本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立政策 遵循[步驟 A](complex-scenario-create-trusted-entity-role-step1.md) 來識別所需的政策之後,您必須在 IAM 主控台上建立這些政策。 請遵循每個政策的此程序。 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。 1. 在左側的導覽窗格中,選擇 **Policies (政策)**。然後選擇 **Create policy** (建立政策)。**建立政策**精靈隨即出現。此精靈會逐步引導您完成這些步驟,包括這些關鍵步驟: + 選取服務。 + 選取該服務的動作。 一般而言 (以及預設),您可以指定要允許的動作。 但您也可以選擇**切換以拒絕許可**按鈕,改為拒絕選擇的動作。我們建議做為安全最佳實務,只有在您想要覆寫另一個陳述式或政策個別允許的許可時,才拒絕許可。我們建議您將拒絕許可數限制為最低,因為它們可能會增加解決許可問題的難度。 + 為每個動作[指定資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) (如果動作支援)。例如,如果您選擇 MediaLive `DescribeChannel` ARN,您可以指定特定頻道ARNs。 + 指定條件 (選用)。例如: + 您可以指定僅允許使用者在特定時間範圍內執行動作。 + 您可以指定使用者必須使用多重要素驗證 (MFA) 裝置進行身分驗證。 + 您可以指定請求必須來自 IP 地址範圍。 如需可在政策條件中使用的所有內容金鑰清單,請參閱*《服務授權參考*》中的 [AWS 服務的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。 1. 選擇**建立政策**。