Uso de concesiones mediante la API AWS KMS y la versión 3 de AWS SDK para PHP - AWS SDK para PHP
CredencialesCrear una concesiónVisualización de una concesiónRetirada de una concesiónRevocación de una concesión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de concesiones mediante la API AWS KMS y la versión 3 de AWS SDK para PHP

Una concesión es otro mecanismo para proporcionar permisos. Es una alternativa a la política de claves. Puede utilizar las concesiones para conceder acceso a largo plazo que permita a los administradores principales de AWS utilizar sus claves AWS Key Management Service (AWS KMS) administradas por el cliente AWS KMS keys. Para obtener más información, consulte Concesiones AWS KMS en laAWS Key Management Service Guía para desarrolladores.

Los siguientes ejemplos muestran cómo:

  • Crear una concesión para una clave KMS mediante CreateGrant.

  • Ver una concesión para una clave KMS con ListGrants.

  • Retirar una concesión para una clave KMS con RetireGrant.

  • Revocar una concesión para una clave KMS con RevokeGrant.

Todo el código de ejemplo de AWS SDK para PHP está disponible aquí en GitHub.

Credenciales

Antes de ejecutar el código de ejemplo, configure sus credenciales de AWS, como se indica en Autenticación AWS con la AWS SDK para PHP versión 3. A continuación, importe AWS SDK para PHP, como se indica en Instalación del AWS SDK para PHP versión 3.

Para obtener más información sobre el uso de AWS Key Management Service (AWS KMS), consulte la AWS KMS Guía del desarrollador.

Crear una concesión

Para crear una concesión para una clave KMS de AWS KMS key, use la operación CreateGrant.

Importaciones 


require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra 

$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$granteePrincipal = "arn:aws:iam::111122223333:user/Alice";
$operation = ['Encrypt', 'Decrypt']; // A list of operations that the grant allows.

try {
    $result = $KmsClient->createGrant([
        'GranteePrincipal' => $granteePrincipal,
        'KeyId' => $keyId,
        'Operations' => $operation
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Visualización de una concesión

Para obtener información detallada sobre las concesiones de una AWS KMS key, utilice la operación ListGrants.

Importaciones 


require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra 

$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$limit = 10;

try {
    $result = $KmsClient->listGrants([
        'KeyId' => $keyId,
        'Limit' => $limit,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Retirada de una concesión

Para retirar una concesión de una AWS KMS key, utilice la operación RetireGrant. Retire una concesión para efectuar una limpieza cuando termine de utilizarla.

Importaciones 


require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra 

$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$grantToken = 'Place your grant token here';

try {
    $result = $KmsClient->retireGrant([
        'GrantToken' => $grantToken,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

//Can also identify grant to retire by a combination of the grant ID
//and the Amazon Resource Name (ARN) of the customer master key (CMK)
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$grantId = 'Unique identifier of the grant returned during CreateGrant operation';

try {
    $result = $KmsClient->retireGrant([
        'GrantId' => $grantToken,
        'KeyId' => $keyId,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Revocación de una concesión

Para revocar una concesión a una AWS KMS key, utilice la operación RevokeGrant. Puede revocar una concesión para denegar explícitamente las operaciones que dependen de ella.

Importaciones 


require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra 

$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$grantId = "grant1";

try {
    $result = $KmsClient->revokeGrant([
        'KeyId' => $keyId,
        'GrantId' => $grantId,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}