Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie Ihren ersten Amazon Verified Permissions Policy Store
Gehen wir für dieses Tutorial davon aus, dass Sie der Entwickler einer Anwendung zum Teilen von Fotos sind und nach einer Möglichkeit suchen, zu kontrollieren, welche Aktionen die Benutzer der Anwendung ausführen können. Sie möchten steuern, wer Fotos und Fotoalben hinzufügen, löschen oder ansehen kann. Sie möchten auch kontrollieren, welche Aktionen ein Benutzer auf seinem Konto ausführen kann. Können sie ihr Konto verwalten, wie wäre es mit dem Konto eines Freundes? Um diese Aktionen zu kontrollieren, müssten Sie Richtlinien erstellen, die diese Aktionen auf der Grundlage der Identität des Benutzers zulassen oder verbieten. Verified Permissions bietet [Richtlinienspeicher](terminology.md#term-policy-store) oder Container, in denen diese Richtlinien gespeichert werden.
In diesem Tutorial erfahren Sie, wie Sie mithilfe der Amazon Verified Permissions-Konsole einen Muster-Policy-Shop erstellen. Die Konsole bietet einige Beispieloptionen für den Policy Store, und wir werden einen **PhotoFlash**Policy Store erstellen. Dieser Richtlinienspeicher ermöglicht es *Prinzipalen*, z. B. Benutzern, *Aktionen* wie das Teilen von *Ressourcen* wie Fotos oder Alben durchzuführen.
Das folgende Diagramm veranschaulicht die Beziehungen zwischen einer Principal und die Aktionen`User::alice`, die sie für verschiedene Ressourcen ausführen kann, nämlich für ihr PhotoFlash Konto, die `VactionPhoto94.jpg` Datei, das Fotoalbum `alice-favorites-album` und die Benutzergruppe`alice-friend-group`.
Nachdem Sie sich mit dem **PhotoFlash**Richtlinienspeicher vertraut gemacht haben, wollen wir den Richtlinienspeicher erstellen und ihn näher untersuchen.
## Voraussetzungen
### Melden Sie sich an für ein AWS-Konto
Um loszulegen AWS, benötigen Sie eine AWS-Konto. Informationen zum Erstellen eines AWS-Konto finden Sie unter [Erste Schritte mit einem AWS-Konto](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) im *AWS -Kontenverwaltung Referenzhandbuch*.
## Schritt 1: Erstellen Sie einen Richtlinienspeicher PhotoFlash
Im folgenden Verfahren erstellen Sie mithilfe der AWS Konsole einen **PhotoFlash**Richtlinienspeicher.
**Um einen PhotoFlash Richtlinienspeicher zu erstellen**
1. Wählen Sie in der [Konsole „Verifizierte Berechtigungen](https://console.aws.amazon.com/verifiedpermissions)“ die Option **Neuen Richtlinienspeicher erstellen** aus.
1. Wählen Sie für **Startoptionen** die Option **Aus einem Beispielrichtlinienspeicher starten** aus.
1. Wählen Sie für **Beispielprojekt** die Option **PhotoFlash**.
1. Wählen Sie „**Richtlinienspeicher erstellen**“ aus.
Sobald Sie die Meldung „Richtlinienspeicher erstellt und konfiguriert“ sehen, wählen Sie **Gehe zur Übersicht**, um Ihren Richtlinienspeicher zu erkunden.
## Schritt 2: Erstellen Sie eine Richtlinie
Bei der Erstellung des Richtlinienspeichers wurde eine Standardrichtlinie erstellt, die es Benutzern ermöglicht, die volle Kontrolle über ihre eigenen Konten zu haben. Dies ist eine nützliche Richtlinie, aber für unsere Zwecke sollten wir eine restriktivere Richtlinie erstellen, um die Nuancen verifizierter Berechtigungen zu untersuchen. Wenn Sie sich an das Diagramm erinnern, das wir uns zu Beginn des Tutorials angesehen haben, hatten wir einen Principal`User::alice`, der eine Aktion,`UpdateAlbum`, an einer Ressource,, ausführen konnte`alice-favorites-album`. Fügen wir die Richtlinie hinzu, die es Alice und nur Alice erlaubt, dieses Album zu verwalten.
**Um eine Richtlinie zu erstellen**
1. Wählen Sie in der [Konsole „Verifizierte Berechtigungen](https://console.aws.amazon.com/verifiedpermissions)“ den Richtlinienspeicher aus, den Sie in Schritt 1 erstellt haben.
1. Wählen Sie in der Navigation **Richtlinien** aus.
1. Wählen Sie **Richtlinie erstellen** und dann **Statische Richtlinie erstellen** aus.
1. Wählen Sie für **Richtlinieneffekt** die Option **Zulassen** aus.
1. Wählen Sie für **Principals scope** die Option **Specific Principal** aus, wählen Sie dann für **Entitätstyp angeben** die Option **PhotoFlash: :User** aus und **geben Sie für Entitäts-ID angeben** den Wert ein. **alice**
1. Wählen Sie für **Ressourcenbereich** die Option **Spezifische Ressource** aus, wählen Sie dann für **Entitätstyp angeben** die Option **PhotoFlash: :Album** und geben Sie für **Entitäts-ID angeben den Wert** ein. **alice-favorites-album**
1. Wählen Sie für **Aktionsbereich** die Option **Spezifische Gruppe von Aktionen** und dann für **Aktion (en), für die diese Richtlinie gelten soll, die** Option aus **UpdateAlbum**.
