Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie Ihren ersten Amazon Verified Permissions Policy Store
<a name="getting-started-first-policy-store"></a>

Gehen wir für dieses Tutorial davon aus, dass Sie der Entwickler einer Anwendung zum Teilen von Fotos sind und nach einer Möglichkeit suchen, zu kontrollieren, welche Aktionen die Benutzer der Anwendung ausführen können. Sie möchten steuern, wer Fotos und Fotoalben hinzufügen, löschen oder ansehen kann. Sie möchten auch kontrollieren, welche Aktionen ein Benutzer auf seinem Konto ausführen kann. Können sie ihr Konto verwalten, wie wäre es mit dem Konto eines Freundes? Um diese Aktionen zu kontrollieren, müssten Sie Richtlinien erstellen, die diese Aktionen auf der Grundlage der Identität des Benutzers zulassen oder verbieten. Verified Permissions bietet [Richtlinienspeicher](terminology.md#term-policy-store) oder Container, in denen diese Richtlinien gespeichert werden.

In diesem Tutorial erfahren Sie, wie Sie mithilfe der Amazon Verified Permissions-Konsole einen Beispiel-Policy-Shop erstellen. Die Konsole bietet einige Beispieloptionen für den Policy Store, und wir werden einen **PhotoFlash**Policy Store erstellen. Dieser Richtlinienspeicher ermöglicht es *Prinzipalen*, z. B. Benutzern, *Aktionen* wie das Teilen von *Ressourcen* wie Fotos oder Alben durchzuführen.

Das folgende Diagramm veranschaulicht die Beziehungen zwischen einer Principal und die Aktionen`User::alice`, die sie für verschiedene Ressourcen ausführen kann, nämlich für ihr PhotoFlash Konto, die `VactionPhoto94.jpg` Datei, das Fotoalbum `alice-favorites-album` und die Benutzergruppe`alice-friend-group`.

![PhotoFlash Beziehungen zwischen Entitäten](http://docs.aws.amazon.com/de_de/verifiedpermissions/latest/userguide/images/PhotoFlash.png)


Nachdem Sie sich mit dem **PhotoFlash**Richtlinienspeicher vertraut gemacht haben, wollen wir den Richtlinienspeicher erstellen und ihn näher untersuchen.

## Voraussetzungen
<a name="getting-started-prerequisites"></a>

### Melden Sie sich an für ein AWS-Konto
<a name="sign-up-for-aws"></a>

Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

**Um sich für eine anzumelden AWS-Konto**

1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)

1. Folgen Sie den Online-Anweisungen.

   Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.

   Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu [https://aws.amazon.com/](https://aws.amazon.com/)gehst und **Mein Konto** auswählst.

### Erstellen eines Benutzers mit Administratorzugriff
<a name="create-an-admin"></a>

Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.

**Sichern Sie Ihre Root-Benutzer des AWS-Kontos**

1.  Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

   Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu.

1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

   Anweisungen finden Sie im *Benutzerhandbuch unter Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto IAM Root-Benutzer* [(Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html).

**Erstellen eines Benutzers mit Administratorzugriff**

1. Aktivieren Sie das IAM Identity Center.

   Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.

   Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden [Sie IAM-Identity-Center-Verzeichnis im *Benutzerhandbuch* unter Benutzerzugriff mit der Standardeinstellung konfigurieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html).AWS IAM Identity Center 

**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

  Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie [im *AWS-Anmeldung Benutzerhandbuch* unter Anmeldung beim AWS Access-Portal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html).

**Weiteren Benutzern Zugriff zuweisen**

1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.

   Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

   Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

## Schritt 1: Erstellen Sie einen Richtlinienspeicher PhotoFlash
<a name="getting-started-first-sample-policy-store"></a>

Im folgenden Verfahren erstellen Sie mithilfe der AWS Konsole einen **PhotoFlash**Richtlinienspeicher.

