本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建策略 按照[步骤 A](complex-scenario-create-trusted-entity-role-step1.md) 确定所需的策略后,必须在 IAM 控制台上创建这些策略。 每项策略都要遵循此程序。 1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。 1. 在左侧的导航窗格中,选择**策略**。然后选择**创建策略**。此时系统将出现**创建策略**向导。本向导将引导您完成步骤,包括以下关键步骤: + 选择服务。 + 为该服务选择操作。 通常(默认情况下),您可以指定要允许的操作。 但您也可以选择**切换到拒绝权限**按钮来拒绝所选择的操作。我们建议,作为一种安全最佳实践,只有在要覆盖其他语句或策略单独允许的权限时,才应拒绝给予权限。我们建议您将拒绝权限数限制为最低,因为它们可能会增加解决权限问题的难度。 + 为每个操作[指定资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources)(如果支持该操作)。例如,如果您选择 MediaLive `DescribeChannel` ARN,则可以指定特定渠道 ARNs 的。 + 指定条件(可选)。例如: + 您可以指定仅在以下情况下允许用户执行操作:该用户的请求发生在特定的时间范围内。 + 您可以指定用户必须使用多重身份验证(MFA)设备进行身份验证。 + 您可以指定请求必须来自特定范围的 IP 地址。 有关可在策略条件中使用的所有上下文密钥的列表,请参阅《服务*授权参考*》中的[AWS 服务操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。 1. 选择**创建策略**。