Pla*_*ter 11 amazon-web-services amazon-iam
AWS IAM Mavens,
在IAM中,通过CLI或API创建IAM用户时,"Path"变量的用途/用途是什么?
非常感谢!
Rod*_*o M 11
IAM中的path变量通常用于组织目的,用于将唯一名称空间中的相关用户和组分组。
从友好的名称和路径:
如果您使用IAM API或AWS命令行界面(AWS CLI)创建IAM实体,则还可以为该实体提供可选路径。您可以使用单个路径,也可以嵌套多个路径,就好像它们是文件夹结构一样。例如,您可以使用嵌套路径/ division_abc / subdivision_xyz / product_1234 / engineering /来匹配公司的组织结构。然后,您可以创建一个策略,以允许该路径中的所有用户访问策略模拟器API。要查看此策略,请参阅IAM:访问基于用户路径的Policy Simulator API。有关如何使用路径的其他示例,请参阅IAM ARN。
例如,一个大型组织的路径可能是/ WestRegion / AZ和/ EastRegion / NY。这将对应于组织的内部部门。
以下是上述文档中的一些示例:
一个IAM用户在给定帐户中称为Bob:
arn:aws:iam::123456789012:user/Bob
另一个不同的用户Bob的路径反映了组织结构图:
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob
IAM组:
arn:aws:iam::123456789012:group/Developers
具有路径的IAM组:
arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developer
请注意,此元数据未在控制台中公开。我的猜测是,用户的使用path更适合通常要依靠CloudFormation和/或AWS CLI来管理其AWS资源的大型组织或高级用户。例如,--path-prefix是的参数aws iam list-users。
参见http://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html