AWS IAM Mavens,
在IAM中,通过CLI或API创建IAM用户时,“Path”变量的用途/用途是什么?
非常感谢!
答案 0 :(得分:7)
IAM中的路径变量用于将相关用户和组分组到唯一的命名空间中,通常用于组织目的。
如果您使用IAM API或AWS命令行界面(AWS CLI)创建IAM实体,您还可以为实体提供可选路径。您可以使用单个路径,也可以将多个路径嵌套,就像它们是文件夹结构一样。例如,您可以使用嵌套路径/ division_abc / subdivision_xyz / product_1234 / engineering /来匹配您公司的组织结构。然后,您可以创建一个策略,以允许该路径中的所有用户访问策略模拟器API。要查看此策略,请参阅IAM:基于用户路径访问Policy Simulator API。有关如何使用路径的其他示例,请参阅IAM ARN。
例如,大型组织可能在路径/ WestRegion / AZ和/ EastRegion / NY中拥有用户。这将与组织的内部部门相对应。
以下是上述文件中的一些例子:
在给定帐户中名为Bob的IAM用户:
arn:aws:iam::123456789012:user/Bob
另一个不同的用户Bob,其路径反映了组织结构图:
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob
IAM小组:
arn:aws:iam::123456789012:group/Developers
具有路径的IAM组:
arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developer
请注意,此元数据不会在控制台中公开。我的猜测是,用户path的使用更适合通常依赖CloudFormation和/或AWS CLI来管理其AWS资源的大型组织或高级用户。例如,--path-prefix是aws iam list-users的参数。
请参阅http://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html