기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 첫 번째 Amazon Verified Permissions 정책 스토어 생성
<a name="getting-started-first-policy-store"></a>

이 자습서에서는 사용자가 사진 공유 애플리케이션의 개발자라고 가정하고 애플리케이션 사용자가 수행할 수 있는 작업을 제어하는 방법을 찾고 있다고 가정해 보겠습니다. 사진 및 사진 앨범을 추가, 삭제 또는 볼 수 있는 사용자를 제어하려고 합니다. 또한 사용자가 자신의 계정에 대해 수행할 수 있는 작업을 제어하려고 합니다. 친구의 계정은 어떻게 관리하나요? 이러한 작업을 제어하려면 사용자의 자격 증명을 기반으로 이러한 작업을 허용하거나 금지하는 정책을 생성합니다. Verified Permissions는 이러한 [정책을 수용하기 위한 정책 저장소](terminology.md#term-policy-store) 또는 컨테이너를 제공합니다.

이 자습서에서는 Amazon Verified Permissions 콘솔을 사용하여 샘플 정책 스토어를 생성하는 방법을 안내합니다. 콘솔은 몇 가지 샘플 정책 스토어 옵션을 제공하며 이제 **PhotoFlash** 정책 스토어를 생성하겠습니다. 이 정책 스토어를 사용하면 사용자와 같은 *보안 주체가* 사진 또는 앨범과 같은 *리소스*에서 공유와 같은 *작업을* 수행할 수 있습니다.

다음 다이어그램은 보안 주체, 및 다양한 리소스, 즉 PhotoFlash 계정`User::alice`, `VactionPhoto94.jpg` 파일, 사진 앨범 `alice-favorites-album`및 사용자 그룹에 대해 수행할 수 있는 작업 간의 관계를 보여줍니다`alice-friend-group`.

![\[PhotoFlash 엔터티 간의 관계\]](http://docs.aws.amazon.com/ko_kr/verifiedpermissions/latest/userguide/images/PhotoFlash.png)


이제 **PhotoFlash** 정책 스토어를 이해했으므로 정책 스토어를 생성하고 살펴보겠습니다.

## 사전 조건
<a name="getting-started-prerequisites"></a>

### 에 가입 AWS 계정
<a name="sign-up-for-aws"></a>

이 없는 경우 다음 단계를 AWS 계정완료하여 생성합니다.

**에 가입하려면 AWS 계정**

1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)을 엽니다.

1. 온라인 지시 사항을 따르세요.

   등록 절차 중 전화 또는 텍스트 메시지를 받고 전화 키패드로 확인 코드를 입력하는 과정이 있습니다.

   에 가입하면 AWS 계정*AWS 계정 루트 사용자*이 생성됩니다. 루트 사용자에게는 계정의 모든 AWS 서비스 및 리소스에 액세스할 권한이 있습니다. 보안 모범 사례는 사용자에게 관리 액세스 권한을 할당하고, 루트 사용자만 사용하여 [루트 사용자 액세스 권한이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 수행하는 것입니다.

AWS 는 가입 프로세스가 완료된 후 확인 이메일을 보냅니다. 언제든지 [https://aws.amazon.com/](https://aws.amazon.com/)으로 이동하고 **내 계정**을 선택하여 현재 계정 활동을 확인하고 계정을 관리할 수 있습니다.

### 관리자 액세스 권한이 있는 사용자 생성
<a name="create-an-admin"></a>

에 가입한 후 일상적인 작업에 루트 사용자를 사용하지 않도록 관리 사용자를 AWS 계정보호 AWS IAM Identity Center, AWS 계정 루트 사용자활성화 및 생성합니다.

**보안 AWS 계정 루트 사용자**

1.  **루트 사용자를** 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자[AWS Management Console](https://console.aws.amazon.com/)로에 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.

   루트 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In 사용 설명서*의 [루트 사용자로 로그인](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)을 참조하세요.

1. 루트 사용자의 다중 인증(MFA)을 활성화합니다.

   지침은 *IAM 사용 설명서*의 [AWS 계정 루트 사용자(콘솔)에 대한 가상 MFA 디바이스 활성화를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html).

**관리자 액세스 권한이 있는 사용자 생성**

1. IAM Identity Center를 활성화합니다.

   지침은 *AWS IAM Identity Center 사용 설명서*의 [AWS IAM Identity Center설정](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)을 참조하세요.

