Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crea il tuo primo Amazon Verified Permissions Policy Store
Per questo tutorial, supponiamo che tu sia lo sviluppatore di un'applicazione per la condivisione di foto e che tu stia cercando un modo per controllare le azioni che gli utenti dell'applicazione possono eseguire. Vuoi controllare chi può aggiungere, eliminare o visualizzare foto e album fotografici. Vuoi anche controllare le azioni che un utente può intraprendere sul proprio account. Possono gestire il proprio account, che ne dici dell'account di un amico? Per controllare queste azioni, è necessario creare politiche che consentano o vietino tali azioni in base all'identità dell'utente. Verified Permissions offre [archivi di policy](terminology.md#term-policy-store), o contenitori, per ospitare queste politiche.
In questo tutorial illustreremo come creare un archivio di policy di esempio utilizzando la console Amazon Verified Permissions. La console offre alcuni esempi di opzioni di policy store e creeremo un **PhotoFlash**policy store. Questo archivio delle norme *consente ai responsabili*, come gli utenti, di eseguire *azioni*, come la condivisione, su *risorse*, come foto o album.
Il diagramma seguente illustra le relazioni tra un responsabile e le azioni che può intraprendere su varie risorse, vale a dire il suo PhotoFlash account, il `VactionPhoto94.jpg` file, l'album `alice-favorites-album` di foto e il gruppo di utenti. `User::alice` `alice-friend-group`
Ora che hai una conoscenza del **PhotoFlash**policy store, creiamo il policy store ed esploriamolo.
## Prerequisiti
### Registrati per un Account AWS
Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a [https://aws.amazon.com/](https://aws.amazon.com/)e scegliendo **Il mio account**.
### Crea un utente con accesso amministrativo
Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.
**Proteggi i tuoi Utente root dell'account AWS**
1. Accedi [Console di gestione AWS](https://console.aws.amazon.com/)come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
Per informazioni sull’accesso utilizzando un utente root, consulta la pagina [Accedere come utente root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) nella *Guida per l’utente di Accedi ad AWS *.
1. Abilita l’autenticazione a più fattori (MFA) per l’utente root.
Per istruzioni, consulta [Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console) nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) per l'*IAM utente*.
**Crea un utente con accesso amministrativo**
1. Abilita il Centro identità IAM.
Per istruzioni, consulta [Abilitazione del AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Nel Centro identità IAM, assegna l’accesso amministrativo a un utente.
Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta [Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) nella *Guida per l'AWS IAM Identity Center utente*.
**Accesso come utente amministratore**
+ Per accedere come utente del Centro identità IAM, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente del Centro identità IAM.
Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta [AWS Accedere al portale di accesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) nella *Guida per l'Accedi ad AWS utente*.
**Assegnazione dell’accesso ad altri utenti**
1. Nel Centro identità IAM, crea un set di autorizzazioni conforme alla best practice per l’applicazione di autorizzazioni con il privilegio minimo.
Segui le istruzioni riportate nella pagina [Creazione di un set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).
Per istruzioni, consulta [Aggiungere gruppi](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) nella *Guida per l’utente di AWS IAM Identity Center *.
## Fase 1: Creare un archivio delle politiche PhotoFlash
Nella procedura seguente creerai un archivio **PhotoFlash**delle politiche utilizzando la AWS console.
**Per creare un archivio PhotoFlash delle politiche**
1. Nella [console Autorizzazioni verificate](https://console.aws.amazon.com/verifiedpermissions), scegli **Crea nuovo archivio di politiche**.
1. Per **le opzioni di avvio**, scegli **Inizia da un archivio di policy di esempio**.
1. Per **Progetto di esempio**, scegli **PhotoFlash**.
1. Scegli **Crea archivio di politiche**.
Una volta visualizzato il messaggio «Archivio delle politiche creato e configurato», scegli **Vai alla panoramica** per esplorare il tuo archivio delle politiche.
## Fase 2: Creare una policy
Al momento della creazione del policy store, è stata creata una policy predefinita che consente agli utenti di avere il pieno controllo sui propri account. Si tratta di una politica utile, ma per i nostri scopi, creiamo una politica più restrittiva per esplorare le sfumature delle autorizzazioni verificate. Se ricordate il diagramma che abbiamo visto in precedenza nel tutorial, avevamo un preside`User::alice`, che poteva eseguire un'azione, su una risorsa`UpdateAlbum`,. `alice-favorites-album` Aggiungiamo la politica che permetterà ad Alice, e solo ad Alice, di gestire questo album.
**Per creare una politica**
1. Nella [console Autorizzazioni verificate](https://console.aws.amazon.com/verifiedpermissions), scegli l'archivio delle politiche che hai creato nel passaggio 1.
