本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建您的第一个 Amazon 认证权限策略商店
<a name="getting-started-first-policy-store"></a>

在本教程中，假设您是照片共享应用程序的开发人员，并且您正在寻找一种方法来控制该应用程序的用户可以执行的操作。你想控制谁可以添加、删除或查看照片和相册。您还想控制用户可以对其账户执行哪些操作。他们能管理自己的账户吗，朋友的账户怎么样？ 要控制这些操作，您需要根据用户的身份创建允许或禁止这些操作的策略。Verified Permissions 提供[策略存储库](terminology.md#term-policy-store)或容器来存放这些政策。

在本教程中，我们将介绍如何使用 Amazon Verified Permissions 控制台创建示例策略存储。控制台提供了一些示例策略存储选项，我们将创建一个**PhotoFlash**策略存储。此策略存储允许*委托人*（例如用户）对照片或相册等*资源*执行*操作*，例如共享。

下图说明了委托人与她可以对各种资源（即她的 PhotoFlash 账户、`VactionPhoto94.jpg`文件、相册`alice-favorites-album`和用户组）采取的操作之间的关系`alice-friend-group`。`User::alice`

![\[PhotoFlash 实体关系\]](http://docs.amazonaws.cn/verifiedpermissions/latest/userguide/images/PhotoFlash.png)


现在您已经了解了**PhotoFlash**策略存储，接下来让我们创建策略存储并对其进行探索。

## 先决条件
<a name="getting-started-prerequisites"></a>

### 注册获取 Amazon Web Services 账户
<a name="sign-up-for-aws"></a>

如果您没有 Amazon Web Services 账户，请完成以下步骤来创建一个。

**要注册 Amazon Web Services 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.amazonaws.cn/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 Amazon Web Services 账户，就会创建*Amazon Web Services 账户根用户*一个。根用户有权访问该账户中的所有 Amazon Web Services 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

Amazon 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://www.amazonaws.cn/)并选择 “**我的账户”，查看您当前的账户活动并管理您的账户**。

### 保护 IAM 用户
<a name="secure-an-admin"></a>

注册后 Amazon Web Services 账户，开启多重身份验证 (MFA)，保护您的管理用户。有关说明，请参阅《IAM 用户指南》**中的[为 IAM 用户启用虚拟 MFA 设备（控制台）](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-iam-user)。

要允许其他用户访问您的 Amazon Web Services 账户 资源，请创建 IAM 用户。为了保护您的 IAM 用户，请启用 MFA 并仅向 IAM 用户授予执行任务所需的权限。

有关创建和保护 IAM 用户的更多信息，请参阅《IAM 用户指南》**中的以下主题：
+ [在你的 IAM 用户中创建 Amazon Web Services 账户](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_create.html)
+ [适用于 Amazon 资源的访问权限管理](https://docs.amazonaws.cn/IAM/latest/UserGuide/access.html)
+ [IAM 基于身份的策略示例](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_examples.html)

## 步骤 1：创建 PhotoFlash 策略存储
<a name="getting-started-first-sample-policy-store"></a>

在以下步骤中，您将使用 Amazon 控制台创建**PhotoFlash**策略存储。

**创建 PhotoFlash 策略存储**

1. 在[已验证的权限控制台](https://console.amazonaws.cn/verifiedpermissions)中，选择**创建新的策略存储**。

1. 对于 “**启动” **选项**，选择 “从示例策略存储**开始”。

1. 对于**示例项目**，请选择**PhotoFlash**。

1. 选择**创建策略存储**。

看到 “已创建并配置策略存储” 消息后，选择 “**转至概览**” 以浏览您的策略存储。

## 步骤 2：创建策略
<a name="getting-started-creating-policy"></a>

创建策略存储时，创建了一个默认策略，允许用户完全控制自己的账户。这是一项有用的政策，但出于我们的目的，让我们创建一个更具限制性的策略来探讨已验证权限的细微差别。如果你还记得我们在本教程前面看过的图表`User::alice`，我们有一个委托人`UpdateAlbum`，他可以对资源执行操作`alice-favorites-album`。让我们添加一项政策，允许爱丽丝（且只有 Alice）管理这张专辑。

**创建策略**

1. 在[已验证权限控制台](https://console.amazonaws.cn/verifiedpermissions)中，选择您在步骤 1 中创建的策略存储。

