Credenziali Creazione di una policy Collegamento di una policy a un ruolo Collegamento di una policy a un utente Allega una politica a un gruppo Scollegare una politica utente Scollegare una politica di gruppo Eliminazione di una policy Eliminazione di una policy del ruolo Eliminare una politica utente Eliminazione di una policy di gruppo

Utilizzo delle policy IAM con AWS SDK for PHP la versione 3

È possibile concedere autorizzazioni a un utente mediante la creazione di una policy. Una policy è un documento che elenca le azioni che un utente può eseguire e le risorse che tali azioni possono influenzare. Per impostazione predefinita, le azioni o le risorse che non sono esplicitamente consentite sono negate. Le policy possono essere create e collegate a utenti, gruppi di utenti, ruoli assunti da utenti e risorse.

Gli esempi seguenti mostrano come:

Crea una politica gestita utilizzando CreatePolicy.
Allega una policy a un ruolo utilizzando AttachRolePolicy.
Allega una policy a un utente utilizzando AttachUserPolicy.
Allega una policy a un gruppo utilizzando AttachGroupPolicy.
Rimuovi una politica di ruolo utilizzando DetachRolePolicy.
Rimuovi una politica utente utilizzando DetachUserPolicy.
Rimuovi una politica di gruppo utilizzando DetachGroupPolicy.
Eliminare una politica gestita utilizzando DeletePolicy.
Eliminare una politica di ruolo utilizzando DeleteRolePolicy.
Eliminare una politica utente utilizzando DeleteUserPolicy.
Eliminare una politica di gruppo utilizzando DeleteGroupPolicy.

Tutto il codice di esempio per il AWS SDK for PHP è disponibile qui GitHub.

Credenziali

Prima di eseguire il codice di esempio, configurate AWS le vostre credenziali, come descritto inCredenziali. Quindi importate il fileAWS SDK for PHP, come descritto inUtilizzo di base.

Creazione di una policy

Importazioni


require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$myManagedPolicy = '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "RESOURCE_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
            "dynamodb:DeleteItem",
            "dynamodb:GetItem",
            "dynamodb:PutItem",
            "dynamodb:Scan",
            "dynamodb:UpdateItem"
        ],
            "Resource": "RESOURCE_ARN"
        }
    ]
}';

try {
    $result = $client->createPolicy(array(
        // PolicyName is required
        'PolicyName' => 'myDynamoDBPolicy',
        // PolicyDocument is required
        'PolicyDocument' => $myManagedPolicy
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Collegamento di una policy a un ruolo

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$roleName = 'ROLE_NAME';

$policyName = 'AmazonDynamoDBFullAccess';

$policyArn = 'arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess';

try {
    $attachedRolePolicies = $client->getIterator('ListAttachedRolePolicies', ([
        'RoleName' => $roleName,
    ]));
    if (count($attachedRolePolicies) > 0) {
        foreach ($attachedRolePolicies as $attachedRolePolicy) {
            if ($attachedRolePolicy['PolicyName'] == $policyName) {
                echo $policyName . " is already attached to this role. \n";
                exit();
            }
        }
    }
    $result = $client->attachRolePolicy(array(
        // RoleName is required
        'RoleName' => $roleName,
        // PolicyArn is required
        'PolicyArn' => $policyArn
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Collegamento di una policy a un utente

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$userName = 'USER_NAME';

$policyName = 'AmazonDynamoDBFullAccess';

$policyArn = 'arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess';

try {
    $attachedUserPolicies = $client->getIterator('ListAttachedUserPolicies', ([
        'UserName' => $userName,
    ]));
    if (count($attachedUserPolicies) > 0) {
        foreach ($attachedUserPolicies as $attachedUserPolicy) {
            if ($attachedUserPolicy['PolicyName'] == $policyName) {
                echo $policyName . " is already attached to this role. \n";
                exit();
            }
        }
    }
    $result = $client->attachUserPolicy(array(
        // UserName is required
        'UserName' => $userName,
        // PolicyArn is required
        'PolicyArn' => $policyArn,
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Allega una politica a un gruppo

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->attachGroupPolicy(array(
        // GroupName is required
        'GroupName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Scollegare una politica utente

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->detachUserPolicy([
        // UserName is required
        'UserName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Scollegare una politica di gruppo

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->detachGroupPolicy([
        // GroupName is required
        'GroupName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Eliminazione di una policy

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deletePolicy(array(
        // PolicyArn is required
        'PolicyArn' => 'string'
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Eliminazione di una policy del ruolo

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteRolePolicy([
        // RoleName is required
        'RoleName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string'
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Eliminare una politica utente

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteUserPolicy([
        // UserName is required
        'UserName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Eliminazione di una policy di gruppo

Importazioni



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Codice di esempio


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteGroupPolicy(array(
        // GroupName is required
        'GroupName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string',
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo degli alias degli account IAM

Lavorare con i certificati del server IAM