在 IAM中使用 AWS CLI - AWS Command Line Interface

本文件 AWS CLI 僅適用於 的第 1 版。如需與 第 2 版相關的文件 AWS CLI,請參閱 第 2 版使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 IAM中使用 AWS CLI

簡介 AWS Identity and Access Management

您可以使用 AWS Identity and Access Management (IAM) 存取 AWS Command Line Interface () 的功能AWS CLI。若要列出 的 AWS CLI 命令IAM,請使用下列命令。

aws iam help

本主題顯示執行 常見任務的 AWS CLI 命令範例IAM。

在執行任何命令前,請先設定您的預設憑證。如需詳細資訊,請參閱設定 的設定 AWS CLI

如需 IAM服務的詳細資訊,請參閱 AWS Identity and Access Management 使用者指南

建立 IAM 使用者與群組

建立群組並在其中新增使用者
  1. 使用 create-group 命令來建立群組。

    $ aws iam create-group --group-name MyIamGroup { "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52.834Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" } }
  2. 使用 create-user 命令來建立使用者。

    $ aws iam create-user --user-name MyUser { "User": { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02.581Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } }
  3. 使用 add-user-to-group 命令將使用者新增到該群組。

    $ aws iam add-user-to-group --user-name MyUser --group-name MyIamGroup
  4. 如果要確認 MyIamGroup 群組是否包含 MyUser,請使用 get-group 命令。

    $ aws iam get-group --group-name MyIamGroup { "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" }, "Users": [ { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } ], "IsTruncated": "false" }

將IAM受管政策連接至使用者

此範例中的政策可提供使用者「進階使用者存取」。

將IAM受管政策連接至使用者
  1. 決定要附加的政策的 Amazon Resource Name (ARN)。下列命令使用 list-policies 尋找名為 ARN的政策的 PowerUserAccess。然後,它會將 存放在環境變數ARN中。

    $ export POLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text) ~ $ echo $POLICYARN arn:aws:iam::aws:policy/PowerUserAccess
  2. 若要連接政策,請使用 attach-user-policyattach-user-policy命令,並參考保存政策 的環境變數ARN。

    $ aws iam attach-user-policy --user-name MyUser --policy-arn $POLICYARN
  3. 執行 list-attached-user-policies 命令,確認該政策已連接至使用者。

    $ aws iam list-attached-user-policies --user-name MyUser { "AttachedPolicies": [ { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" } ] }

如需詳細資訊,請參閱存取管理資源。本主題提供許可和政策概觀的連結,以及存取 Amazon S3、Amazon EC2和其他 服務的政策範例連結。

設定IAM使用者的初始密碼

以下命令使用 create-login-profile 來為指定的使用者設定初始密碼。當使用者首次登入時,使用者需要將密碼變更為只有該使用者知道的內容。

$ aws iam create-login-profile --user-name MyUser --password My!User1Login8P@ssword --password-reset-required { "LoginProfile": { "UserName": "MyUser", "CreateDate": "2018-12-14T17:27:18Z", "PasswordResetRequired": true } }

您可使用 update-login-profile 命令來變更使用者的密碼。

$ aws iam update-login-profile --user-name MyUser --password My!User1ADifferentP@ssword

為IAM使用者建立存取金鑰

您可以使用 create-access-key 命令來為使用者建立存取金鑰。存取金鑰是一組安全憑證,包含存取金鑰 ID 和私密金鑰。

一位使用者一次只能建立兩個存取金鑰。若您嘗試建立第三組,命令會傳回 LimitExceeded 錯誤。

$ aws iam create-access-key --user-name MyUser { "AccessKey": { "UserName": "MyUser", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE", "Status": "Active", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "CreateDate": "2018-12-14T17:34:16Z" } }

使用 delete-access-key 命令來為使用者刪除存取金鑰。使用存取金鑰 ID 來指定要刪除哪一個存取金鑰。

$ aws iam delete-access-key --user-name MyUser --access-key-id AKIAIOSFODNN7EXAMPLE