本文件 AWS CLI 僅適用於 第 1 版。如需 第 2 版的相關文件 AWS CLI,請參閱 第 2 版使用者指南。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
| 簡介 AWS Identity and Access Management |
|---|
|
|
您可以使用 AWS Identity and Access Management () 存取 AWS Command Line Interface (IAM) 的功能AWS CLI。若要列出 IAM 的 AWS CLI 命令,請使用下列命令。
aws iam help
本主題顯示執行 IAM 常見任務的 AWS CLI 命令範例。
在執行任何命令前,請先設定您的預設憑證。如需詳細資訊,請參閱 設定 的設定 AWS CLI。
如需 IAM 服務的詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》。
建立 IAM 使用者與群組
建立群組並在其中新增使用者
-
使用
create-group命令來建立群組。$aws iam create-group --group-nameMyIamGroup{ "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52.834Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" } } -
使用
create-user命令來建立使用者。$aws iam create-user --user-nameMyUser{ "User": { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02.581Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } } -
使用
add-user-to-group命令將使用者新增到該群組。$aws iam add-user-to-group --user-nameMyUser--group-nameMyIamGroup -
如果要確認
MyIamGroup群組是否包含MyUser,請使用get-group命令。$aws iam get-group --group-nameMyIamGroup{ "Group": { "GroupName": "MyIamGroup", "CreateDate": "2018-12-14T03:03:52Z", "GroupId": "AGPAJNUJ2W4IJVEXAMPLE", "Arn": "arn:aws:iam::123456789012:group/MyIamGroup", "Path": "/" }, "Users": [ { "UserName": "MyUser", "Path": "/", "CreateDate": "2018-12-14T03:13:02Z", "UserId": "AIDAJY2PE5XUZ4EXAMPLE", "Arn": "arn:aws:iam::123456789012:user/MyUser" } ], "IsTruncated": "false" }
將 IAM 受管政策連接至使用者
此範例中的政策可提供使用者「進階使用者存取」。
將 IAM 受管政策連接至使用者
-
決定要連接到政策的 Amazon 資源名稱 (ARN)。以下命令使用
list-policies來尋找名稱為PowerUserAccess之政策的 ARN。接著,將 ARN 存放在環境變數中。$exportPOLICYARN=$(aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' --output text) ~$echo $POLICYARNarn:aws:iam::aws:policy/PowerUserAccess -
若要連接政策,請使用
attach-user-policyattach-user-policy命令並參考保留政策 ARN 的環境變數。 $aws iam attach-user-policy --user-nameMyUser--policy-arn $POLICYARN -
執行
list-attached-user-policies命令,確認該政策已連接至使用者。$aws iam list-attached-user-policies --user-nameMyUser{ "AttachedPolicies": [ { "PolicyName": "PowerUserAccess", "PolicyArn": "arn:aws:iam::aws:policy/PowerUserAccess" } ] }
如需詳細資訊,請參閱存取管理資源。此主題提供許可與政策概觀的連結,以及用於存取 Amazon S3、Amazon EC2 和其他服務的政策範例連結。
為 IAM 使用者設定初始密碼
以下命令使用 create-login-profile 來為指定的使用者設定初始密碼。當使用者首次登入時,使用者需要將密碼變更為只有該使用者知道的內容。
$aws iam create-login-profile --user-nameMyUser--passwordMy!User1Login8P@ssword--password-reset-required{ "LoginProfile": { "UserName": "MyUser", "CreateDate": "2018-12-14T17:27:18Z", "PasswordResetRequired": true } }
您可使用 update-login-profile 命令來變更使用者的密碼。
$aws iam update-login-profile --user-nameMyUser--passwordMy!User1ADifferentP@ssword
為 IAM 使用者建立存取金鑰
您可以使用 create-access-key 命令來為使用者建立存取金鑰。存取金鑰是一組安全憑證,包含存取金鑰 ID 和私密金鑰。
一位使用者一次只能建立兩個存取金鑰。若您嘗試建立第三組,命令會傳回 LimitExceeded 錯誤。
$aws iam create-access-key --user-nameMyUser{ "AccessKey": { "UserName": "MyUser", "AccessKeyId": "AKIAIOSFODNN7EXAMPLE", "Status": "Active", "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "CreateDate": "2018-12-14T17:34:16Z" } }
使用 delete-access-key 命令來為使用者刪除存取金鑰。使用存取金鑰 ID 來指定要刪除哪一個存取金鑰。
$aws iam delete-access-key --user-nameMyUser--access-key-id AKIAIOSFODNN7EXAMPLE
