翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 最初の Amazon Verified Permissions ポリシーストアを作成する
<a name="getting-started-first-policy-store"></a>

このチュートリアルでは、自分が写真共有アプリケーションの開発者であり、アプリケーションのユーザーが実行できるアクションを制御する方法を探しているとします。写真やフォトアルバムを追加、削除、または表示できるユーザーを制御します。また、ユーザーが自分のアカウントに対して実行できるアクションを制御することもできます。アカウントを管理できますか? 友達のアカウントについてはどうですか? これらのアクションを制御するには、ユーザーの ID に基づいてこれらのアクションを許可または禁止するポリシーを作成します。Verified Permissions は、これらの[ポリシーを格納するためのポリシーストア](terminology.md#term-policy-store)またはコンテナを提供します。

このチュートリアルでは、Amazon Verified Permissions コンソールを使用してサンプルポリシーストアを作成する方法について説明します。コンソールにはいくつかのサンプルポリシーストアオプションが用意されており、**PhotoFlash** ポリシーストアを作成します。このポリシーストアでは、ユーザーなどの*プリンシパル*が写真やアルバムなどの*リソース*で共有などの*アクションを実行*できます。

次の図は、プリンシパル、`User::alice`、および PhotoFlash アカウント、 `VactionPhoto94.jpg` ファイル、フォトアルバム、`alice-favorites-album`ユーザーグループ などのさまざまなリソースに対して実行できるアクションの関係を示しています`alice-friend-group`。

![PhotoFlash エンティティの関係](http://docs.aws.amazon.com/ja_jp/verifiedpermissions/latest/userguide/images/PhotoFlash.png)


**PhotoFlash** ポリシーストアについて理解できたところで、ポリシーストアを作成して調べてみましょう。

## 前提条件
<a name="getting-started-prerequisites"></a>

### にサインアップする AWS アカウント
<a name="sign-up-for-aws"></a>

の使用を開始するには AWS、 が必要です AWS アカウント。の作成の詳細については AWS アカウント、「 *AWS アカウント管理 リファレンスガイド*[」の「 の開始方法 AWS アカウント](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)」を参照してください。

## ステップ 1: PhotoFlash ポリシーストアを作成する
<a name="getting-started-first-sample-policy-store"></a>

次の手順では、 AWS コンソールを使用して **PhotoFlash** ポリシーストアを作成します。

**PhotoFlash ポリシーストアを作成するには**

1. [Verified Permissions コンソール](https://console.aws.amazon.com/verifiedpermissions)で、**新しいポリシーストアの作成**を選択します。

1. **開始オプション**で、**サンプルポリシーストアから開始**を選択します。

1. **サンプルプロジェクト**で、**PhotoFlash** を選択します。

1. [**ポリシーストアを作成**]を選択します。

「作成および設定されたポリシーストア」というメッセージが表示されたら、**概要に移動**を選択してポリシーストアを確認します。

## ステップ 2: ポリシーを作成する
<a name="getting-started-creating-policy"></a>

ポリシーストアを作成すると、ユーザーが自分のアカウントを完全に制御できるようにするデフォルトのポリシーが作成されました。これは便利なポリシーですが、ここでは、Verified Permissions のニュアンスを調べるために、より制限の厳しいポリシーを作成しましょう。チュートリアルの前半で説明した図を覚えている場合は、プリンシパル があり`User::alice`、リソース `UpdateAlbum`に対してアクションを実行できます`alice-favorites-album`。Alice と Alice のみがこのアルバムを管理できるようにするポリシーを追加しましょう。

**ポリシーを作成する方法**

1. [Verified Permissions コンソール](https://console.aws.amazon.com/verifiedpermissions)で、ステップ 1 で作成したポリシーストアを選択します。

1. ナビゲーションで、**ポリシー**を選択します。

1. [**ポリシーを作成**] を選択し、次に [**静的ポリシーを作成**] を選択します。

1. **ポリシー効果** で、**許可** を選択します。

1. **プリンシパルスコープ**で特定のプリンシ**パル**を選択し、**エンティティタイプの指定**で **PhotoFlash::User** を選択し、**エンティティ識別子の指定**で を入力します**alice**。

1. **リソーススコープ**で**特定のリソース**を選択し、**エンティティタイプの指定**で **PhotoFlash::Album** を選択し、**エンティティ識別子の指定**で を入力します**alice-favorites-album**。

