IAM常用命令

IAM IAM Policy MFA
Security
发布日期:   2023-01-24
更新日期:   2024-04-01
文章字数:   319
阅读时长:   1 分
阅读次数:  

IAM常用命令:

# 查看身份
aws sts get-caller-identity

# 过滤策略
policyArn=$(aws iam list-policies --output text --query 'Policies[?PolicyName == `S3-Delete-Bucket-Policy`].Arn')

# 查看策略
aws iam get-policy-version --policy-arn $policyArn --version-id v1

# 给role绑定策略
aws iam attach-role-policy --policy-arn $policyArn --role-name notes-application-role

# 查看role的策略
aws iam list-attached-role-policies --role-name notes-application-role

# 给iam绑定策略
aws iam attach-role-policy --policy-arn $policyArn --user-name notes-application-role

MFA失效

经常会遇到mfa失效的时候,
尝试同步mfa

aws iam resync-mfa-device --user-name kail --serial-number arn:aws-cn:iam::208892152133:mfa/kail --authentication-code1 653006 --authentication-code2 742895

如果同步mfa无效,那么使用CLI删除重新绑定

aws iam deactivate-mfa-device --user-name kail --serial-number arn:aws-cn:iam::208892152133:mfa/kail

基于源 IP 拒绝对Amazon 的访问[^1]

在相应的用户中附件如下策略:

  1. SourceIp 填写您允许的特定IP白名单。
  2. 策略不拒绝 Amazon 服务使用主体的凭证发出的请求, 也就是说可以正常配置aws configure。
  3. 但是从 IP 白名单之外发出请求时(比如aws s3 ls),请求将被拒绝。
    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {"aws:ViaAWSService": "false"}
        }
    }
}

[^1]: Amazon:基于源 IP 拒绝对 Amazon 的访问 - Amazon Identity and Access Management

文章作者: AWS Learner
文章链接: https://awser.netlify.app
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 AWS Learner !
IAM IAM Policy MFA
评论
  目录