Crie seu primeiro repositório de políticas de permissões verificadas da Amazon

Para este tutorial, vamos supor que você seja o desenvolvedor de um aplicativo de compartilhamento de fotos e esteja procurando uma maneira de controlar quais ações os usuários do aplicativo podem realizar. Você quer controlar quem pode adicionar, excluir ou ver fotos e álbuns de fotos. Você também quer controlar quais ações um usuário pode realizar em sua conta. Eles podem gerenciar sua conta? Que tal a conta de um amigo? Para controlar essas ações, você criaria políticas que permitem ou proíbem essas ações com base na identidade do usuário. O Verified Permissions oferece repositórios de políticas, ou contêineres, para abrigar essas políticas.

Neste tutorial, explicaremos como criar um exemplo de armazenamento de políticas usando o console Amazon Verified Permissions. O console oferece alguns exemplos de opções de armazenamento de políticas e vamos criar um repositório PhotoFlashde políticas. Esse repositório de políticas permite que diretores, como usuários, realizem ações, como compartilhamento, em recursos, como fotos ou álbuns.

O diagrama a seguir ilustra as relações entre uma diretora e as ações que ela pode realizar com vários recursos, a saber, sua PhotoFlash conta, o VactionPhoto94.jpg arquivo, o álbum alice-favorites-album de fotos e o grupo alice-friend-group de usuários. User::alice

Agora que você tem uma compreensão do repositório de PhotoFlashpolíticas, vamos criar o repositório de políticas e explorá-lo.

Pré-requisitos

Inscreva-se para um Conta da AWS

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

Para se inscrever em um Conta da AWS

1. Abra a https://portal.aws.amazon.com/billing/inscrição.

2. Siga as instruções online.

   Parte do procedimento de inscrição envolve receber uma chamada telefônica e inserir um código de verificação no teclado do telefone.

   Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário-raiz tem acesso a todos os Serviços da AWS e atributos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando https://aws.amazon.com/e escolhendo Minha conta.

Criar um usuário com acesso administrativo

Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS AWS IAM Identity Center, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

Proteja seu Usuário raiz da conta da AWS

1. Faça login AWS Management Consolecomo proprietário da conta escolhendo Usuário raiz e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira sua senha.

   Para obter ajuda ao fazer login usando o usuário raiz, consulte Fazer login como usuário raiz no Guia do usuário do Início de Sessão da AWS .

2. Ative a autenticação multifator (MFA) para seu usuário root.

   Para obter instruções, consulte Habilitar um MFA dispositivo virtual para seu usuário Conta da AWS root (console) no Guia IAM do usuário.

Criar um usuário com acesso administrativo

1. Ative o IAM Identity Center.

   Para obter instruções, consulte Habilitar AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center .

2. No IAM Identity Center, conceda acesso administrativo a um usuário.

   Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM no Guia AWS IAM Identity Center do usuário.

Iniciar sessão como o usuário com acesso administrativo

• Para entrar com seu usuário do IAM Identity Center, use o login URL que foi enviado ao seu endereço de e-mail quando você criou o usuário do IAM Identity Center.

  Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como fazer login no portal de AWS acesso no Guia Início de Sessão da AWS do usuário.

Atribuir acesso a usuários adicionais

1. No IAM Identity Center, crie um conjunto de permissões que siga as melhores práticas de aplicação de permissões com privilégios mínimos.

   Para obter instruções, consulte Create a permission set no Guia do usuário do AWS IAM Identity Center .

2. Atribua usuários a um grupo e, em seguida, atribua o acesso de autenticação única ao grupo.

   Para obter instruções, consulte Add groups no Guia do usuário do AWS IAM Identity Center .

Etapa 1: criar um repositório PhotoFlash de políticas

No procedimento a seguir, você criará um repositório PhotoFlashde políticas usando o AWS console.

Para criar um repositório PhotoFlash de políticas

1. No console de Permissões verificadas, escolha Criar novo repositório de políticas.

2. Para opções iniciais, escolha Iniciar em um exemplo de armazenamento de políticas.

3. Em Projeto de amostra, escolha PhotoFlash.

4. Escolha Criar armazenamento de políticas.

Depois de ver a mensagem “Armazenamento de políticas criado e configurado”, escolha Ir para a visão geral para explorar seu repositório de políticas.

Etapa 2: criar uma política

Quando você criou o repositório de políticas, foi criada uma política padrão que permite que os usuários tenham controle total sobre suas próprias contas. Essa é uma política útil, mas, para nossos propósitos, vamos criar uma política mais restritiva para explorar as nuances das permissões verificadas. Se você se lembra do diagrama que vimos anteriormente no tutorial, tínhamos um diretor,User::alice, que poderia realizar uma ação,UpdateAlbum, em um recurso,alice-favorites-album. Vamos adicionar a política que permitirá que Alice, e somente Alice, gerencie este álbum.