1. Nella navigazione, scegli **Politiche**.
1. Scegli **Crea politica**, quindi scegli **Crea politica statica**.
1. Per **Effetto policy**, scegli **Permetti**.
1. Per l'**ambito dei** principali, scegli **Principal specifico**, quindi per **Specificare il tipo di entità**, scegli **PhotoFlash: :User** e per **Specificare l'identificatore di entità**, inserisci. **alice**
1. Per l'**ambito delle risorse**, scegli **Risorsa specifica**, quindi per **Specificare il tipo di entità** scegli **PhotoFlash: :Album** e per **Specificare l'identificatore di entità**, inserisci. **alice-favorites-album**
1. Per l'**ambito delle azioni**, scegli **Set di azioni specifico**, quindi per **Azioni a cui deve applicarsi questa politica**, seleziona. **UpdateAlbum**
1. Scegli **Next (Successivo)**.
1. In **Dettagli**, per la **descrizione della politica, facoltativo**, inserisci**Policy allowing alice to update alice-favorites-album.**.
1. Selezionare Creare policy
Ora che hai creato una policy, puoi testarla nella console Autorizzazioni verificate.
## Fase 3: Test di un archivio di policy
Dopo aver creato il policy store e la policy, puoi testarli eseguendo una [richiesta di autorizzazione](terminology.md#term-authorization-request) simulata utilizzando il test bench Verified Permissions.
**Per testare le politiche del Policy Store**
1. Apri la [console delle autorizzazioni verificate](https://console.aws.amazon.com/verifiedpermissions/). Scegli il tuo negozio di polizze.
1. Nel riquadro di navigazione a sinistra, scegli **Test bench**.
1. Scegli la **modalità Visual**.
1. Per **Principal**, procedi come segue:
1. Per **agire da Principal** scegli **PhotoFlash: :User** e per **Specificare l'identificatore di entità, inserisci**. **alice**
1. In **Attributi**, per **Account: Entity, assicurati che l'entità PhotoFlash****: :Account** sia selezionata e per **Specificare l'identificatore di entità**, inserisci. **alice-account**
1. In **Risorsa**, per la **risorsa su cui agisce il principale**, scegli il tipo di risorsa **PhotoFlash: :Album** e per **Specificare l'identificatore di entità**, inserisci. **alice-favorites-album**
1. Per **Azione**, scegli **PhotoFlash: :Action:» UpdateAlbum "**dall'elenco delle azioni valide.
1. Nella parte superiore della pagina, scegli **Esegui richiesta di autorizzazione per simulare la richiesta** di autorizzazione per le politiche Cedar nell'archivio di policy di esempio. Il banco di prova dovrebbe mostrare **Decision: Allow**, che indica che la nostra politica funziona come previsto.
La tabella seguente fornisce valori aggiuntivi per il principale, la risorsa e l'azione che puoi testare con il banco di prova Verified Permissions. La tabella include la decisione sulla richiesta di autorizzazione basata sulle politiche statiche incluse nell'archivio delle politiche di PhotoFlash esempio e sulla politica creata nel passaggio 2.
| **Valore principale** | **Conto principale: valore dell'entità** | **Valore della risorsa** | **Valore principale della risorsa** | **Azione** | **Decisione di autorizzazione** |
| --- | --- | --- | --- | --- | --- |
| PhotoFlash: :Utente \| bob | PhotoFlash: :Conto \| alice-account | PhotoFlash: :Album \| alice-favorites-album | N/D | PhotoFlash: :Azione::» "UpdateAlbum | Rifiuta |
| PhotoFlash: :Utente \| alice | PhotoFlash: :Conto \| alice-account | PhotoFlash: :Foto \| photo.jpeg | PhotoFlash: :Conto \| bob-account | PhotoFlash: :Azione::» "ViewPhoto | Rifiuta |
| PhotoFlash: :Utente \| alice | PhotoFlash: :Conto \| alice-account | PhotoFlash: :Foto \| photo.jpeg | PhotoFlash: :Conto \| alice-account | PhotoFlash: :Azione::» "ViewPhoto | Consenso |
| PhotoFlash: :Utente \| alice | PhotoFlash: :Conto \| alice-account | PhotoFlash: :Foto \| bob-photo.jpeg | PhotoFlash: :Album \| Bob-Vacation-Album | PhotoFlash: :Azione::» "DeletePhoto | Rifiuta |
## Fase 4: Eliminazione delle risorse
Dopo aver finito di esplorare il tuo archivio delle polizze, eliminalo.
**Come eliminare un archivio di policy**
1. Nella [console Autorizzazioni verificate](https://console.aws.amazon.com/verifiedpermissions), scegli il policy store che hai creato nel passaggio 1.
1. Nella navigazione, scegli **Impostazioni.**
1. In **Elimina policy store**, scegli **Elimina questo policy store**.
1. Nel **file Eliminare questo archivio di politiche?** nella finestra di dialogo, inserisci *delete*, quindi scegli **Elimina**.