

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立您的第一個 Amazon Verified Permissions 政策存放區
<a name="getting-started-first-policy-store"></a>

在本教學課程中，假設您是相片共享應用程式的開發人員，而且您正在尋找方法來控制應用程式使用者可以執行的動作。您想要控制誰可以新增、刪除或檢視相片和相簿。您也想要控制使用者可以對其帳戶採取哪些動作。他們可以管理自己的帳戶，朋友的帳戶呢？ 若要控制這些動作，您可以建立根據使用者身分允許或禁止這些動作的政策。Verified Permissions 提供[政策存放](terminology.md#term-policy-store)區或容器來存放這些政策。

在本教學課程中，我們將逐步解說如何使用 Amazon Verified Permissions 主控台建立範例政策存放區。主控台提供幾個範例政策存放區選項，我們將建立 **PhotoFlash** 政策存放區。此政策存放區允許 *主體*，例如使用者，對相片或相簿等*資源*執行共用等*動作*。

下圖說明委託人 與 之間的關係`User::alice`，以及她可對各種資源採取的動作，也就是她的 PhotoFlash 帳戶、 `VactionPhoto94.jpg` 檔案`alice-favorites-album`、相簿 和使用者群組 `alice-friend-group`。

![\[PhotoFlash 實體關係\]](http://docs.aws.amazon.com/zh_tw/verifiedpermissions/latest/userguide/images/PhotoFlash.png)


現在您已了解 **PhotoFlash** 政策存放區，讓我們建立並探索政策存放區。

## 先決條件
<a name="getting-started-prerequisites"></a>

### 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

### 建立具有管理存取權的使用者
<a name="create-an-admin"></a>

註冊 後 AWS 帳戶，請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者，以免將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱*IAM 《 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 步驟 1：建立 PhotoFlash 政策存放區
<a name="getting-started-first-sample-policy-store"></a>

在下列程序中，您將使用 AWS 主控台建立 **PhotoFlash** 政策存放區。

**建立 PhotoFlash 政策存放區**

1. 在 [Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions)中，選擇**建立新政策存放區**。

1. 針對**開始選項**，**從範例政策存放區中選擇開始**。

1. 針對**範例專案**，選擇 **PhotoFlash**。

1. 選擇**建立政策存放區**。

看到「已建立和設定的政策存放區」訊息後，請選擇**移至概觀**來探索您的政策存放區。

## 步驟 2：建立政策
<a name="getting-started-creating-policy"></a>

當您建立政策存放區時，已建立預設政策，允許使用者完全控制自己的帳戶。這是一個有用的政策，但為了我們的目的，讓我們建立更嚴格的政策來探索 Verified Permissions 的細微差別。如果您記得我們在教學中稍早看到的圖表，我們有委託人 `User::alice`，他們可以`UpdateAlbum`在資源 上執行動作 `alice-favorites-album`。讓我們新增允許 Alice 和僅限 Alice 管理此相簿的政策。

**建立政策**

1. 在 [Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions)中，選擇您在步驟 1 中建立的政策存放區。

1. 在導覽中，選擇**政策**。

1. 選擇**建立政策**，然後選擇**建立靜態政策**。

1. 針對**政策效果**，選擇**允許**。

1. 對於**主體範圍**，選擇**特定主體**，然後對於**指定實體類型**，選擇 **PhotoFlash：：User**，對於**指定實體識別符**，輸入 **alice**。

1. 在**資源範圍**中，選擇**特定資源**，然後在**指定實體類型**中，選擇 **PhotoFlash：：Album**，然後在**指定實體識別符**中，輸入 **alice-favorites-album**。

1. 針對**動作範圍**，選擇**特定的動作集**，然後針對**此政策應套用的動作，選取 UpdateAlbum ( UpdateAlbum)**。 **UpdateAlbum**

1. 選擇**下一步**。

1. 在**詳細資訊**下，針對**政策描述 - 選擇性**輸入 **Policy allowing alice to update alice-favorites-album.**。

1. 選擇 Create policy (建立政策)

現在您已建立政策，您可以在 Verified Permissions 主控台中測試該政策。

## 步驟 3：測試政策存放區
<a name="getting-started-testing-first-sample-policy-store"></a>

建立政策存放區和政策之後，您可以使用 Verified Permissions 測試工作台執行模擬[授權請求](terminology.md#term-authorization-request)來測試它們。

**測試政策存放區政策**

1. 開啟 [Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions/)。選擇您的政策存放區。

1. 在左側導覽窗格中，選擇**測試工作台**。

1. 選擇**視覺化模式**。

1. 對於**委託人**，請執行下列動作：

   1. 針對**主體採取動作**，選擇 **PhotoFlash：：User**，並針對**指定實體識別符**，輸入 **alice**。

   1. **在屬性**下，針對**帳戶：實體**，請確定已選取 **PhotoFlash：：Account** 實體，並針對**指定實體識別符**，輸入 **alice-account**。

1. 在**資源**下，針對**主體執行動作的資源**，選擇 **PhotoFlash：：Album** 資源類型，並針對**指定實體識別符**，輸入 **alice-favorites-album**。

1. 針對**動作**，從有效動作清單中選擇 **PhotoFlash：：Action：："UpdateAlbum"**。

1. 在頁面頂端，選擇**執行授權請求**，以模擬範例政策存放區中 Cedar 政策的授權請求。測試工作台應該會顯示**決策：允許** 指出我們的政策如預期般運作。

下表提供您可以使用 Verified Permissions 測試工作台測試的委託人、資源和動作的其他值。資料表包含以 PhotoFlash 範例政策存放區隨附的靜態政策，以及您在步驟 2 中建立的政策為基礎的授權請求決策。


|  **委託人值**  |  **委託人帳戶：實體值**  |  **資源值**  |  **資源父值**  |  **Action**  |  **授權決策**  | 
| --- | --- | --- | --- | --- | --- | 
| PhotoFlash：：User \$1 bob | PhotoFlash：：Account \$1 alice-account | PhotoFlash：：Album \$1 alice-favorites-album | N/A | PhotoFlash：：Action：："UpdateAlbum" | 拒絕 | 
| PhotoFlash：：User \$1 alice | PhotoFlash：：Account \$1 alice-account | PhotoFlash：：Photo \$1 photo.jpeg | PhotoFlash：：Account \$1 bob-account | PhotoFlash：：Action：："ViewPhoto" | 拒絕 | 
| PhotoFlash：：User \$1 alice | PhotoFlash：：Account \$1 alice-account | PhotoFlash：：Photo \$1 photo.jpeg | PhotoFlash：：Account \$1 alice-account | PhotoFlash：：Action：："ViewPhoto" | 允許 | 
| PhotoFlash：：User \$1 alice | PhotoFlash：：Account \$1 alice-account | PhotoFlash：：Photo \$1 bob-photo.jpeg | PhotoFlash：：Album \$1 Bob-Vacation-Album | PhotoFlash：：Action：："DeletePhoto" | 拒絕 | 

## 步驟 4：清除資源
<a name="getting-started-clean-up"></a>

完成政策存放區的探索後，請將其刪除。

**刪除政策存放區**

1. 在 [Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions)中，選擇您在步驟 1 中建立的政策存放區。

1. 在導覽中，選擇**設定**。

1. 在**刪除政策存放**區下，選擇**刪除此政策存放區**。

1. 在**刪除此政策存放區？**對話方塊中，輸入*刪除*，然後選擇**刪除**。