE",
        "UploadDate": "2013-06-06T21:40:08.121Z"
    }
}

O certificado está em um arquivo denominado certificate.pem no formato PEM.

Para obter mais informações, consulte Creating and Uploading a User Signing Certificate no guia Uso do IAM.

• Para obter detalhes da API, consulte UploadSigningCertificate na Referência de comandos da AWS CLI.

upload-ssh-public-key

O código de exemplo a seguir mostra como usar upload-ssh-public-key.

AWS CLI

Fazer upload de uma chave SSH pública e associá-la a um usuário

O comando upload-ssh-public-key a seguir carrega a chave pública encontrada no arquivo sshkey.pub e a anexa ao usuário sofia.

aws iam upload-ssh-public-key \
    --user-name sofia \
    --ssh-public-key-body file://sshkey.pub

Saída:

{
    "SSHPublicKey": {
        "UserName": "sofia",
        "SSHPublicKeyId": "APKA1234567890EXAMPLE",
        "Fingerprint": "12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef",
        "SSHPublicKeyBody": "ssh-rsa <<long string generated by ssh-keygen command>>",
        "Status": "Active",
        "UploadDate": "2019-04-18T17:04:49+00:00"
    }
}

Para obter mais informações sobre como gerar chaves em um formato adequado para esse comando, consulte SSH e Linux, macOS ou Unix: configurar as chaves públicas e privadas para o Git e o CodeCommit ou SSH e Windows: configurar as chaves públicas e privadas para o Git e o CodeCommit no Guia do usuário do AWS CodeCommit.

• Para ver detalhes da API, consulte UploadSshPublicKey na Referência de comandos da AWS CLI.