View a markdown version of this page

Erstellen Sie Ihren ersten Amazon Verified Permissions Policy Store - Amazon Verified Permissions
VoraussetzungenSchritt 1: Erstellen Sie einen Richtlinienspeicher PhotoFlashSchritt 2: Erstellen Sie eine RichtlinieSchritt 3: Testen eines RichtlinienspeichersSchritt 4: Bereinigen von Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie Ihren ersten Amazon Verified Permissions Policy Store

Gehen wir für dieses Tutorial davon aus, dass Sie der Entwickler einer Anwendung zum Teilen von Fotos sind und nach einer Möglichkeit suchen, zu kontrollieren, welche Aktionen die Benutzer der Anwendung ausführen können. Sie möchten steuern, wer Fotos und Fotoalben hinzufügen, löschen oder ansehen kann. Sie möchten auch kontrollieren, welche Aktionen ein Benutzer auf seinem Konto ausführen kann. Können sie ihr Konto verwalten, wie wäre es mit dem Konto eines Freundes? Um diese Aktionen zu kontrollieren, müssten Sie Richtlinien erstellen, die diese Aktionen auf der Grundlage der Identität des Benutzers zulassen oder verbieten. Verified Permissions bietet Richtlinienspeicher oder Container, in denen diese Richtlinien gespeichert werden.

In diesem Tutorial erfahren Sie, wie Sie mithilfe der Amazon Verified Permissions-Konsole einen Muster-Policy-Shop erstellen. Die Konsole bietet einige Beispieloptionen für den Policy Store, und wir werden einen PhotoFlashPolicy Store erstellen. Dieser Richtlinienspeicher ermöglicht es Prinzipalen, z. B. Benutzern, Aktionen wie das Teilen von Ressourcen wie Fotos oder Alben durchzuführen.

Das folgende Diagramm veranschaulicht die Beziehungen zwischen einer Principal und die AktionenUser::alice, die sie für verschiedene Ressourcen ausführen kann, nämlich für ihr PhotoFlash Konto, die VactionPhoto94.jpg Datei, das Fotoalbum alice-favorites-album und die Benutzergruppealice-friend-group.

PhotoFlash Beziehungen zwischen Entitäten

Nachdem Sie sich mit dem PhotoFlashRichtlinienspeicher vertraut gemacht haben, wollen wir den Richtlinienspeicher erstellen und ihn näher untersuchen.

Voraussetzungen

Um loszulegen AWS, benötigen Sie eine AWS-Konto. Informationen zum Erstellen eines AWS-Konto finden Sie unter Erste Schritte mit einem AWS-Konto im AWS -Kontenverwaltung Referenzhandbuch.

Schritt 1: Erstellen Sie einen Richtlinienspeicher PhotoFlash

Im folgenden Verfahren erstellen Sie mithilfe der AWS Konsole einen PhotoFlashRichtlinienspeicher.

Um einen PhotoFlash Richtlinienspeicher zu erstellen

  1. Wählen Sie in der Konsole „Verifizierte Berechtigungen“ die Option Neuen Richtlinienspeicher erstellen aus.

  2. Wählen Sie für Startoptionen die Option Aus einem Beispielrichtlinienspeicher starten aus.

  3. Wählen Sie für Beispielprojekt die Option PhotoFlash.

  4. Wählen Sie „Richtlinienspeicher erstellen“ aus.

Sobald Sie die Meldung „Richtlinienspeicher erstellt und konfiguriert“ sehen, wählen Sie Gehe zur Übersicht, um Ihren Richtlinienspeicher zu erkunden.

Schritt 2: Erstellen Sie eine Richtlinie

Bei der Erstellung des Richtlinienspeichers wurde eine Standardrichtlinie erstellt, die es Benutzern ermöglicht, die volle Kontrolle über ihre eigenen Konten zu haben. Dies ist eine nützliche Richtlinie, aber für unsere Zwecke sollten wir eine restriktivere Richtlinie erstellen, um die Nuancen verifizierter Berechtigungen zu untersuchen. Wenn Sie sich an das Diagramm erinnern, das wir uns zu Beginn des Tutorials angesehen haben, hatten wir einen PrincipalUser::alice, der eine Aktion,UpdateAlbum, an einer Ressource,, ausführen konntealice-favorites-album. Fügen wir die Richtlinie hinzu, die es Alice und nur Alice erlaubt, dieses Album zu verwalten.

Um eine Richtlinie zu erstellen

  1. Wählen Sie in der Konsole „Verifizierte Berechtigungen“ den Richtlinienspeicher aus, den Sie in Schritt 1 erstellt haben.

