本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建 AWS IoT 策略
<a name="gs-create-policy"></a>

按照以下步骤创建将附加到设备证书的 AWS IoT 策略。这为 AWS IoT 权能授予权限，并允许使用证书假设角色别名。

通过 AWS IoT Core 策略，您可以控制对 AWS IoT Core 数据平面的访问。 AWS IoT Core 数据平面由可用于执行以下操作的操作组成：
+ Connect 连接到 AWS IoT Core 消息代理
+ 发送和接收 MQTT 消息
+ 获取或更新事物的设备影子

有关更多信息，请参阅 [AWS IoT Core 策略](https://docs.aws.amazon.com//iot/latest/developerguide/iot-policies.html)。

**使用 AWS IoT 策略编辑器创建 AWS IoT 策略**

1. 登录 AWS 管理控制台 并打开 AWS IoT Core 控制台，网址为[https://console.aws.amazon.com/iot/](https://console.aws.amazon.com/iot/)。

1. 在左侧导航栏中，选择 “**安全**”，然后选择 “**策略**”。

1. 选择**创建策略**。

1. 输入策略的名称。  
**Example**  

   策略名称的一个示例是**KvsEdgeAccessIoTPolicy**。

1. （可选）通过以密钥值对的形式附加标签来向策略添加元数据。

   有关在 IAM 中使用标签的更多信息，请参阅*AWS IoT Core 开发人员指南*中的为[AWS IoT 资源添加](https://docs.aws.amazon.com//iot/latest/developerguide/tagging-iot.html)标签。

1. 选择 **JSON** 选项卡。

1. 在 JSON 策略文档中，粘贴以下内容：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "iot:Connect",
                   "iot:Publish",
                   "iot:Subscribe",
                   "iot:Receive"
               ],
               "Resource": [
                   "*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRoleWithWebIdentity"
               ],
               "Resource": "arn:aws:iot:us-west-2:123456789012:rolealias/{{your-role-alias}}"
           }
       ]
   }
   ```

------
**注意**  
`your-role-alias-arn`替换为您在中创建的角色别名的 ARN。[创建 AWS IoT 角色别名](gs-create-role-alias.md)

1. 选择 “**创建**” 以保存您所做的工作。