1. **アクションスコープ**で特定の**アクションセット**を選択し、**このポリシーを適用するアクション (複数可)** で **UpdateAlbum** を選択します。

1. [**次へ**] を選択します。

1. **詳細**のポリシー**の説明 - オプション**で を入力します**Policy allowing alice to update alice-favorites-album.**。

1. [ ポリシーの作成 ] を選択します。

ポリシーを作成したら、Verified Permissions コンソールでテストできます。

## ステップ 3: ポリシーストアをテストする
<a name="getting-started-testing-first-sample-policy-store"></a>

ポリシーストアとポリシーを作成したら、Verified Permissions テストベンチを使用してシミュレートされた[認可リクエスト](terminology.md#term-authorization-request)を実行して、それらをテストできます。

**ポリシーストアポリシーをテストするには**

1. [Verified Permissions コンソール](https://console.aws.amazon.com/verifiedpermissions/)を開きます。ポリシーストアを選択します。

1. 左側のナビゲーションペインで、**[テストベンチ]** を選択します。

1. **[ビジュアルモード]** を選択します。

1. **プリンシパル**の場合は、次の操作を行います。

   1. プリン**シパルがアクションを実行**するには**、PhotoFlash::User** を選択し、**エンティティ識別子を指定する**には、 を入力します**alice**。

   1. **属性**の **アカウント: エンティティ** で、**PhotoFlash::Account **エンティティが選択されていることを確認します。**エンティティ識別子を指定する** で、 と入力します**alice-account**。

1. **「リソース****」で、プリンシパルが動作しているリソース**に **PhotoFlash::Album **リソースタイプを選択し、**「エンティティ識別子を指定**」に「」と入力します**alice-favorites-album**。

1. Action では****、有効なアクションのリストから **PhotoFlash::Action::"UpdateAlbum"** を選択します。

1. ページの上部で、**認可リクエストの実行**を選択して、サンプルポリシーストアの Cedar ポリシーの認可リクエストをシミュレートします。テストベンチには、ポリシーが期待どおりに動作していることを示す**決定: 許可**が表示されます。

以下の表は、Verified Permissions テストベンチでテストできるプリンシパル、リソース、アクションの追加値を示しています。この表には、PhotoFlash サンプルポリシーストアに含まれる静的ポリシーと、ステップ 2 で作成したポリシーに基づく認可リクエストの決定が含まれています。


|  **プリンシパル値**  |  **プリンシパルアカウント:エンティティ値**  |  **リソース値**  |  **リソース親値**  |  **[アクション]**  |  **認可決定**  | 
| --- | --- | --- | --- | --- | --- | 
| PhotoFlash::User \| bob | PhotoFlash::Account \| alice-account | PhotoFlash::Album \| alice-favorites-album | 該当なし | PhotoFlash::Action::"UpdateAlbum" | 拒否 | 
| PhotoFlash::User \| alice | PhotoFlash::Account \| alice-account | PhotoFlash::Photo \| photo.jpeg | PhotoFlash::Account \| bob-account | PhotoFlash::Action::"ViewPhoto" | 拒否 | 
| PhotoFlash::User \| alice | PhotoFlash::Account \| alice-account | PhotoFlash::Photo \| photo.jpeg | PhotoFlash::Account \| alice-account | PhotoFlash::Action::"ViewPhoto" | 許可 | 
| PhotoFlash::User \| alice | PhotoFlash::Account \| alice-account | PhotoFlash::Photo \| bob-photo.jpeg | PhotoFlash::Album \| Bob-Vacation-Album | PhotoFlash::Action::"DeletePhoto" | 拒否 | 

## ステップ 4: リソースをクリーンアップする
<a name="getting-started-clean-up"></a>

ポリシーストアの探索が完了したら、削除します。

**ポリシーストアを削除するには**

1. [Verified Permissions コンソール](https://console.aws.amazon.com/verifiedpermissions)で、ステップ 1 で作成したポリシーストアを選択します。

1. ナビゲーションで、**設定** を選択します。

1. **「ポリシーストアの削除**」で、**「このポリシーストアの削除**」を選択します。

1. **このポリシーストアを削除しますか?** ダイアログボックスに*「削除*」と入力し、**「削除**」を選択します。