1. Wählen Sie **Weiter** aus.
1. Geben **Sie unter Details** für **Richtlinienbeschreibung — optional Folgendes** ein**Policy allowing alice to update alice-favorites-album.**.
1. Wählen Sie Richtlinie erstellen aus
Nachdem Sie eine Richtlinie erstellt haben, können Sie sie in der Konsole „Verifizierte Berechtigungen“ testen.
## Schritt 3: Testen eines Richtlinienspeichers
Nachdem Sie Ihren Richtlinienspeicher und Ihre Richtlinie erstellt haben, können Sie sie testen, indem Sie eine simulierte [Autorisierungsanfrage](terminology.md#term-authorization-request) mit dem Prüfstand für verifizierte Berechtigungen ausführen.
**Um Richtlinien des Richtlinienspeichers zu testen**
1. Öffnen Sie die [Konsole Verified Permissions](https://console.aws.amazon.com/verifiedpermissions/). Wählen Sie Ihren Richtlinienspeicher aus.
1. Wählen Sie im Navigationsbereich auf der linken Seite die Option **Testbench** aus.
1. Wählen Sie den **Visuellen Modus**.
1. Gehen Sie für **Principal** wie folgt vor:
1. Wählen Sie für **Principal, der eine Aktion PhotoFlash** **durchführt: :User** und für **Entitätsbezeichner angeben** den **alice** Wert ein.
1. Stellen Sie unter **Attribute** für **Account: Entität** sicher, dass die Entität **PhotoFlash: :Account** ausgewählt ist, und **geben Sie für Entitäts-ID angeben den** Wert ein. **alice-account**
1. Wählen Sie unter **Ressource** für **Ressource, auf die der Prinzipal reagiert**, den Ressourcentyp **PhotoFlash: :Album** und **geben Sie für Entitäts-ID angeben den folgenden Wert** ein. **alice-favorites-album**
1. Wählen Sie für **Aktion PhotoFlash****: :Action::“ UpdateAlbum "**aus der Liste der gültigen Aktionen aus.
1. Wählen Sie oben auf der Seite die Option **Autorisierungsanfrage ausführen aus, um die Autorisierungsanfrage** für die Cedar-Richtlinien im Beispielrichtlinienspeicher zu simulieren. Auf dem Prüfstand sollte **Entscheidung: Zulassen** angezeigt werden, was bedeutet, dass unsere Richtlinie erwartungsgemäß funktioniert.
Die folgende Tabelle enthält zusätzliche Werte für den Prinzipal, die Ressource und die Aktion, die Sie mit dem Prüfstand für verifizierte Berechtigungen testen können. Die Tabelle enthält die Entscheidung über die Autorisierungsanfrage, die auf den statischen Richtlinien basiert, die im PhotoFlash Beispielrichtlinienspeicher enthalten sind, und auf der Richtlinie, die Sie in Schritt 2 erstellt haben.
| **Hauptwert** | **Hauptkonto: Unternehmenswert** | **Wert der Ressource** | **Wert der übergeordneten Ressource** | **Action (Aktion)** | **Entscheidung über die Autorisierung** |
| --- | --- | --- | --- | --- | --- |
| PhotoFlash: :Benutzer \| bob | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash:: Alben \| Alice-Favoriten-Album | N/A | PhotoFlash: :Aktion::““ UpdateAlbum | Deny |
| PhotoFlash: :Benutzer \| alice | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash: :Foto \| photo.jpeg | PhotoFlash: :Konto \| Bob-Konto | PhotoFlash: :Aktion::“ "ViewPhoto | Deny |
| PhotoFlash: :Benutzer \| alice | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash: :Foto \| photo.jpeg | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash: :Aktion::“ "ViewPhoto | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf |
| PhotoFlash: :Benutzer \| alice | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash: :Foto \| bob-photo.jpeg | PhotoFlash:: Album \| Bob-Vacation-Album | PhotoFlash: :Aktion::“ "DeletePhoto | Deny |
## Schritt 4: Bereinigen von Ressourcen
Nachdem Sie Ihren Richtlinienspeicher durchsucht haben, löschen Sie ihn.
**So löschen Sie einen Richtlinienspeicher**
1. Wählen Sie in der [Konsole „Verifizierte Berechtigungen](https://console.aws.amazon.com/verifiedpermissions)“ den Richtlinienspeicher aus, den Sie in Schritt 1 erstellt haben.
1. Wählen Sie in der Navigation **Einstellungen** aus.
1. Wählen **Sie unter Richtlinienspeicher** **löschen die Option Diesen Richtlinienspeicher** löschen aus.
1. Im Bereich **Diesen Richtlinienspeicher löschen?** Geben Sie im Dialogfeld *Löschen* ein, und wählen Sie dann **Löschen** aus.