Credenciais Criar uma política Anexar uma política a uma função Anexar uma política a um usuário Anexar uma política a um grupo Desanexar uma política de usuário Desanexar uma política de grupo Excluir uma política Excluir uma política de perfil Excluir uma política de usuário Excluir uma política de grupo

Trabalhar com políticas do IAM com o AWS SDK for PHP versão 3

Você concede permissões a um usuário criando uma política. Uma política é um documento que lista as ações que um usuário pode executar e os recursos que essas ações podem afetar. Por padrão, todas as ações ou recursos que não são explicitamente permitidos são negados. As políticas podem ser criadas e anexadas aos usuários, grupos de usuários, funções assumidas por usuários e recursos.

Os exemplos a seguir mostram como:

Crie uma política gerenciada usando CreatePolicy.
Anexe uma política a uma função usando AttachRolePolicy.
Anexe uma política a um usuário usando AttachUserPolicy.
Anexe uma política a um grupo usando AttachGroupPolicy.
Remova uma política de função usando DetachRolePolicy.
Remova uma política de usuário usando DetachUserPolicy.
Remova uma política de grupo usando DetachGroupPolicy.
Exclua uma política gerenciada usando DeletePolicy.
Exclua uma política de função usando DeleteRolePolicy.
Exclua uma política de usuário usando DeleteUserPolicy.
Exclua uma política de grupo usando DeleteGroupPolicy.

Todo o código de exemplo para o AWS SDK for PHP está disponível aqui em GitHub.

Credenciais

Antes de executar o código de exemplo, configure suas credenciais da AWS, conforme descrito em Credenciais. Em seguida, importe o AWS SDK for PHP, conforme descrito em Uso básico.

Criar uma política

Importações


require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$myManagedPolicy = '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "RESOURCE_ARN"
        },
        {
            "Effect": "Allow",
            "Action": [
            "dynamodb:DeleteItem",
            "dynamodb:GetItem",
            "dynamodb:PutItem",
            "dynamodb:Scan",
            "dynamodb:UpdateItem"
        ],
            "Resource": "RESOURCE_ARN"
        }
    ]
}';

try {
    $result = $client->createPolicy(array(
        // PolicyName is required
        'PolicyName' => 'myDynamoDBPolicy',
        // PolicyDocument is required
        'PolicyDocument' => $myManagedPolicy
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Anexar uma política a uma função

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$roleName = 'ROLE_NAME';

$policyName = 'AmazonDynamoDBFullAccess';

$policyArn = 'arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess';

try {
    $attachedRolePolicies = $client->getIterator('ListAttachedRolePolicies', ([
        'RoleName' => $roleName,
    ]));
    if (count($attachedRolePolicies) > 0) {
        foreach ($attachedRolePolicies as $attachedRolePolicy) {
            if ($attachedRolePolicy['PolicyName'] == $policyName) {
                echo $policyName . " is already attached to this role. \n";
                exit();
            }
        }
    }
    $result = $client->attachRolePolicy(array(
        // RoleName is required
        'RoleName' => $roleName,
        // PolicyArn is required
        'PolicyArn' => $policyArn
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Anexar uma política a um usuário

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

$userName = 'USER_NAME';

$policyName = 'AmazonDynamoDBFullAccess';

$policyArn = 'arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess';

try {
    $attachedUserPolicies = $client->getIterator('ListAttachedUserPolicies', ([
        'UserName' => $userName,
    ]));
    if (count($attachedUserPolicies) > 0) {
        foreach ($attachedUserPolicies as $attachedUserPolicy) {
            if ($attachedUserPolicy['PolicyName'] == $policyName) {
                echo $policyName . " is already attached to this role. \n";
                exit();
            }
        }
    }
    $result = $client->attachUserPolicy(array(
        // UserName is required
        'UserName' => $userName,
        // PolicyArn is required
        'PolicyArn' => $policyArn,
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Anexar uma política a um grupo

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->attachGroupPolicy(array(
        // GroupName is required
        'GroupName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Desanexar uma política de usuário

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->detachUserPolicy([
        // UserName is required
        'UserName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Desanexar uma política de grupo

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->detachGroupPolicy([
        // GroupName is required
        'GroupName' => 'string',
        // PolicyArn is required
        'PolicyArn' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Excluir uma política

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deletePolicy(array(
        // PolicyArn is required
        'PolicyArn' => 'string'
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Excluir uma política de perfil

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteRolePolicy([
        // RoleName is required
        'RoleName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string'
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Excluir uma política de usuário

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteUserPolicy([
        // UserName is required
        'UserName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string',
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Excluir uma política de grupo

Importações



require 'vendor/autoload.php';

use Aws\Exception\AwsException;
use Aws\Iam\IamClient;

Código de exemplo


$client = new IamClient([
    'profile' => 'default',
    'region' => 'us-west-2',
    'version' => '2010-05-08'
]);

try {
    $result = $client->deleteGroupPolicy(array(
        // GroupName is required
        'GroupName' => 'string',
        // PolicyName is required
        'PolicyName' => 'string',
    ));
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    error_log($e->getMessage());
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar aliases de conta do IAM

Trabalhar com certificados de servidor do IAM