Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Crea tu primera tienda de políticas de permisos verificados de Amazon
<a name="getting-started-first-policy-store"></a>

Para este tutorial, supongamos que eres el desarrollador de una aplicación para compartir fotos y buscas una forma de controlar las acciones que pueden realizar los usuarios de la aplicación. Quieres controlar quién puede añadir, eliminar o ver fotos y álbumes de fotos. También quieres controlar las acciones que un usuario puede realizar en su cuenta. ¿Pueden administrar su cuenta? ¿Qué tal la cuenta de un amigo? Para controlar estas acciones, debería crear políticas que permitan o prohíban estas acciones en función de la identidad del usuario. Verified Permissions ofrece [almacenes de políticas](terminology.md#term-policy-store), o contenedores, para alojar estas políticas.

En este tutorial, veremos cómo crear un almacén de políticas de muestra mediante la consola de permisos verificados de Amazon. La consola ofrece algunos ejemplos de opciones de almacén de políticas y vamos a crear un almacén **PhotoFlash**de políticas. Este almacén de políticas *permite a los* responsables, como los usuarios, realizar *acciones*, como compartir, *recursos* como fotos o álbumes.

En el siguiente diagrama`User::alice`, se ilustran las relaciones entre un director y las acciones que puede realizar en varios recursos, como su PhotoFlash cuenta, el `VactionPhoto94.jpg` archivo, el álbum `alice-favorites-album` de fotos y el grupo `alice-friend-group` de usuarios.

![\[PhotoFlash relaciones entre entidades\]](http://docs.aws.amazon.com/es_es/verifiedpermissions/latest/userguide/images/PhotoFlash.png)


Ahora que ya conoce el almacén de **PhotoFlash**políticas, vamos a crearlo y explorarlo.

## Requisitos previos
<a name="getting-started-prerequisites"></a>

### Inscríbase en una Cuenta de AWS
<a name="sign-up-for-aws"></a>

Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

**Para suscribirse a una Cuenta de AWS**

1. Abrir [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup).

1. Siga las instrucciones que se le indiquen.

   Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.

   Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a [https://aws.amazon.com/](https://aws.amazon.com/)y seleccionando **Mi cuenta**.

### Creación de un usuario con acceso administrativo
<a name="create-an-admin"></a>

Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.

**Proteja su Usuario raíz de la cuenta de AWS**

1.  Inicie sesión [Consola de administración de AWS](https://console.aws.amazon.com/)como propietario de la cuenta seleccionando el **usuario root** e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

   Para obtener ayuda para iniciar sesión con el usuario raíz, consulte [Iniciar sesión como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) en la *Guía del usuario de AWS Sign-In *.

1. Active la autenticación multifactor (MFA) para el usuario raíz.

   Para obtener instrucciones, consulte [Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS root (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) en la Guía del *IAM usuario*.

**Creación de un usuario con acceso administrativo**

1. Activar IAM Identity Center.

   Consulte las instrucciones en [Activar AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) en la *Guía del usuario de AWS IAM Identity Center *.

1. En IAM Identity Center, conceda acceso administrativo a un usuario.

   Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte [Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) en la *Guía del AWS IAM Identity Center usuario*.

**Inicio de sesión como usuario con acceso de administrador**
+ Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

  Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte [Iniciar sesión en el portal de AWS acceso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) en la *Guía del AWS Sign-In usuario*.

**Concesión de acceso a usuarios adicionales**

1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

   Para conocer las instrucciones, consulte [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) en la *Guía del usuario de AWS IAM Identity Center *.

1. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

   Para conocer las instrucciones, consulte [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) en la *Guía del usuario de AWS IAM Identity Center *.

## Paso 1: Crear un almacén de políticas PhotoFlash
<a name="getting-started-first-sample-policy-store"></a>

En el siguiente procedimiento, creará un almacén **PhotoFlash**de políticas mediante la AWS consola.

**Para crear un almacén PhotoFlash de políticas**

1. En la [consola de permisos verificados](https://console.aws.amazon.com/verifiedpermissions), elija **Crear un nuevo almacén de políticas**.

1. Para **las opciones de inicio**, elija **Comenzar desde un almacén de políticas de muestra**.

1. En **Proyecto de muestra**, elija **PhotoFlash**.

1. Seleccione **Crear almacén de políticas**.

Cuando aparezca el mensaje «Almacén de políticas creado y configurado», elija **Ir a la descripción general** para explorar su almacén de políticas.

## Paso 2: Crea una política
<a name="getting-started-creating-policy"></a>

Al crear el almacén de políticas, se creó una política predeterminada que permite a los usuarios tener el control total sobre sus propias cuentas. Es una política útil, pero para nuestros propósitos, creemos una política más restrictiva para explorar los matices de los permisos verificados. Si recuerdas el diagrama que vimos anteriormente en el tutorial, teníamos un director,`User::alice`, que podía realizar una acción,`UpdateAlbum`, en un recurso,`alice-favorites-album`. Añadamos la política que permitirá a Alice, y solo a Alice, gestionar este álbum.

**Creación de una política**

1. En la [consola de permisos verificados](https://console.aws.amazon.com/verifiedpermissions), elija el almacén de políticas que creó en el paso 1.

