Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cree IAM políticas con AWS SDK for Java 2.x
IAMPolicy Builder API
En lugar de crear una IAM política mediante el ensamblaje manual de una JSON cadena o la lectura de un archivo, API proporciona un enfoque del lado del cliente y orientado a los objetos para generar la cadena. JSON Al leer una IAM política existente en JSON formato, la API convierte en una IamPolicy
IAMPolicy Builder API estuvo disponible con la versión 2.20.105 deSDK, así que utilice esa versión o una posterior en su archivo de compilación de Maven. El número de versión más reciente de SDK aparece en Maven Central
En el fragmento siguiente, se muestra un bloque de dependencia de ejemplo para un archivo pom.xml Maven. Esto le permite utilizar el IAM Policy Builder API en su proyecto.
<dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>iam-policy-builder</artifactId> <version>2.27.21</version> </dependency>
Crear un IamPolicy
En esta sección se muestran varios ejemplos de cómo crear políticas mediante el IAM Policy BuilderAPI.
En cada uno de los ejemplos siguientes, comience con el IamPolicy.Builder y añada una o más instrucciones mediante el método addStatement. Siguiendo este patrón, el IamStatement.Builder
Ejemplo: crear una política basada en el tiempo.
El siguiente ejemplo crea una política basada en la identidad que permite la acción GetItem de Amazon DynamoDB entre dos momentos.
public String timeBasedPolicyExample() { IamPolicy policy = IamPolicy.builder() .addStatement(b -> b .effect(IamEffect.ALLOW) .addAction("dynamodb:GetItem") .addResource(IamResource.ALL) .addCondition(b1 -> b1 .operator(IamConditionOperator.DATE_GREATER_THAN) .key("aws:CurrentTime") .value("2020-04-01T00:00:00Z")) .addCondition(b1 -> b1 .operator(IamConditionOperator.DATE_LESS_THAN) .key("aws:CurrentTime") .value("2020-06-30T23:59:59Z"))) .build(); // Use an IamPolicyWriter to write out the JSON string to a more readable format. return policy.toJson(IamPolicyWriter.builder() .prettyPrint(true) .build()); }
La última sentencia del ejemplo anterior devuelve la siguiente JSON cadena.
Para obtener más información sobre este ejemplo, consulte la Guía del usuario de AWS Identity and Access Management .
{ "Version" : "2012-10-17", "Statement" : { "Effect" : "Allow", "Action" : "dynamodb:GetItem", "Resource" : "*", "Condition" : { "DateGreaterThan" : { "aws:CurrentTime" : "2020-04-01T00:00:00Z" }, "DateLessThan" : { "aws:CurrentTime" : "2020-06-30T23:59:59Z" } } }
Ejemplo: especificar varias condiciones
En el ejemplo siguiente se muestra cómo crear una política basada en identidad que permita el acceso a los atributos específicos de DynamoDB. La política contiene dos condiciones.
public String multipleConditionsExample() { IamPolicy policy = IamPolicy.builder() .addStatement(b -> b .effect(IamEffect.ALLOW) .addAction("dynamodb:GetItem") .addAction("dynamodb:BatchGetItem") .addAction("dynamodb:Query") .addAction("dynamodb:PutItem") .addAction("dynamodb:UpdateItem") .addAction("dynamodb:DeleteItem") .addAction("dynamodb:BatchWriteItem") .addResource("arn:aws:dynamodb:*:*:table/table-name") .addConditions(IamConditionOperator.STRING_EQUALS.addPrefix("ForAllValues:"), "dynamodb:Attributes", List.of("column-name1", "column-name2", "column-name3")) .addCondition(b1 -> b1.operator(IamConditionOperator.STRING_EQUALS.addSuffix("IfExists")) .key("dynamodb:Select") .value("SPECIFIC_ATTRIBUTES"))) .build(); return policy.toJson(IamPolicyWriter.builder() .prettyPrint(true).build()); }
La última sentencia del ejemplo anterior devuelve la siguiente JSON cadena.
Para obtener más información sobre este ejemplo consulte la Guía del usuario de AWS Identity and Access Management .
{ "Version" : "2012-10-17", "Statement" : { "Effect" : "Allow", "Action" : [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem" ], "Resource" : "arn:aws:dynamodb:*:*:table/table-name", "Condition" : { "ForAllValues:StringEquals" : { "dynamodb:Attributes" : [ "column-name1", "column-name2", "column-name3" ] }, "StringEqualsIfExists" : { "dynamodb:Select" : "SPECIFIC_ATTRIBUTES" } } }
Ejemplo: especificar entidades principales
En el siguiente ejemplo, se muestra cómo crear una política basada en recursos que deniegue el acceso a un bucket a todas las entidades principales, excepto a las especificadas en la condición.
public String specifyPrincipalsExample() { IamPolicy policy = IamPolicy.builder() .addStatement(b -> b .effect(IamEffect.DENY) .addAction("s3:*") .addPrincipal(IamPrincipal.ALL) .addResource("arn:aws:s3:::BUCKETNAME/*") .addResource("arn:aws:s3:::BUCKETNAME") .addCondition(b1 -> b1 .operator(IamConditionOperator.ARN_NOT_EQUALS) .key("aws:PrincipalArn") .value("arn:aws:iam::444455556666:user/user-name"))) .build(); return policy.toJson(IamPolicyWriter.builder() .prettyPrint(true).build()); }
La última sentencia del ejemplo anterior devuelve la siguiente JSON cadena.
