View a markdown version of this page

创建您的第一个 Amazon 认证权限策略商店 - Amazon Verified Permissions
先决条件步骤 1:创建 PhotoFlash 策略存储步骤 2:创建策略步骤 3:测试策略存储步骤 4:清理资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建您的第一个 Amazon 认证权限策略商店

在本教程中,假设您是照片共享应用程序的开发人员,并且您正在寻找一种方法来控制该应用程序的用户可以执行的操作。你想控制谁可以添加、删除或查看照片和相册。您还想控制用户可以对其账户执行哪些操作。他们能管理自己的账户吗,朋友的账户怎么样? 要控制这些操作,您需要根据用户的身份创建允许或禁止这些操作的策略。Verified Permissions 提供策略存储库或容器来存放这些政策。

在本教程中,我们将介绍如何使用 Amazon Verified Permissions 控制台创建示例策略存储。控制台提供了一些示例策略存储选项,我们将创建一个PhotoFlash策略存储。此策略存储允许委托人(例如用户)对照片或相册等资源执行操作,例如共享。

下图说明了委托人与她可以对各种资源(即她的 PhotoFlash 账户、VactionPhoto94.jpg文件、相册alice-favorites-album和用户组)采取的操作之间的关系alice-friend-groupUser::alice

PhotoFlash 实体关系

现在您已经了解了PhotoFlash策略存储,接下来让我们创建策略存储并进行探索。

先决条件

要开始使用 AWS,你需要一个 AWS 账户。有关创建的信息 AWS 账户,请参阅《AWS 账户管理 参考指南》 AWS 账户中的入门指南

步骤 1:创建 PhotoFlash 策略存储

在以下步骤中,您将使用 AWS 控制台创建PhotoFlash策略存储。

创建 PhotoFlash 策略存储

  1. 已验证的权限控制台中,选择创建新的策略存储

  2. 对于 “启动” 选项,选择 “从示例策略存储开始”。

  3. 对于示例项目,请选择PhotoFlash

  4. 选择创建策略存储

看到 “已创建并配置策略存储” 消息后,选择 “转至概览” 以浏览您的策略存储。

步骤 2:创建策略

创建策略存储时,创建了一个默认策略,允许用户完全控制自己的账户。这是一项有用的政策,但出于我们的目的,让我们创建一个更具限制性的策略来探讨已验证权限的细微差别。如果你还记得我们在本教程前面看过的图表User::alice,我们有一个委托人UpdateAlbum,他可以对资源执行操作alice-favorites-album。让我们添加一项政策,允许爱丽丝(且只有 Alice)管理这张专辑。

创建策略

  1. 已验证权限控制台中,选择您在步骤 1 中创建的策略存储。

  2. 在导航栏中,选择策略

  3. 选择创建策略,然后选择创建静态策略

  4. 对于策略效果,请选择 “允许”。

  5. 对于 “委托人范围”,选择 “特定委托人”,然后在 “指定实体类型” 中选择PhotoFlash:: 用户,在 “指定实体标识符” 中输入。alice

  6. 对于 “资源范围”,选择 “特定资源”,然后在 “指定实体类型” 中选择PhotoFlash:: Album,在 “指定实体标识符” 中输入alice-favorites-album

  7. 对于 “操作范围”,选择 “特定操作集”,然后在 “此策略应适用的操作” 中选择UpdateAlbum

  8. 选择下一步

  9. 在 “详细信息” 下,在 “策略描述-可选” 中输入Policy allowing alice to update alice-favorites-album.

  10. 选择创建策略

现在,您已经创建了策略,可以在已验证的权限控制台中对其进行测试。

步骤 3:测试策略存储

创建策略存储库和策略后,您可以使用已验证权限测试平台运行模拟授权请求来对其进行测试。

要测试策略,请存储策略

  1. 打开已验证权限控制台。选择您的保单存储。

  2. 在左侧导航窗格中,选择测试平台

  3. 选择可视模式

  4. 对于校长,请执行以下操作:

    1. 对于委托人正在采取行动,请选择PhotoFlash:: User,对于指定实体标识符,请输入alice

    2. “属性” 下,对于 “账户:实体”,确保选择PhotoFlash:: Accoun t 实体,然后在 “指定实体标识符” 中输入alice-account

  5. 资源下,对于委托人正在操作的资源,选择PhotoFlash:: Al bum 资源类型,在 “指定实体标识符” 中输入alice-favorites-album

  6. 对于 “操作”,请从有效操作列表中选择PhotoFlash:: Action:: UpdateAlbum “”

  7. 在页面顶部,选择运行授权请求以在示例策略存储中模拟 Cedar 策略的授权请求。测试平台应显示 “决定:允许”,表明我们的政策按预期运行。

下表提供了您可以使用 Verified Permissions 测试平台测试的主体、资源和操作的其他值。该表包括基于 PhotoFlash 示例策略存储中包含的静态策略和您在步骤 2 中创建的策略的授权请求决定。

主体值 主体账户:实体值 资源值 资源父级值 操作 授权决策
PhotoFlash:: 用户 | b ob PhotoFlash:: 账户 | alice-account PhotoFlash:: 相册 | alice-favorites-Album N/A PhotoFlash:: 动作::”” UpdateAlbum 拒绝
PhotoFlash:: 用户 | 爱丽 PhotoFlash:: 账户 | alice-account PhotoFlash:: Photo | photo.jpeg PhotoFlash:: 账户 | bob-account PhotoFlash:: 动作::”” ViewPhoto 拒绝
PhotoFlash:: 用户 | 爱丽 PhotoFlash:: 账户 | alice-account PhotoFlash:: Photo | photo.jpeg PhotoFlash:: 账户 | alice-account PhotoFlash:: 动作::”” ViewPhoto 允许
PhotoFlash:: 用户 | 爱丽 PhotoFlash:: 账户 | alice-account PhotoFlash:: Photo | bob-photo.jpeg PhotoFlash:: 相册 | Bob-Vacation-Album PhotoFlash:: 动作::”” DeletePhoto 拒绝

步骤 4:清理资源

浏览完保单存储库后,将其删除。

删除策略存储

  1. 已验证权限控制台中,选择您在步骤 1 中创建的策略存储。

  2. 在导航栏中,选择 “设置”

  3. “删除策略存储” 下,选择 “删除此策略存储”。

  4. 在 “删除此政策” 存储区中? 对话框中,输入 delete,然后选择删除