1. 在导航中，选择**策略**。

1. 选择**创建策略**，然后选择**创建静态策略**。

1. 对于**策略效果**，请选择**许可**。

1. 对于 “**委托人范围**”，选择 “**特定委托人**”，然后在 “**指定实体类型**” 中选择**PhotoFlash:: 用户**，在 “**指定实体标识符**” 中输入。**alice**

1. 对于 “**资源范围**”，选择 “**特定资源**”，然后在 “**指定实体类型**” 中选择**PhotoFlash:: Album**，在 “**指定实体标识符**” 中输入**alice-favorites-album**。

1. 对于 “**操作范围**”，选择 “**特定操作集**”，然后在 “**此策略应适用的**操作” 中选择**UpdateAlbum**。

1. 选择**下一步**。

1. 在 “**详细信息**” 下，在 “**策略描述-可选**” 中输入**Policy allowing alice to update alice-favorites-album.**。

1. 选择创建策略

现在，您已经创建了策略，可以在已验证的权限控制台中对其进行测试。

## 步骤 3：测试策略存储
<a name="getting-started-testing-first-sample-policy-store"></a>

创建策略存储库和策略后，您可以使用已验证权限测试平台运行模拟[授权请求](terminology.md#term-authorization-request)来对其进行测试。

**要测试策略，请存储策略**

1. 打开已[验证权限控制台](https://console.amazonaws.cn/verifiedpermissions/)。选择您的保单商店。

1. 在左侧导航窗格中，选择**测试平台**。

1. 选择**可视模式**。

1. 对于**校长**，请执行以下操作：

   1. 对于**委托人正在采取行动**，请选择**PhotoFlash:: User**，对于**指定实体标识符**，请输入**alice**。

   1. 在 **“属性”** 下，对于 “**账户：实体**”，确保选择**PhotoFlash:: Accoun** t 实体，然后**在 “指定实体标识符**” 中输入**alice-account**。

1. 在**资源**下，对于**委托人正在操作的资源**，选择**PhotoFlash:: Al** bum 资源类型，在 “**指定实体标识符**” 中输入**alice-favorites-album**。

1. 对于 “**操作**”，请从有效**操作列表中选择PhotoFlash:: Action:: UpdateAlbum “”**。

1. 在页面顶部，选择**运行授权请求**以在示例策略存储中模拟 Cedar 策略的授权请求。测试平台应显示 “**决定：允许**”，表明我们的政策按预期运行。

下表提供了您可以使用 Verified Permissions 测试平台测试的主体、资源和操作的其他值。该表包括基于 PhotoFlash 示例策略存储中包含的静态策略和您在步骤 2 中创建的策略的授权请求决定。


|  **主体值**  |  **主体账户：实体值**  |  **资源值**  |  **资源父级值**  |  **操作**  |  **授权决策**  | 
| --- | --- | --- | --- | --- | --- | 
| PhotoFlash:: 用户 \$1 b ob | PhotoFlash:: 账户 \$1 alice-account | PhotoFlash:: 相册 \$1 alice-favorites-album | 不适用 | PhotoFlash:: 动作::”” UpdateAlbum | 拒绝 | 
| PhotoFlash:: 用户 \$1 爱丽丝 | PhotoFlash:: 账户 \$1 alice-account | PhotoFlash:: Photo \$1 photo.jpeg | PhotoFlash:: 账户 \$1 bob-account | PhotoFlash:: 动作::”” ViewPhoto | 拒绝 | 
| PhotoFlash:: 用户 \$1 爱丽丝 | PhotoFlash:: 账户 \$1 alice-account | PhotoFlash:: Photo \$1 photo.jpeg | PhotoFlash:: 账户 \$1 alice-account | PhotoFlash:: 动作::”” ViewPhoto | 允许 | 
| PhotoFlash:: 用户 \$1 爱丽丝 | PhotoFlash:: 账户 \$1 alice-account | PhotoFlash:: Photo \$1 bob-photo.jpeg | PhotoFlash:: 相册 \$1 Bob-Vacation-Album | PhotoFlash:: 动作::”” DeletePhoto | 拒绝 | 

## 步骤 4：清理资源
<a name="getting-started-clean-up"></a>

浏览完保单存储库后，将其删除。

**删除策略存储**

1. 在[已验证权限控制台](https://console.amazonaws.cn/verifiedpermissions)中，选择您在步骤 1 中创建的策略存储。

1. 在导航栏中，选择**设置**。

1. 在 **“删除策略存储**” 下，选择 “**删除此策略存储**”。

1. 在 “**删除此政策” 存储区中？** 对话框中，输入 *delete*，然后选择**删除**。