**Um einen PhotoFlash Richtlinienspeicher zu erstellen**

1. Wählen Sie in der [Konsole „Verifizierte Berechtigungen](https://console.aws.amazon.com/verifiedpermissions)“ die Option **Neuen Richtlinienspeicher erstellen** aus.

1. Wählen Sie für **Startoptionen** die Option **Aus einem Beispielrichtlinienspeicher starten** aus.

1. Wählen Sie für **Beispielprojekt** die Option **PhotoFlash**.

1. Wählen Sie „**Richtlinienspeicher erstellen**“ aus.

Sobald Sie die Meldung „Richtlinienspeicher erstellt und konfiguriert“ sehen, wählen Sie **Gehe zur Übersicht**, um Ihren Richtlinienspeicher zu erkunden.

## Schritt 2: Erstellen Sie eine Richtlinie
<a name="getting-started-creating-policy"></a>

Bei der Erstellung des Richtlinienspeichers wurde eine Standardrichtlinie erstellt, die es Benutzern ermöglicht, die volle Kontrolle über ihre eigenen Konten zu haben. Dies ist eine nützliche Richtlinie, aber für unsere Zwecke sollten wir eine restriktivere Richtlinie erstellen, um die Nuancen verifizierter Berechtigungen zu untersuchen. Wenn Sie sich an das Diagramm erinnern, das wir uns zu Beginn des Tutorials angesehen haben, hatten wir einen Principal`User::alice`, der eine Aktion,`UpdateAlbum`, an einer Ressource,, ausführen konnte`alice-favorites-album`. Fügen wir die Richtlinie hinzu, die es Alice und nur Alice erlaubt, dieses Album zu verwalten.

**Um eine Richtlinie zu erstellen**

1. Wählen Sie in der [Konsole „Verifizierte Berechtigungen](https://console.aws.amazon.com/verifiedpermissions)“ den Richtlinienspeicher aus, den Sie in Schritt 1 erstellt haben.

1. Wählen Sie in der Navigation die Option **Richtlinien** aus.

1. Wählen Sie **Richtlinie erstellen** und dann **Statische Richtlinie erstellen** aus.

1. Wählen Sie für **Richtlinieneffekt** die Option **Zulassen** aus.

1. Wählen Sie für **Principals scope** die Option **Specific Principal** aus, wählen Sie dann für **Entitätstyp angeben** die Option **PhotoFlash: :User** aus und **geben Sie für Entitäts-ID angeben** den Wert ein. **alice**

1. Wählen Sie für **Ressourcenbereich** die Option **Spezifische Ressource** aus, wählen Sie dann für **Entitätstyp angeben** die Option **PhotoFlash: :Album** und geben Sie für **Entitäts-ID angeben den Wert** ein. **alice-favorites-album**

1. Wählen Sie für **Aktionsbereich** die Option **Spezifische Gruppe von Aktionen** und dann für **Aktion (en), für die diese Richtlinie gelten soll, die** Option aus **UpdateAlbum**.

1. Wählen Sie **Weiter** aus.

1. Geben **Sie unter Details** für **Richtlinienbeschreibung — optional Folgendes** ein**Policy allowing alice to update alice-favorites-album.**.

1. Wählen Sie Richtlinie erstellen aus

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie in der Konsole „Verifizierte Berechtigungen“ testen.

## Schritt 3: Testen eines Richtlinienspeichers
<a name="getting-started-testing-first-sample-policy-store"></a>

Nachdem Sie Ihren Richtlinienspeicher und Ihre Richtlinie erstellt haben, können Sie sie testen, indem Sie eine simulierte [Autorisierungsanfrage](terminology.md#term-authorization-request) mit dem Prüfstand für verifizierte Berechtigungen ausführen.

**Um Richtlinien des Richtlinienspeichers zu testen**

1. Öffnen Sie die [Konsole Verified Permissions](https://console.aws.amazon.com/verifiedpermissions/). Wählen Sie Ihren Richtlinienspeicher aus.