1. IAM Identity Center에서 사용자에게 관리 액세스 권한을 부여합니다.

   를 자격 증명 소스 IAM Identity Center 디렉터리 로 사용하는 방법에 대한 자습서는 사용 *AWS IAM Identity Center 설명서*[의 기본값으로 사용자 액세스 구성을 IAM Identity Center 디렉터리](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) 참조하세요.

**관리 액세스 권한이 있는 사용자로 로그인**
+ IAM IDentity Center 사용자로 로그인하려면 IAM Identity Center 사용자를 생성할 때 이메일 주소로 전송된 로그인 URL을 사용합니다.

  IAM Identity Center 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In 사용 설명서*[의 AWS 액세스 포털에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)을 참조하세요.

**추가 사용자에게 액세스 권한 할당**

1. IAM Identity Center에서 최소 권한 적용 모범 사례를 따르는 권한 세트를 생성합니다.

   지침은 *AWS IAM Identity Center 사용 설명서*의 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)를 참조하세요.

1. 사용자를 그룹에 할당하고, 그룹에 Single Sign-On 액세스 권한을 할당합니다.

   지침은 *AWS IAM Identity Center 사용 설명서*의 [그룹 추가](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)를 참조하세요.

## 1단계: PhotoFlash 정책 스토어 생성
<a name="getting-started-first-sample-policy-store"></a>

다음 절차에서는 AWS 콘솔을 사용하여 **PhotoFlash** 정책 스토어를 생성합니다.

**PhotoFlash 정책 스토어를 생성하려면**

1. [Verified Permissions 콘솔](https://console.aws.amazon.com/verifiedpermissions)에서 **새 정책 스토어 생성을** 선택합니다.

1. **시작 옵션**에서 **샘플 정책 스토어에서 시작을** 선택합니다.

1. **샘플 프로젝트**에서 **PhotoFlash**를 선택합니다.

1. **정책 스토어 생성**을 선택합니다.

"Created and configured policy store" 메시지가 표시되면 **개요로 이동**을 선택하여 정책 스토어를 탐색합니다.

## 2단계: 정책 생성
<a name="getting-started-creating-policy"></a>

정책 스토어를 생성할 때 사용자가 자신의 계정을 완전히 제어할 수 있도록 허용하는 기본 정책이 생성되었습니다. 이는 유용한 정책이지만, 목적을 위해 Verified Permissions의 미묘한 차이를 살펴보기 위해 보다 제한적인 정책을 만들어 보겠습니다. 자습서 앞부분에서 살펴본 다이어그램을 기억하면 작업을 수행할 수 있는 보안 주체 `User::alice`, 리소스 `UpdateAlbum`,이 있습니다`alice-favorites-album`. Alice만이 앨범을 관리할 수 있도록 허용하는 정책을 추가해 보겠습니다.

**정책을 생성하려면**

1. [Verified Permissions 콘솔](https://console.aws.amazon.com/verifiedpermissions)에서 1단계에서 생성한 정책 스토어를 선택합니다.

1. 탐색에서 **정책을** 선택합니다.

1. **정책 생성**과 **정적 정책 생성**을 차례로 선택합니다.

1. **정책 효과**에서 **허용**을 선택합니다.

1. **보안 주체 범위에서** **특정 보안 주체**를 선택한 다음 **엔터티 유형 지정**에서 **PhotoFlash::User**를 선택하고 **엔터티 식별자 지정**에를 입력합니다**alice**.

1. **리소스 범위에서** **특정 리소스를** 선택한 다음 **엔터티 유형 지정**에서 **PhotoFlash::Album**을 선택하고 **엔터티 식별자 지정**에를 입력합니다**alice-favorites-album**.

1. **작업 범위에서** **특정 작업 세트를** 선택한 다음 **이 정책이 적용되어야 하는 작업(들)에서** **UpdateAlbum**을 선택합니다.

1. **다음**을 선택합니다.

1. **세부 정보**에서 **정책 설명 - 선택 사항**으로를 입력합니다**Policy allowing alice to update alice-favorites-album.**.

1. 정책 생성(Create policy)을 선택합니다.

