View a markdown version of this page

建立您的第一個 Amazon Verified Permissions 政策存放區 - Amazon Verified Permissions
先決條件步驟 1:建立 PhotoFlash 政策存放區步驟 2:建立政策步驟 3:測試政策存放區步驟 4:清除資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立您的第一個 Amazon Verified Permissions 政策存放區

在本教學課程中,假設您是相片共用應用程式的開發人員,而且您正在尋找方法來控制應用程式使用者可以執行的動作。您想要控制誰可以新增、刪除或檢視相片和相簿。您也想要控制使用者可以對其帳戶採取哪些動作。他們可以管理自己的帳戶,朋友的帳戶呢? 若要控制這些動作,您可以建立根據使用者身分允許或禁止這些動作的政策。Verified Permissions 提供政策存放區或容器來存放這些政策。

在本教學課程中,我們將逐步解說如何使用 Amazon Verified Permissions 主控台建立範例政策存放區。主控台提供幾個範例政策存放區選項,我們將建立 PhotoFlash 政策存放區。此政策存放區可讓 使用者等主體在相片或相簿等資源上執行共用等動作

下圖說明委託人 與 之間的關係User::alice,以及她可對各種資源採取的動作,也就是她的 PhotoFlash 帳戶、 VactionPhoto94.jpg 檔案alice-favorites-album、相簿 和使用者群組 alice-friend-group

PhotoFlash 實體關係

現在您已了解 PhotoFlash 政策存放區,讓我們建立並探索政策存放區。

先決條件

若要開始使用 AWS,您需要 AWS 帳戶。如需建立 的相關資訊 AWS 帳戶,請參閱《 AWS 帳戶管理 參考指南》中的 入門 AWS 帳戶

步驟 1:建立 PhotoFlash 政策存放區

在下列程序中,您將使用 AWS 主控台建立 PhotoFlash 政策存放區。

建立 PhotoFlash 政策存放區

  1. Verified Permissions 主控台中,選擇建立新政策存放區

  2. 針對開始選項從範例政策存放區選擇開始

  3. 針對範例專案,選擇 PhotoFlash

  4. 選擇建立政策存放區

看到「已建立和設定的政策存放區」訊息後,請選擇移至概觀來探索您的政策存放區。

步驟 2:建立政策

當您建立政策存放區時,已建立預設政策,允許使用者完全控制自己的帳戶。這是一個有用的政策,但為了我們的目的,讓我們建立更嚴格的政策來探索 Verified Permissions 的細微差別。如果您記得我們在教學課程稍早看到的圖表,我們有委託人 User::alice,他們可以UpdateAlbum在資源 上執行動作 alice-favorites-album。讓我們新增允許 Alice 和僅限 Alice 管理此相簿的政策。

建立政策

  1. Verified Permissions 主控台中,選擇您在步驟 1 中建立的政策存放區。

  2. 在導覽中,選擇政策

  3. 選擇建立政策,然後選擇建立靜態政策

  4. 針對政策效果,選擇允許

  5. 對於主體範圍,選擇特定主體,然後對於指定實體類型,選擇 PhotoFlash::User,對於指定實體識別符,輸入 alice

  6. 資源範圍中,選擇特定資源,然後在指定實體類型中,選擇 PhotoFlash::Album,然後在指定實體識別符中,輸入 alice-favorites-album

  7. 針對動作範圍,選擇特定的動作集,然後針對此政策應套用的動作,選取 UpdateAlbum ( UpdateAlbum)UpdateAlbum

  8. 選擇下一步

  9. 詳細資訊下,針對政策描述 - 選擇性輸入 Policy allowing alice to update alice-favorites-album.

  10. 選擇 Create policy (建立政策)

現在您已建立政策,您可以在 Verified Permissions 主控台中進行測試。

步驟 3:測試政策存放區

建立政策存放區和政策之後,您可以使用 Verified Permissions 測試工作台執行模擬授權請求來測試它們。

測試政策存放區政策

  1. 開啟 Verified Permissions 主控台。選擇您的政策存放區。

  2. 在左側導覽窗格中,選擇測試工作台

  3. 選擇視覺化模式

  4. 對於委託人,請執行下列動作:

    1. 針對主體採取動作,選擇 PhotoFlash::User,並針對指定實體識別符,輸入 alice

    2. 在屬性下,針對帳戶:實體,請確定已選取 PhotoFlash::Account 實體,並針對指定實體識別符,輸入 alice-account

  5. 資源下,針對主體執行動作的資源,選擇 PhotoFlash::Album 資源類型,並針對指定實體識別符,輸入 alice-favorites-album

  6. 針對動作,從有效動作清單中選擇 PhotoFlash::Action::"UpdateAlbum"

  7. 在頁面頂端,選擇執行授權請求,以模擬範例政策存放區中 Cedar 政策的授權請求。測試台應該顯示決策:允許 表示我們的政策如預期般運作。

下表提供您可以使用 Verified Permissions 測試工作台測試的委託人、資源和動作的其他值。資料表包含根據 PhotoFlash 範例政策存放區隨附的靜態政策以及您在步驟 2 中建立的政策所做的授權請求決策。

委託人值 委託人帳戶:實體值 資源值 資源父值 Action 授權決策
PhotoFlash::User | Bub PhotoFlash::Account | alice-account PhotoFlash::Album | alice-favorites-album N/A PhotoFlash::Action::"UpdateAlbum" 拒絕
PhotoFlash::User | alice PhotoFlash::Account | alice-account PhotoFlash::Photo | photo.jpeg PhotoFlash::Account | bob-account PhotoFlash::Action::"ViewPhoto" 拒絕
PhotoFlash::User | alice PhotoFlash::Account | alice-account PhotoFlash::Photo | photo.jpeg PhotoFlash::Account | alice-account PhotoFlash::Action::"ViewPhoto" 允許
PhotoFlash::User | alice PhotoFlash::Account | alice-account PhotoFlash::Photo | bob-photo.jpeg PhotoFlash::Album | Bob-Vacation-Album PhotoFlash::Action::"DeletePhoto" 拒絕

步驟 4:清除資源

完成探索政策存放區後,請將其刪除。

刪除政策存放區

  1. Verified Permissions 主控台中,選擇您在步驟 1 中建立的政策存放區。

  2. 在導覽中,選擇設定

  3. 刪除政策存放區下,選擇刪除此政策存放區

  4. 刪除此政策存放區中? 對話方塊,輸入 Delete,然後選擇 Delete