本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立您的第一個 Amazon Verified Permissions 政策存放區
在本教學課程中,假設您是相片共用應用程式的開發人員,而且您正在尋找方法來控制應用程式使用者可以執行的動作。您想要控制誰可以新增、刪除或檢視相片和相簿。您也想要控制使用者可以對其帳戶採取哪些動作。他們可以管理自己的帳戶,朋友的帳戶呢? 若要控制這些動作,您可以建立政策,以根據使用者的身分允許或禁止這些動作。Verified Permissions 提供[政策存放](terminology.md#term-policy-store)區或容器來存放這些政策。
在本教學課程中,我們將逐步解說如何使用 Amazon Verified Permissions 主控台建立範例政策存放區。主控台提供幾個範例政策存放區選項,我們將建立 **PhotoFlash** 政策存放區。此政策存放區允許 *使用者等主體*對相片或相簿等*資源*執行共用等*動作*。
下圖說明委託人 與 之間的關係`User::alice`,以及她可對各種資源採取的動作,也就是她的 PhotoFlash 帳戶、 `VactionPhoto94.jpg` 檔案`alice-favorites-album`、相簿 和使用者群組 `alice-friend-group`。
現在您已了解 **PhotoFlash** 政策存放區,讓我們建立並探索政策存放區。
## 先決條件
### 註冊 AWS 帳戶
若要開始使用 AWS,您需要 AWS 帳戶。如需建立 的相關資訊 AWS 帳戶,請參閱《 *AWS 帳戶管理 參考指南*》中的 [入門 AWS 帳戶](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)。
## 步驟 1:建立 PhotoFlash 政策存放區
在下列程序中,您將使用 AWS 主控台建立 **PhotoFlash** 政策存放區。
**建立 PhotoFlash 政策存放區**
1. 在 [Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions)中,選擇**建立新政策存放區**。
1. 針對**開始選項**,**從範例政策存放區選擇開始**。
1. 針對**範例專案**,選擇 **PhotoFlash**。
1. 選擇**建立政策存放區**。
看到「已建立和設定的政策存放區」訊息後,請選擇**移至概觀**來探索您的政策存放區。
## 步驟 2:建立政策
當您建立政策存放區時,已建立預設政策,允許使用者完全控制自己的帳戶。這是一個有用的政策,但為了我們的目的,讓我們建立更嚴格的政策來探索 Verified Permissions 的細微差別。如果您記得我們在教學中稍早看到的圖表,我們有委託人 `User::alice`,他們可以`UpdateAlbum`在資源 上執行動作 `alice-favorites-album`。讓我們新增允許 Alice 和僅限 Alice 管理此相簿的政策。
**建立政策**
1. 在 [Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions)中,選擇您在步驟 1 中建立的政策存放區。
1. 在導覽中,選擇**政策**。
1. 選擇**建立政策**,然後選擇**建立靜態政策**。
1. 針對**政策效果**,選擇**允許**。
1. 對於**主體範圍**,選擇**特定主體**,然後對於**指定實體類型**,選擇 **PhotoFlash::User**,對於**指定實體識別符**,輸入 **alice**。
1. 在**資源範圍**中,選擇**特定資源**,然後在**指定實體類型**中,選擇 **PhotoFlash::Album**,然後在**指定實體識別符**中,輸入 **alice-favorites-album**。
1. 針對**動作範圍**,選擇**特定的動作集**,然後針對**此政策應套用的動作,選取 UpdateAlbum ( UpdateAlbum)**。 **UpdateAlbum**
1. 選擇**下一步**。
1. 在**詳細資訊**下,針對**政策描述 - 選擇性**輸入 **Policy allowing alice to update alice-favorites-album.**。
1. 選擇 Create policy (建立政策)
現在您已建立政策,您可以在 Verified Permissions 主控台中進行測試。
## 步驟 3:測試政策存放區
建立政策存放區和政策之後,您可以使用 Verified Permissions 測試工作台執行模擬[授權請求](terminology.md#term-authorization-request)來測試它們。
**測試政策存放區政策**
1. 開啟 [Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions/)。選擇您的政策存放區。
1. 在左側導覽窗格中,選擇**測試工作台**。
1. 選擇**視覺化模式**。
1. 對於**委託人**,請執行下列動作:
1. 針對**主體採取動作**,選擇 **PhotoFlash::User**,並針對**指定實體識別符**,輸入 **alice**。
1. **在屬性**下,針對**帳戶:實體**,請確定已選取 **PhotoFlash::Account** 實體,並針對**指定實體識別符**,輸入 **alice-account**。
1. 在**資源**下,針對**主體執行動作的資源**,選擇 **PhotoFlash::Album** 資源類型,並針對**指定實體識別符**,輸入 **alice-favorites-album**。
1. 針對**動作**,從有效動作清單中選擇 **PhotoFlash::Action::"UpdateAlbum"**。
1. 在頁面頂端,選擇**執行授權請求**,以模擬範例政策存放區中 Cedar 政策的授權請求。測試台應該會顯示**決策:允許** 指出我們的政策如預期般運作。
下表提供您可以使用 Verified Permissions 測試工作台測試的委託人、資源和動作的其他值。資料表包含根據 PhotoFlash 範例政策存放區隨附的靜態政策以及您在步驟 2 中建立的政策所做的授權請求決策。
| **委託人值** | **委託人帳戶:實體值** | **資源值** | **資源父值** | **Action** | **授權決策** |
| --- | --- | --- | --- | --- | --- |
| PhotoFlash::User \| Bub | PhotoFlash::Account \| alice-account | PhotoFlash::Album \| alice-favorites-album | N/A | PhotoFlash::Action::"UpdateAlbum" | 拒絕 |
| PhotoFlash::User \| alice | PhotoFlash::Account \| alice-account | PhotoFlash::Photo \| photo.jpeg | PhotoFlash::Account \| bob-account | PhotoFlash::Action::"ViewPhoto" | 拒絕 |
| PhotoFlash::User \| alice | PhotoFlash::Account \| alice-account | PhotoFlash::Photo \| photo.jpeg | PhotoFlash::Account \| alice-account | PhotoFlash::Action::"ViewPhoto" | 允許 |
| PhotoFlash::User \| alice | PhotoFlash::Account \| alice-account | PhotoFlash::Photo \| bob-photo.jpeg | PhotoFlash::Album \| Bob-Vacation-Album | PhotoFlash::Action::"DeletePhoto" | 拒絕 |
## 步驟 4:清除資源
完成探索政策存放區後,請將其刪除。
**刪除政策存放區**
1. 在 [Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions)中,選擇您在步驟 1 中建立的政策存放區。
1. 在導覽中,選擇**設定**。
1. 在**刪除政策存放**區下,選擇**刪除此政策存放區**。
1. 在**刪除此政策存放區中?** 對話方塊,輸入 *Delete*,然後選擇 **Delete**。