本文档仅适用于 AWS CLI 版本 1。有关 AWS CLI 版本 2 的相关文档,请参阅版本 2 用户指南。
| AWS Identity and Access Management 简介 |
|---|
|
|
您可以使用 AWS Command Line Interface (AWS CLI) 访问 AWS Identity and Access Management (IAM) 的功能。要列出 IAM 的 AWS CLI 命令,请使用以下命令。
aws iam help
本主题显示执行 IAM 常见任务的 AWS CLI 命令。
在运行任何命令之前,请设置默认证书。有关更多信息,请参阅 配置 AWS CLI 设置。
有关 IAM 服务的更多信息,请参阅 AWS Identity and Access Management 用户指南。
创建 IAM 用户和组
创建组并向其中添加新用户
-
使用
create-group命令创建组。$aws iam create-group --group-nameMyIamGroup{ "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52.834Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" } } -
使用
create-user命令创建用户。$aws iam create-user --user-nameMyUser{ "User": { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02.581Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } } -
使用
add-user-to-group命令将用户添加到组。$aws iam add-user-to-group --user-nameMyUser--group-nameMyIamGroup -
要验证
MyIamGroup组包含MyUser,请使用get-group命令。$aws iam get-group --group-nameMyIamGroup{ "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" }, "Users": [ { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } ], "IsTruncated": "false" }
将 IAM 托管式策略附加到用户
此示例中的策略为用户提供“高级用户访问”。
将 IAM 托管式策略附加到用户
-
确定要附加的策略的 Amazon 资源名称 (ARN)。以下命令使用
list-policies查找具有名称PowerUserAccess的策略的 ARN。然后,它会将该 ARN 存储在环境变量中。$exportPOLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text) ~$echo $POLICYARNarn:aws:iam::aws:policy/PowerUserAccess -
要附加策略,请使用
attach-user-policyattach-user-policy命令,并引用存放策略 ARN 的环境变量。 $aws iam attach-user-policy --user-nameMyUser--policy-arn $POLICYARN -
通过运行
list-attached-user-policies命令验证策略已附加到此用户。$aws iam list-attached-user-policies --user-nameMyUser{ "AttachedPolicies": [ { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" } ] }
有关更多信息,请参阅 访问管理资源。该主题提供权限和策略概览的链接以及用于访问 Amazon S3、Amazon EC2 和其他服务的示例策略的链接。
为 IAM 用户设置初始密码
以下命令使用 create-login-profile 为指定用户设置初始密码。当用户首次登录时,用户需要将密码更改为只有用户知道的内容。
$aws iam create-login-profile --user-nameMyUser--passwordMy!User1Login8P@ssword--password-reset-required{ "LoginProfile": { "UserName": "MyUser", "CreateDate": "2018-12-14T17:27:18Z", "PasswordResetRequired": true } }
您可以使用 update-login-profile 命令更改用户的密码。
$aws iam update-login-profile --user-nameMyUser--passwordMy!User1ADifferentP@ssword
为 IAM 用户创建访问密钥
您可以使用 create-access-key 命令为用户创建访问密钥。访问密钥是一组安全凭证,由访问密钥 ID 和私有密钥组成。
用户一次只能创建两个访问密钥。如果您尝试创建第三组,则命令返回 LimitExceeded 错误。
$aws iam create-access-key --user-nameMyUser{ "AccessKey": { "UserName": "MyUser", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE", "Status": "Active", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "CreateDate": "2018-12-14T17:34:16Z" } }
使用 delete-access-key 命令为用户删除访问密钥。使用访问密钥 ID 指定要删除的访问密钥。
$aws iam delete-access-key --user-nameMyUser--access-key-id AKIAIOSFODNN7EXAMPLE
