本文件 AWS CLI 僅適用於 的第 1 版。如需與 第 2 版相關的文件 AWS CLI,請參閱 第 2 版使用者指南 。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Identity and Access Management 從 AWS CLI
| 簡介 AWS Identity and Access Management |
|---|
|
|
您可以使用()訪問 AWS Identity and Access Management (IAM)的功能。 AWS Command Line Interface AWS CLI若要列出的 AWS CLI 指令IAM,請使用下列命令。
aws iam help
本主題顯示執行一般工作的 AWS CLI 命令範例IAM。
在執行任何命令前,請先設定您的預設憑證。如需詳細資訊,請參閱配置 AWS CLI。
如需有關IAM服務的詳細資訊,請參閱使AWS Identity and Access Management 用者指南。
建立 IAM 使用者和群組
建立群組並在其中新增使用者
-
使用
create-group命令來建立群組。$aws iam create-group --group-nameMyIamGroup{ "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52.834Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" } } -
使用
create-user命令來建立使用者。$aws iam create-user --user-nameMyUser{ "User": { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02.581Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } } -
使用
add-user-to-group命令將使用者新增到該群組。$aws iam add-user-to-group --user-nameMyUser--group-nameMyIamGroup -
如果要確認
MyIamGroup群組是否包含MyUser,請使用get-group命令。$aws iam get-group --group-nameMyIamGroup{ "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" }, "Users": [ { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } ], "IsTruncated": "false" }
將IAM受管理的策略附加到使用者
此範例中的政策可提供使用者「進階使用者存取」。
將IAM受管理的策略附加到使用者
-
決定要連接之政策的 Amazon 資源名稱 (ARN)。下列命令會用
list-policies來尋找具有名稱的原則PowerUserAccess。ARN然後,它將其存儲ARN在環境變量中。$exportPOLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text) ~$echo $POLICYARNarn:aws:iam::aws:policy/PowerUserAccess -
若要附加原則,請使用
attach-user-policyattach-user-policy指令,並參考保留原則的環境變數ARN。 $aws iam attach-user-policy --user-nameMyUser--policy-arn $POLICYARN -
執行
list-attached-user-policies命令,確認該政策已連接至使用者。$aws iam list-attached-user-policies --user-nameMyUser{ "AttachedPolicies": [ { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" } ] }
如需詳細資訊,請參閱存取管理資源。本主題提供許可和政策概觀的連結,以及存取 Amazon S3、Amazon EC2 和其他服務的政策範例連結。
設定使IAM用者的初始密碼
以下命令使用 create-login-profile 來為指定的使用者設定初始密碼。當使用者首次登入時,使用者需要將密碼變更為只有該使用者知道的內容。
$aws iam create-login-profile --user-nameMyUser--passwordMy!User1Login8P@ssword--password-reset-required{ "LoginProfile": { "UserName": "MyUser", "CreateDate": "2018-12-14T17:27:18Z", "PasswordResetRequired": true } }
您可使用 update-login-profile 命令來變更使用者的密碼。
$aws iam update-login-profile --user-nameMyUser--passwordMy!User1ADifferentP@ssword
為IAM使用者建立存取金鑰
您可以使用 create-access-key 命令來為使用者建立存取金鑰。存取金鑰是一組安全憑證,包含存取金鑰 ID 和私密金鑰。
一位使用者一次只能建立兩個存取金鑰。若您嘗試建立第三組,命令會傳回 LimitExceeded 錯誤。
$aws iam create-access-key --user-nameMyUser{ "AccessKey": { "UserName": "MyUser", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE", "Status": "Active", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "CreateDate": "2018-12-14T17:34:16Z" } }
使用 delete-access-key 命令來為使用者刪除存取金鑰。使用存取金鑰 ID 來指定要刪除哪一個存取金鑰。
$aws iam delete-access-key --user-nameMyUser--access-key-id AKIAIOSFODNN7EXAMPLE
