Credenciales Crear una política.Asociación de una política a un rol Asociar una política a un usuario Asociación de una política a un grupo Desasociación de una política de usuario Desasociación de una política de grupo Eliminar una política Eliminación de una política de rol Eliminación de una política de usuario Eliminación de una política de grupo

Uso de políticas IAM con la versión 3 de AWS SDK para PHP

Los permisos a un usuario se conceden mediante la creación de una política. Una política es un documento que incluye una lista de las acciones que puede realizar un usuario y los recursos a los que pueden afectar dichas acciones. De forma predeterminada, todas las acciones o recursos que no se permiten de forma explícita se rechazan. Puede crear políticas y asociarlas a usuarios, a grupos de usuarios, a roles asumidos por usuarios y a recursos.

Los siguientes ejemplos muestran cómo:

Crear una política administrada utilizando CreatePolicy.
Asociar una política a un rol utilizando AttachRolePolicy.
Asociar una política a un usuario utilizando AttachUserPolicy.
Asociar una política a un grupo utilizando AttachGroupPolicy.
Quitar una política de rol utilizando DetachRolePolicy.
Quitar una política de usuario utilizando DetachUserPolicy.
Quitar una política de grupo utilizando DetachGroupPolicy.
Eliminar una política administrada utilizando DeletePolicy.
Eliminar una política de rol utilizando DeleteRolePolicy.
Eliminar una política de usuario utilizando DeleteUserPolicy.
Eliminar una política de grupo utilizando DeleteGroupPolicy.

Todo el código de ejemplo de AWS SDK para PHP está disponible aquí en GitHub.

Credenciales

Antes de ejecutar el código de ejemplo, configure sus credenciales de AWS, como se indica en Autenticación AWS con la AWS SDK para PHP versión 3. A continuación, importe AWS SDK para PHP, como se indica en Instalación del AWS SDK para PHP versión 3.

Crear una política.

Importaciones


require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$myManagedPolicy = '{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "RESOURCE_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
            "dynamodb:DeleteItem",
            "dynamodb:GetItem",
            "dynamodb:PutItem",
            "dynamodb:Scan",
            "dynamodb:UpdateItem"
        ],
            "Resource": "RESOURCE_ARN"
        }
    ]
}';

try {
    $result = $client->createPolicy(array(
        // PolicyName is required
        'PolicyName' => 'myDynamoDBPolicy',
        // PolicyDocument is required
        'PolicyDocument' => $myManagedPolicy
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Asociación de una política a un rol

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$roleName = 'ROLE_NAME';

$policyName = 'AmazonDynamoDBFullAccess';

$policyArn = 'arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess';

try {
    $attachedRolePolicies = $client->getIterator('ListAttachedRolePolicies', ([
        'RoleName' => $roleName,
    ]));
    if (count($attachedRolePolicies) > 0) {
        foreach ($attachedRolePolicies as $attachedRolePolicy) {
            if ($attachedRolePolicy['PolicyName'] == $policyName) {
                echo $policyName . " is already attached to this role. \n";
                exit();
            }
        }
    }
    $result = $client->attachRolePolicy(array(
        // RoleName is required
        'RoleName' => $roleName,
        // PolicyArn is required
        'PolicyArn' => $policyArn
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Asociar una política a un usuario

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$userName = 'USER_NAME';

$policyName = 'AmazonDynamoDBFullAccess';

$policyArn = 'arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess';

try {
    $attachedUserPolicies = $client->getIterator('ListAttachedUserPolicies', ([
        'UserName' => $userName,
    ]));
    if (count($attachedUserPolicies) > 0) {
        foreach ($attachedUserPolicies as $attachedUserPolicy) {
            if ($attachedUserPolicy['PolicyName'] == $policyName) {
                echo $policyName . " is already attached to this role. \n";
                exit();
            }
        }
    }
    $result = $client->attachUserPolicy(array(
        // UserName is required
        'UserName' => $userName,
        // PolicyArn is required
        'PolicyArn' => $policyArn,
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Asociación de una política a un grupo

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->attachGroupPolicy(array(
        // GroupName is required
        'GroupName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Desasociación de una política de usuario

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->detachUserPolicy([
        // UserName is required
        'UserName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Desasociación de una política de grupo

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->detachGroupPolicy([
        // GroupName is required
        'GroupName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Eliminar una política

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deletePolicy(array(
        // PolicyArn is required
        'PolicyArn' => 'string'
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Eliminación de una política de rol

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteRolePolicy([
        // RoleName is required
        'RoleName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string'
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Eliminación de una política de usuario

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteUserPolicy([
        // UserName is required
        'UserName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Eliminación de una política de grupo

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de muestra


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteGroupPolicy(array(
        // GroupName is required
        'GroupName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string',
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de alias de cuenta de IAM

Uso de certificados de servidor de IAM