Para obtener más información sobre este ejemplo consulte la Guía del usuario de AWS Identity and Access Management .
{ "Version" : "2012-10-17", "Statement" : { "Effect" : "Deny", "Principal" : "*", "Action" : "s3:*", "Resource" : [ "arn:aws:s3:::BUCKETNAME/*", "arn:aws:s3:::BUCKETNAME" ], "Condition" : { "ArnNotEquals" : { "aws:PrincipalArn" : "arn:aws:iam::444455556666:user/user-name" } } } }
Ejemplo: permitir el acceso entre cuentas
En el siguiente ejemplo, se muestra cómo permitir que otra persona Cuenta de AWS cargue objetos en tu bucket y, al mismo tiempo, conservar el control total del propietario de los objetos cargados.
public String allowCrossAccountAccessExample() { IamPolicy policy = IamPolicy.builder() .addStatement(b -> b .effect(IamEffect.ALLOW) .addPrincipal(IamPrincipalType.AWS, "111122223333") .addAction("s3:PutObject") .addResource("arn:aws:s3:::amzn-s3-demo-bucket/*") .addCondition(b1 -> b1 .operator(IamConditionOperator.STRING_EQUALS) .key("s3:x-amz-acl") .value("bucket-owner-full-control"))) .build(); return policy.toJson(IamPolicyWriter.builder() .prettyPrint(true).build()); }
La última sentencia del ejemplo anterior devuelve la siguiente JSON cadena.
Para más información sobre este ejemplo, consulte la Guía del usuario de Amazon Simple Storage Service.
{ "Version" : "2012-10-17", "Statement" : { "Effect" : "Allow", "Principal" : { "AWS" : "111122223333" }, "Action" : "s3:PutObject", "Resource" : "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition" : { "StringEquals" : { "s3:x-amz-acl" : "bucket-owner-full-control" } } } }
Usa un IamPolicy ancho IAM
Una vez que haya creado una IamPolicy instancia, utilice an IamClient
En el siguiente ejemplo, se crea una política que permite a una IAMidentidad escribir elementos en una tabla de DynamoDB de la cuenta que se especifica con el parámetro. accountID A continuación, la política se carga en forma IAM de cadena. JSON
public String createAndUploadPolicyExample(IamClient iam, String accountID, String policyName) { // Build the policy. IamPolicy policy = IamPolicy.builder() // 'version' defaults to "2012-10-17". .addStatement(IamStatement.builder() .effect(IamEffect.ALLOW) .addAction("dynamodb:PutItem") .addResource("arn:aws:dynamodb:us-east-1:" + accountID + ":table/exampleTableName") .build()) .build(); // Upload the policy. iam.createPolicy(r -> r.policyName(policyName).policyDocument(policy.toJson())); return policy.toJson(IamPolicyWriter.builder().prettyPrint(true).build()); }
El ejemplo siguiente se basa en el anterior. El código descarga la política y la utiliza como base para una nueva política copiando y modificando la declaración. A continuación, se carga la nueva política.
public String createNewBasedOnExistingPolicyExample(IamClient iam, String accountID, String policyName, String newPolicyName) { String policyArn = "arn:aws:iam::" + accountID + ":policy/" + policyName; GetPolicyResponse getPolicyResponse = iam.getPolicy(r -> r.policyArn(policyArn)); String policyVersion = getPolicyResponse.policy().defaultVersionId(); GetPolicyVersionResponse getPolicyVersionResponse = iam.getPolicyVersion(r -> r.policyArn(policyArn).versionId(policyVersion)); // Create an IamPolicy instance from the JSON string returned from IAM. String decodedPolicy = URLDecoder.decode(getPolicyVersionResponse.policyVersion().document(), StandardCharsets.UTF_8); IamPolicy policy = IamPolicy.fromJson(decodedPolicy); /* All IamPolicy components are immutable, so use the copy method that creates a new instance that can be altered in the same method call. Add the ability to get an item from DynamoDB as an additional action. */ IamStatement newStatement = policy.statements().get(0).copy(s -> s.addAction("dynamodb:GetItem")); // Create a new statement that replaces the original statement. IamPolicy newPolicy = policy.copy(p -> p.statements(Arrays.asList(newStatement))); // Upload the new policy. IAM now has both policies. iam.createPolicy(r -> r.policyName(newPolicyName) .policyDocument(newPolicy.toJson())); return newPolicy.toJson(IamPolicyWriter.builder().prettyPrint(true).build()); }
Los ejemplos anteriores utilizan un argumento IamClient que se crea tal y como se muestra en el siguiente fragmento.
IamClient iam = IamClient.builder().region(Region.AWS_GLOBAL).build();
Los ejemplos devuelven las siguientes JSON cadenas.
First example { "Version" : "2012-10-17", "Statement" : { "Effect" : "Allow", "Action" : "dynamodb:PutItem", "Resource" : "arn:aws:dynamodb:us-east-1:111122223333:table/exampleTableName" } } Second example { "Version" : "2012-10-17", "Statement" : { "Effect" : "Allow", "Action" : [ "dynamodb:PutItem", "dynamodb:GetItem" ], "Resource" : "arn:aws:dynamodb:us-east-1:111122223333:table/exampleTableName" } }
