IAM常用命令


IAM常用命令:

# 查看身份
aws sts get-caller-identity

# 过滤策略
policyArn=$(aws iam list-policies --output text --query 'Policies[?PolicyName == `S3-Delete-Bucket-Policy`].Arn')

# 查看策略
aws iam get-policy-version --policy-arn $policyArn --version-id v1

# 给role绑定策略
aws iam attach-role-policy --policy-arn $policyArn --role-name notes-application-role

# 查看role的策略
aws iam list-attached-role-policies --role-name notes-application-role

# 给iam绑定策略
aws iam attach-role-policy --policy-arn $policyArn --user-name notes-application-role

MFA失效

经常会遇到mfa失效的时候,
尝试同步mfa

aws iam resync-mfa-device --user-name kail --serial-number arn:aws-cn:iam::208892152133:mfa/kail --authentication-code1 653006 --authentication-code2 742895

如果同步mfa无效,那么使用CLI删除重新绑定

aws iam deactivate-mfa-device --user-name kail --serial-number arn:aws-cn:iam::208892152133:mfa/kail

基于源 IP 拒绝对Amazon 的访问[^1]

在相应的用户中附件如下策略:

  1. SourceIp 填写您允许的特定IP白名单。
  2. 策略不拒绝 Amazon 服务使用主体的凭证发出的请求, 也就是说可以正常配置aws configure。
  3. 但是从 IP 白名单之外发出请求时(比如aws s3 ls),请求将被拒绝。
    {
        "Version": "2012-10-17",
        "Statement": {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "Bool": {"aws:ViaAWSService": "false"}
            }
        }
    }

[^1]: Amazon:基于源 IP 拒绝对 Amazon 的访问 - Amazon Identity and Access Management


文章作者: AWS Learner
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 AWS Learner !
评论
  目录