  2. Wählen Sie in der Navigation Richtlinien aus.

  3. Wählen Sie Richtlinie erstellen und dann Statische Richtlinie erstellen aus.

  4. Wählen Sie für Richtlinieneffekt die Option Zulassen aus.

  5. Wählen Sie für Principals scope die Option Specific Principal aus, wählen Sie dann für Entitätstyp angeben die Option PhotoFlash: :User aus und geben Sie für Entitäts-ID angeben den Wert ein. alice

  6. Wählen Sie für Ressourcenbereich die Option Spezifische Ressource aus, wählen Sie dann für Entitätstyp angeben die Option PhotoFlash: :Album und geben Sie für Entitäts-ID angeben den Wert ein. alice-favorites-album

  7. Wählen Sie für Aktionsbereich die Option Spezifische Gruppe von Aktionen und dann für Aktion (en), für die diese Richtlinie gelten soll, die Option aus UpdateAlbum.

  8. Wählen Sie Weiter aus.

  9. Geben Sie unter Details für Richtlinienbeschreibung — optional Folgendes einPolicy allowing alice to update alice-favorites-album..

  10. Wählen Sie Richtlinie erstellen aus

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie in der Konsole „Verifizierte Berechtigungen“ testen.

Schritt 3: Testen eines Richtlinienspeichers

Nachdem Sie Ihren Richtlinienspeicher und Ihre Richtlinie erstellt haben, können Sie sie testen, indem Sie eine simulierte Autorisierungsanfrage mit dem Prüfstand für verifizierte Berechtigungen ausführen.

Um Richtlinien des Richtlinienspeichers zu testen

  1. Öffnen Sie die Konsole Verified Permissions. Wählen Sie Ihren Richtlinienspeicher aus.

  2. Wählen Sie im Navigationsbereich auf der linken Seite die Option Testbench aus.

  3. Wählen Sie den Visuellen Modus.

  4. Gehen Sie für Principal wie folgt vor:

    1. Wählen Sie für Principal, der eine Aktion PhotoFlash durchführt: :User und für Entitätsbezeichner angeben den alice Wert ein.

    2. Stellen Sie unter Attribute für Account: Entität sicher, dass die Entität PhotoFlash: :Account ausgewählt ist, und geben Sie für Entitäts-ID angeben den Wert ein. alice-account

  5. Wählen Sie unter Ressource für Ressource, auf die der Prinzipal reagiert, den Ressourcentyp PhotoFlash: :Album und geben Sie für Entitäts-ID angeben den folgenden Wert ein. alice-favorites-album

  6. Wählen Sie für Aktion PhotoFlash: :Action::“ UpdateAlbum "aus der Liste der gültigen Aktionen aus.

  7. Wählen Sie oben auf der Seite die Option Autorisierungsanfrage ausführen aus, um die Autorisierungsanfrage für die Cedar-Richtlinien im Beispielrichtlinienspeicher zu simulieren. Auf dem Prüfstand sollte Entscheidung: Zulassen angezeigt werden, was bedeutet, dass unsere Richtlinie erwartungsgemäß funktioniert.

Die folgende Tabelle enthält zusätzliche Werte für den Prinzipal, die Ressource und die Aktion, die Sie mit dem Prüfstand für verifizierte Berechtigungen testen können. Die Tabelle enthält die Entscheidung über die Autorisierungsanfrage, die auf den statischen Richtlinien basiert, die im PhotoFlash Beispielrichtlinienspeicher enthalten sind, und auf der Richtlinie, die Sie in Schritt 2 erstellt haben.

Hauptwert Hauptkonto: Unternehmenswert Wert der Ressource Wert der übergeordneten Ressource Action (Aktion) Entscheidung über die Autorisierung
PhotoFlash: :Benutzer | bob PhotoFlash: :Konto | Alice-Konto PhotoFlash:: Alben | Alice-Favoriten-Album N/A PhotoFlash: :Aktion::““ UpdateAlbum Deny
PhotoFlash: :Benutzer | alice PhotoFlash: :Konto | Alice-Konto PhotoFlash: :Foto | photo.jpeg PhotoFlash: :Konto | Bob-Konto PhotoFlash: :Aktion::“ "ViewPhoto Deny
PhotoFlash: :Benutzer | alice PhotoFlash: :Konto | Alice-Konto PhotoFlash: :Foto | photo.jpeg PhotoFlash: :Konto | Alice-Konto PhotoFlash: :Aktion::“ "ViewPhoto Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
PhotoFlash: :Benutzer | alice PhotoFlash: :Konto | Alice-Konto PhotoFlash: :Foto | bob-photo.jpeg PhotoFlash:: Album | Bob-Vacation-Album PhotoFlash: :Aktion::“ "DeletePhoto Deny

Schritt 4: Bereinigen von Ressourcen

Nachdem Sie Ihren Richtlinienspeicher durchsucht haben, löschen Sie ihn.

So löschen Sie einen Richtlinienspeicher

  1. Wählen Sie in der Konsole „Verifizierte Berechtigungen“ den Richtlinienspeicher aus, den Sie in Schritt 1 erstellt haben.

  2. Wählen Sie in der Navigation Einstellungen aus.

  3. Wählen Sie unter Richtlinienspeicher löschen die Option Diesen Richtlinienspeicher löschen aus.

  4. Im Bereich Diesen Richtlinienspeicher löschen? Geben Sie im Dialogfeld Löschen ein, und wählen Sie dann Löschen aus.