Informations d’identification Créer une politique Attacher une politique à un rôle Attacher une politique à un utilisateur Associer une politique à un groupe Détacher une politique utilisateur Détacher une politique de groupe Supprimer une politique Supprimer une politique de rôle Supprimer une politique utilisateur Supprimer une politique de groupe

Utilisation des politiques IAM avec la AWS SDK for PHP version 3

Vous devez accorder des autorisations à un utilisateur en créant une stratégie. Une stratégie est un document qui répertorie les actions qu'un utilisateur peut effectuer ainsi que les ressources que ces actions peuvent affecter. Les actions ou ressources qui ne sont pas explicitement autorisées sont refusées par défaut. Vous pouvez créer des stratégies et les attacher à des utilisateurs, à des groupes d'utilisateurs, à des rôles pris en charge par des utilisateurs et à des ressources.

Les exemples suivants montrent comment :

Créez une politique gérée à l'aide de CreatePolicy.
Attachez une politique à un rôle à l'aide de AttachRolePolicy.
Attachez une politique à un utilisateur en utilisant AttachUserPolicy.
Attachez une politique à un groupe à l'aide de AttachGroupPolicy.
Supprimez une politique de rôle à l'aide de DetachRolePolicy.
Supprimez une politique utilisateur à l'aide de DetachUserPolicy.
Supprimez une politique de groupe à l'aide de DetachGroupPolicy.
Supprimez une politique gérée à l'aide de DeletePolicy.
Supprimez une politique de rôle à l'aide de DeleteRolePolicy.
Supprimez une politique utilisateur à l'aide de DeleteUserPolicy.
Supprimez une politique de groupe à l'aide de DeleteGroupPolicy.

Tous les exemples de code pour le AWS SDK for PHP sont disponibles ici GitHub.

Informations d’identification

Avant d'exécuter l'exemple de code, configurez vos AWS informations d'identification, comme décrit dansInformations d’identification. Importez ensuite leAWS SDK for PHP, comme décrit dansUtilisation de base.

Créer une politique

Importations


require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$myManagedPolicy = '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "RESOURCE_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
            "dynamodb:DeleteItem",
            "dynamodb:GetItem",
            "dynamodb:PutItem",
            "dynamodb:Scan",
            "dynamodb:UpdateItem"
        ],
            "Resource": "RESOURCE_ARN"
        }
    ]
}';

try {
    $result = $client->createPolicy(array(
        // PolicyName is required
        'PolicyName' => 'myDynamoDBPolicy',
        // PolicyDocument is required
        'PolicyDocument' => $myManagedPolicy
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Attacher une politique à un rôle

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$roleName = 'ROLE_NAME';

$policyName = 'AmazonDynamoDBFullAccess';

$policyArn = 'arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess';

try {
    $attachedRolePolicies = $client->getIterator('ListAttachedRolePolicies', ([
        'RoleName' => $roleName,
    ]));
    if (count($attachedRolePolicies) > 0) {
        foreach ($attachedRolePolicies as $attachedRolePolicy) {
            if ($attachedRolePolicy['PolicyName'] == $policyName) {
                echo $policyName . " is already attached to this role. \n";
                exit();
            }
        }
    }
    $result = $client->attachRolePolicy(array(
        // RoleName is required
        'RoleName' => $roleName,
        // PolicyArn is required
        'PolicyArn' => $policyArn
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Attacher une politique à un utilisateur

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$userName = 'USER_NAME';

$policyName = 'AmazonDynamoDBFullAccess';

$policyArn = 'arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess';

try {
    $attachedUserPolicies = $client->getIterator('ListAttachedUserPolicies', ([
        'UserName' => $userName,
    ]));
    if (count($attachedUserPolicies) > 0) {
        foreach ($attachedUserPolicies as $attachedUserPolicy) {
            if ($attachedUserPolicy['PolicyName'] == $policyName) {
                echo $policyName . " is already attached to this role. \n";
                exit();
            }
        }
    }
    $result = $client->attachUserPolicy(array(
        // UserName is required
        'UserName' => $userName,
        // PolicyArn is required
        'PolicyArn' => $policyArn,
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Associer une politique à un groupe

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->attachGroupPolicy(array(
        // GroupName is required
        'GroupName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Détacher une politique utilisateur

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->detachUserPolicy([
        // UserName is required
        'UserName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Détacher une politique de groupe

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->detachGroupPolicy([
        // GroupName is required
        'GroupName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Supprimer une politique

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deletePolicy(array(
        // PolicyArn is required
        'PolicyArn' => 'string'
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Supprimer une politique de rôle

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteRolePolicy([
        // RoleName is required
        'RoleName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string'
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Supprimer une politique utilisateur

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteUserPolicy([
        // UserName is required
        'UserName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Supprimer une politique de groupe

Importations



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Exemple de code


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteGroupPolicy(array(
        // GroupName is required
        'GroupName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string',
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation d'alias de compte IAM

Utilisation des certificats de serveur IAM