1. Wählen Sie im Navigationsbereich auf der linken Seite die Option **Testbench** aus.

1. Wählen Sie den **Visuellen Modus**.

1. Gehen Sie für **Principal** wie folgt vor:

   1. Wählen Sie für **Principal, der eine Aktion PhotoFlash** **durchführt: :User** und für **Entitätsbezeichner angeben** den **alice** Wert ein.

   1. Vergewissern Sie sich, dass unter **Attribute** für **Account: Entität** die Entität **PhotoFlash: :Account** ausgewählt ist, und **geben Sie für Entitäts-ID angeben den** Wert ein. **alice-account**

1. Wählen Sie unter **Ressource** für **Ressource, auf die der Prinzipal reagiert**, den Ressourcentyp **PhotoFlash: :Album** und **geben Sie für Entitäts-ID angeben den folgenden Wert** ein. **alice-favorites-album**

1. Wählen Sie für **Aktion PhotoFlash****: :Action::“ UpdateAlbum "**aus der Liste der gültigen Aktionen aus.

1. Wählen Sie oben auf der Seite die Option **Autorisierungsanfrage ausführen aus, um die Autorisierungsanfrage** für die Cedar-Richtlinien im Beispielrichtlinienspeicher zu simulieren. Auf dem Prüfstand sollte **Entscheidung: Zulassen** angezeigt werden, was bedeutet, dass unsere Richtlinie erwartungsgemäß funktioniert.

Die folgende Tabelle enthält zusätzliche Werte für den Prinzipal, die Ressource und die Aktion, die Sie mit dem Prüfstand für verifizierte Berechtigungen testen können. Die Tabelle enthält die Entscheidung über die Autorisierungsanfrage, die auf den statischen Richtlinien basiert, die im PhotoFlash Beispielrichtlinienspeicher enthalten sind, und auf der Richtlinie, die Sie in Schritt 2 erstellt haben.


|  **Hauptwert**  |  **Hauptkonto: Unternehmenswert**  |  **Wert der Ressource**  |  **Wert der übergeordneten Ressource**  |  **Action (Aktion)**  |  **Entscheidung über die Autorisierung**  | 
| --- | --- | --- | --- | --- | --- | 
| PhotoFlash: :Benutzer \| bob | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash:: Album \| alice-favorites-album | – | PhotoFlash: :Aktion::“ "UpdateAlbum | Deny | 
| PhotoFlash: :Benutzer \| alice | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash: :Foto \| photo.jpeg | PhotoFlash: :Konto \| Bob-Konto | PhotoFlash: :Aktion::“ "ViewPhoto | Deny | 
| PhotoFlash: :Benutzer \| alice | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash: :Foto \| photo.jpeg | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash: :Aktion::“ "ViewPhoto | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf | 
| PhotoFlash: :Benutzer \| alice | PhotoFlash: :Konto \| Alice-Konto | PhotoFlash: :Foto \| bob-photo.jpeg | PhotoFlash:: Album \| Bob-Vacation-Album | PhotoFlash: :Aktion::“ "DeletePhoto | Deny | 

## Schritt 4: Bereinigen von Ressourcen
<a name="getting-started-clean-up"></a>

Nachdem Sie Ihren Richtlinienspeicher durchsucht haben, löschen Sie ihn.

**So löschen Sie einen Richtlinienspeicher**

1. Wählen Sie in der [Konsole „Verifizierte Berechtigungen](https://console.aws.amazon.com/verifiedpermissions)“ den Richtlinienspeicher aus, den Sie in Schritt 1 erstellt haben.

1. Wählen Sie in der Navigation **Einstellungen** aus.

1. Wählen **Sie unter Richtlinienspeicher** **löschen die Option Diesen Richtlinienspeicher** löschen aus.

1. Im Bereich **Diesen Richtlinienspeicher löschen?** Geben Sie im Dialogfeld *Löschen* ein, und wählen Sie dann **Löschen** aus.