翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ポリシーの作成 [ステップ A](complex-scenario-create-trusted-entity-role-step1.md) に従って必要なポリシーを特定したら、IAM コンソールで作成する必要があります。 ポリシーごとに、以下の手順に従います。 1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。 1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。次に、[**Create policy(ポリシーの作成)**] を選択します。**ポリシーの作成**ウィザードが表示されます。このウィザードでは、以下の主要なステップを含むステップを順を追って説明します。 + サービス を選択します。 + そのサービスのアクションを選択します。 通常 (デフォルトでは)、許可するアクションを指定します。 しかし、**「Switch to deny permissions 」**ボタンを選択すれば、代わりに選択したアクションを拒否することもできます。セキュリティのベストプラクティスとして、他のステートメントやポリシーで別途許可されているパーミッションを上書きしたい場合にのみ、パーミッションを拒否することをお勧めします。これにより、アクセス許可のトラブルシューティングがより困難になる可能性があるため、拒否ステートメントの数は最小限に制限することをお勧めします。 + 各アクションの[リソースを指定します](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) (アクションでサポートされている場合)。例えば、MediaLive `DescribeChannel` ARN を選択した場合は、特定のチャネルの ARNs を指定できます。 + 条件を指定します (オプション)。例えば: + あるユーザーがあるアクションを実行できるのは、そのユーザーのリクエストが特定の時間範囲内で発生した場合のみであることを指定できます。 + ユーザーが多要素認証 (MFA) デバイスを使用して認証する必要があるように指定できます。 + リクエストが IP アドレスの範囲から発信される必要があるように指定できます。 ポリシー条件で使用できるすべてのコンテキストキーのリストについては、*「サービス認可リファレンス*」の「 [AWS サービスのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。 1. [**Create policy**] (ポリシーの作成) を選択します。