1. En la barra de navegación, elija **Políticas**.

1. Seleccione **Crear política** y, a continuación, elija **Crear política estática**.

1. Para que **la política surta efecto**, selecciona **Permitir**.

1. Para el **ámbito de los** principales, elija **Principal específico;** a continuación, para **Especificar el tipo de entidad**, elija **PhotoFlash: :Usuario** y, para **Especificar el identificador de la entidad, introduzca**. **alice**

1. En **Ámbito de recursos**, elija **Recurso específico**, después en **Especificar tipo de entidad**, elija **PhotoFlash: :Álbum** y, en **Especificar identificador de entidad**, introduzca. **alice-favorites-album**

1. En **Alcance de las acciones**, elija **Conjunto específico de acciones** y, a continuación, en Acciones **a las que debería aplicarse esta política**, seleccione **UpdateAlbum**.

1. Elija **Siguiente**.

1. En **Detalles**, en **Descripción de la política (opcional)**, ingresa**Policy allowing alice to update alice-favorites-album.**.

1. Elija Create Policy

Ahora que ha creado una política, puede probarla en la consola de permisos verificados.

## Paso 3: Probar un almacén de políticas
<a name="getting-started-testing-first-sample-policy-store"></a>

Tras crear el almacén de políticas y la política, puede probarlos ejecutando una [solicitud de autorización](terminology.md#term-authorization-request) simulada mediante el banco de pruebas de permisos verificados.

**Para probar las políticas del almacén de políticas**

1. Abra la [consola de permisos verificados](https://console.aws.amazon.com/verifiedpermissions/). Elige tu almacén de políticas.

1. En el panel de navegación de la izquierda, seleccione **Banco de pruebas**.

1. Elija **Modo visual**.

1. Para **Principal**, haga lo siguiente:

   1. Para que **Principal tome medidas**, elija **PhotoFlash: :Usuario** y para **Especificar el identificador de la entidad**, introduzca**alice**.

   1. En **Atributos**, en **Cuenta: Entidad**, asegúrese de que esté seleccionada la entidad **PhotoFlash: :Account** y, en **Especificar identificador de entidad, introduzca**. **alice-account**

1. En **Recurso**, en **Recurso sobre el que actúa el principal**, elija el tipo de recurso **PhotoFlash: :Album** y, en **Especificar el identificador de la entidad, introduzca**. **alice-favorites-album**

1. En **Acción**, elija **PhotoFlash: :Action::»UpdateAlbum»** de la lista de acciones válidas.

1. En la parte superior de la página, seleccione **Ejecutar solicitud de autorización** para simular la solicitud de autorización para las políticas de Cedar en el almacén de políticas de muestra. El banco de pruebas debería mostrar **Decision: Allow**, lo que indica que nuestra política funciona según lo esperado.

La siguiente tabla proporciona valores adicionales para la entidad principal, el recurso y la acción que puede probar con el banco de pruebas de Verified Permissions. La tabla incluye la decisión de solicitud de autorización basada en las políticas estáticas incluidas en el almacén de políticas de PhotoFlash muestra y en la política que creó en el paso 2.


|  **Valor de entidad principal**  |  **Valor Account: Entity de entidad principal**  |  **Valor de recurso**  |  **Valor de elemento principal del recurso**  |  **Action**  |  **Decisión de autorización**  | 
| --- | --- | --- | --- | --- | --- | 
| PhotoFlash: :Usuario \$1 bob | PhotoFlash: :Cuenta \$1 alice-account | PhotoFlash: :Álbum \$1 alice-favorites-album | N/A | PhotoFlash: :Acción::»» UpdateAlbum | Denegar | 
| PhotoFlash: :Usuario \$1 alice | PhotoFlash: :Cuenta \$1 alice-account | PhotoFlash: :Foto \$1 photo.jpeg | PhotoFlash: :Cuenta \$1 bob-account | PhotoFlash: :Acción::»» ViewPhoto | Denegar | 
| PhotoFlash: :Usuario \$1 alice | PhotoFlash: :Cuenta \$1 alice-account | PhotoFlash: :Foto \$1 photo.jpeg | PhotoFlash: :Cuenta \$1 alice-account | PhotoFlash: :Acción::»» ViewPhoto | Permitir | 
| PhotoFlash: :Usuario \$1 alice | PhotoFlash: :Cuenta \$1 alice-account | PhotoFlash: :Foto \$1 bob-photo.jpeg | PhotoFlash: :Álbum \$1 Bob-Vacation-Album | PhotoFlash: :Acción::»» DeletePhoto | Denegar | 

## Paso 4: limpie los recursos
<a name="getting-started-clean-up"></a>

Cuando haya terminado de explorar su almacén de políticas, elimínelo.

**Para eliminar un almacén de políticas**

1. En la [consola de permisos verificados](https://console.aws.amazon.com/verifiedpermissions), elija el almacén de políticas que creó en el paso 1.

1. En la barra de navegación, selecciona **Configuración**.

1. En **Eliminar almacén de políticas**, selecciona **Eliminar este almacén de políticas**.

1. En la sección ¿**Eliminar este almacén de políticas?** en el cuadro de diálogo, escriba *eliminar* y, a continuación, elija **Eliminar**.