Para criar uma política

1. No console de Permissões verificadas, escolha o repositório de políticas que você criou na etapa 1.

2. Na navegação, escolha Políticas.

3. Selecione Criar política e escolha Criar política estática.

4. Para Efeito da política, escolha Permitir.

5. Em Escopo de principais, escolha Principal específico e, em Especificar tipo de entidade, escolha PhotoFlash: :Usuário e, em Especificar identificador de entidade, insira. alice

6. Em Escopo de recursos, escolha Recurso específico e, em Especificar tipo de entidade, escolha PhotoFlash: :Álbum e, em Especificar identificador de entidade, insiraalice-favorites-album.

7. Em Escopo de ações, escolha Conjunto específico de ações e, em seguida, em Ação (ões) às quais essa política deve se aplicar, selecione UpdateAlbum.

8. Escolha Próximo.

9. Em Detalhes, para Descrição da política - opcional, insiraPolicy allowing alice to update alice-favorites-album..

10. Escolha Create policy (Criar política).

Agora que você criou uma política, pode testá-la no console de Permissões verificadas.

Etapa 3: Testando um repositório de políticas

Depois de criar seu repositório de políticas e sua política, você pode testá-los executando uma solicitação de autorização simulada usando a bancada de testes de permissões verificadas.

Para testar as políticas do repositório de políticas

1. Abra o console de Permissões verificadas. Escolha seu repositório de políticas.

2. No painel de navegação à esquerda, escolha Banco de testes.

3. Escolha Modo visual.

4. Para Diretor, faça o seguinte:

   1. Em Principal tomando ação, escolha PhotoFlash: :Usuário e, em Especificar identificador da entidade, insiraalice.

   2. Em Atributos, em Conta: Entidade, verifique se a entidade PhotoFlash: :Conta está selecionada e, em Especificar identificador da entidade, insiraalice-account.

5. Em Recurso, em Recurso no qual o principal está atuando, escolha o tipo de recurso PhotoFlash: :Album e, em Especificar identificador de entidade, insiraalice-favorites-album.

6. Em Ação, escolha PhotoFlash: :Ação::” UpdateAlbum "na lista de ações válidas.

7. Na parte superior da página, escolha Executar solicitação de autorização para simular a solicitação de autorização para as políticas do Cedar no repositório de políticas de amostra. A bancada de testes deve exibir Decisão: Permitir, indicando que nossa política está funcionando conforme o esperado.

A tabela a seguir fornece valores adicionais para a entidade principal, o recurso e a ação que você pode testar com o banco de testes do Verified Permissions. A tabela inclui a decisão da solicitação de autorização com base nas políticas estáticas incluídas no repositório de políticas de PhotoFlash amostra e na política que você criou na etapa 2.

Valor da entidade principal	Valor Account: Entity da entidade principal	Valor do recurso	Valor pai do recurso	Ação	Decisão de autorização
PhotoFlash: :Usuário | bob	PhotoFlash: :Conta | alice - conta	PhotoFlash: :Álbum | alice-favorites-album	N/D	PhotoFlash: :Ação::” UpdateAlbum	Deny
PhotoFlash: :Usuário | alice	PhotoFlash: :Conta | alice - conta	PhotoFlash: :Foto | photo.jpeg	PhotoFlash: :Conta | bob-account	PhotoFlash: :Ação::” ViewPhoto	Deny
PhotoFlash: :Usuário | alice	PhotoFlash: :Conta | alice - conta	PhotoFlash: :Foto | photo.jpeg	PhotoFlash: :Conta | alice - conta	PhotoFlash: :Ação::” ViewPhoto	Permitir
PhotoFlash: :Usuário | alice	PhotoFlash: :Conta | alice - conta	PhotoFlash: :Foto | bob-photo.jpeg	PhotoFlash: :Álbum | Bob-Vacation-Album	PhotoFlash: :Ação::” DeletePhoto	Deny

Etapa 4: Limpar os recursos

Depois de terminar de explorar seu repositório de políticas, exclua-o.

Para excluir um armazenamento de políticas

1. No console de Permissões verificadas, escolha o repositório de políticas que você criou na etapa 1.

2. Na navegação, escolha Configurações.

3. Em Excluir repositório de políticas, escolha Excluir este repositório de políticas.

4. No repositório Excluir esta política? caixa de diálogo, digite delete e, em seguida, escolha Excluir.