이제 정책을 생성했으므로 Verified Permissions 콘솔에서 테스트할 수 있습니다.

## 3단계: 정책 스토어 테스트
<a name="getting-started-testing-first-sample-policy-store"></a>

정책 스토어와 정책을 생성한 후 Verified Permissions 테스트 벤치를 사용하여 시뮬레이션된 [권한 부여 요청을](terminology.md#term-authorization-request) 실행하여 테스트할 수 있습니다.

**정책 스토어 정책을 테스트하려면**

1. [Verified Permissions 콘솔](https://console.aws.amazon.com/verifiedpermissions/)을 엽니다. 정책 스토어를 선택합니다.

1. 왼쪽에 있는 탐색 창에서 **테스트 벤치**를 선택합니다.

1. **비주얼 모드**를 선택합니다.

1. **보안 주체**의 경우 다음을 수행합니다.

   1. **작업을 수행하는 보안 주체**에 **PhotoFlash::User**를 선택하고 **엔터티 식별자 지정**에를 입력합니다**alice**.

   1. **속성**의 **계정: 엔터**티에서 **PhotoFlash::Account** 엔터티가 선택되어 있는지 확인하고 엔**터티 식별자 지정**에를 입력합니다**alice-account**.

1. **리소스**의 보안 **주체가 작업하는 리소스**에서 **PhotoFlash::Album** 리소스 유형을 선택하고 **개체 식별자 지정**에를 입력합니다**alice-favorites-album**.

1. **작업**의 경우 유효한 작업 목록에서 **PhotoFlash::Action::"UpdateAlbum"**을 선택합니다.

1. 페이지 상단에서 **권한 부여 요청 실행**을 선택하여 샘플 정책 스토어의 Cedar 정책에 대한 권한 부여 요청을 시뮬레이션합니다. 테스트 벤치에는 **결정: 정책이 예상대로 작동하고 있음을 나타내는 허용**이 표시되어야 합니다.

다음 표에는 Verified Permissions 테스트 벤치로 테스트할 수 있는 보안 주체, 리소스 및 작업에 대한 추가 값이 나와 있습니다. 이 테이블에는 PhotoFlash 샘플 정책 스토어에 포함된 정적 정책과 2단계에서 생성한 정책을 기반으로 한 권한 부여 요청 결정이 포함되어 있습니다.


|  **보안 주체 값**  |  **보안 주체 계정: 엔터티 값**  |  **리소스 값**  |  **리소스 상위 값**  |  **작업**  |  **권한 부여 결정**  | 
| --- | --- | --- | --- | --- | --- | 
| PhotoFlash::User \$1 bob | PhotoFlash::Account \$1 alice-account | PhotoFlash::Album \$1 alice-favorites-album | 해당 사항 없음 | PhotoFlash::Action::"UpdateAlbum" | 거부 | 
| PhotoFlash::User \$1 alice | PhotoFlash::Account \$1 alice-account | PhotoFlash::Photo \$1 photo.jpeg | PhotoFlash::Account \$1 bob-account | PhotoFlash::Action::"ViewPhoto" | 거부 | 
| PhotoFlash::User \$1 alice | PhotoFlash::Account \$1 alice-account | PhotoFlash::Photo \$1 photo.jpeg | PhotoFlash::Account \$1 alice-account | PhotoFlash::Action::"ViewPhoto" | 허용 | 
| PhotoFlash::User \$1 alice | PhotoFlash::Account \$1 alice-account | PhotoFlash::Photo \$1 bob-photo.jpeg | PhotoFlash::Album \$1 Bob-Vacation-Album | PhotoFlash::Action::"DeletePhoto" | 거부 | 

## 4단계: 리소스 정리
<a name="getting-started-clean-up"></a>

정책 스토어 탐색을 완료한 후 삭제합니다.

**정책 저장소 삭제**

1. [Verified Permissions 콘솔](https://console.aws.amazon.com/verifiedpermissions)에서 1단계에서 생성한 정책 스토어를 선택합니다.

1. 탐색에서 **설정을** 선택합니다.

1. **정책 저장소 삭제**에서 **이 정책 저장소 삭제**를 선택합니다.

1. **이 정책 스토어를 삭제하시겠습니까?** 대화 상자에서 *삭제*를 입력한 다음 **삭제**를 선택합니다.