

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren
<a name="access_policies_create"></a>

[Richtlinien](access_policies.md) definieren Berechtigungen für Identitäten oder Ressourcen in AWS. Mithilfe der API, oder AWS können Sie in IAM vom * AWS-Managementkonsole Kunden verwaltete Richtlinien* erstellen. AWS CLI Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Anschließend können Sie die Richtlinien den Identitäten (Benutzern, Gruppen und Rollen) in Ihrem hinzufügen. AWS-Konto

Eine *identitätsbasierte Richtlinie* ist eine Richtlinie, die einer Identität in IAM angefügt ist. Identitätsbasierte Richtlinien können verwaltete Richtlinien, vom Kunden AWS verwaltete Richtlinien und Inline-Richtlinien umfassen. AWS verwaltete Richtlinien werden von erstellt und verwaltet AWS, und Sie können sie verwenden, aber nicht verwalten. Eine Inline-Richtlinie ist eine Richtlinie, die Sie erstellen und direkt in eine IAM-Benutzergruppe, einen IAM-Benutzer oder eine IAM-Rolle einbetten. Inline-Richtlinien können nicht für andere Identitäten wiederverwendet oder außerhalb der Identität verwaltet werden, in der sie vorhanden sind. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

Im Allgemeinen ist es besser, vom Kunden verwaltete Richtlinien anstelle von Inline-Richtlinien oder AWS verwalteten Richtlinien zu verwenden. AWS Verwaltete Richtlinien bieten in der Regel umfassende administrative oder schreibgeschützte Berechtigungen. [Gewähren Sie für die höchste Sicherheit die geringsten Berechtigungen](best-practices.md#grant-least-privilege), d. h. nur die Berechtigungen, die für die Ausführung bestimmter Aufgaben erforderlich sind.

Wenn Sie IAM-Richtlinien erstellen oder bearbeiten, AWS kann es automatisch eine Richtlinienvalidierung durchführen, sodass Sie eine effektive Richtlinie mit den geringsten Rechten erstellen können. In der AWS-Managementkonsole identifiziert IAM JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienprüfungen mit Empfehlungen bietet, mit denen Sie Ihre Richtlinien weiter verfeinern können. Weitere Informationen zur Richtlinienvalidierung finden Sie unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md). Weitere Informationen zu den Richtlinienvalidierungen von IAM Access Analyzer Richtlinien und Empfehlungen erhalten Sie unter [Richtlinienvalidierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Sie können die AWS API, oder verwenden AWS-Managementkonsole AWS CLI, um vom Kunden verwaltete Richtlinien in IAM zu erstellen. Weitere Informationen zur Verwendung von CloudFormation Vorlagen zum Hinzufügen oder Aktualisieren von Richtlinien finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im *CloudFormation Benutzerhandbuch*.

**Topics**
+ [

# IAM-Richtlinien erstellen (Konsole)
](access_policies_create-console.md)
+ [

# Erstellen von IAM-Richtlinien (AWS CLI)
](access_policies_create-cli.md)
+ [

# IAM-Richtlinien (AWS API) erstellen
](access_policies_create-api.md)

# IAM-Richtlinien erstellen (Konsole)
<a name="access_policies_create-console"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können die verwenden AWS-Managementkonsole , um vom *Kunden verwaltete Richtlinien* in IAM zu erstellen. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Anschließend können Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem anhängen. AWS-Konto

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

**Topics**
+ [

## Erstellen von IAM-Richtlinien
](#access_policies_create-start)
+ [

## Erstellen von Richtlinien mit dem JSON-Editor
](#access_policies_create-json-editor)
+ [

## Erstellen von Richtlinien mit dem visuellen Editor
](#access_policies_create-visual-editor)
+ [

## Importieren vorhandener verwalteter Richtlinien
](#access_policies_create-copy)

## Erstellen von IAM-Richtlinien
<a name="access_policies_create-start"></a>

Sie können eine vom Kunden verwaltete Richtlinie AWS-Managementkonsole mithilfe einer der folgenden Methoden erstellen:
+ **[JSON](#access_policies_create-json-editor)** – Fügen Sie eine veröffentlichte [identitätsbasierte Beispielrichtlinie](access_policies_examples.md) ein und passen Sie sie an.
+ **[Visueller Editor](#access_policies_create-visual-editor)** – Sie können eine neue Richtlinie von Grund auf im visuellen Editor erstellen. Wenn Sie den visuellen Editor verwenden, müssen Sie nicht mit der JSON-Syntax vertraut sein.
+ **[Importieren](#access_policies_create-copy)** – Importieren Sie eine verwaltete Richtlinie aus Ihrem Konto und passen Sie sie an. Sie können eine AWS verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie importieren, die Sie zuvor erstellt haben.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

## Erstellen von Richtlinien mit dem JSON-Editor
<a name="access_policies_create-json-editor"></a>

Sie können Richtlinien in JSON eingeben oder einfügen, indem Sie die Option **JSON** auswählen. Diese Methode ist nützlich für das Kopieren einer [Beispielrichtlinie](access_policies_examples.md) zur Verwendung in Ihrem Konto. Alternativ können Sie Ihr eigenes JSON-Richtliniendokument im JSON-Editor eingeben. Sie können auch die Option **JSON** verwenden, um zwischen dem Visual-Editor und JSON zu wechseln und so die Ansichten zu vergleichen.

 Wenn Sie eine Richtlinie im JSON-Editor erstellen oder bearbeiten, führt IAM eine Richtlinienvalidierung durch, um Ihnen beim Erstellen einer effektiven Richtlinie zu helfen. IAM identifiziert JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienüberprüfungen mit umsetzbaren Empfehlungen zur weiteren Verfeinerung der Richtlinie bereitstellt. 

Das Dokument einer JSON-[Richtlinie](access_policies.md) besteht aus mindestens einer Anweisung. Jede Anweisung sollte alle Aktionen mit den gleichen Auswirkungen (`Allow` oder `Deny`) enthalten und dieselben Ressourcen und Bedingungen unterstützen. Wenn eine Aktion es erforderlich macht, dass Sie alle Ressourcen angeben (`"*"`) und eine andere Aktion den Amazon-Ressourcennamen (ARN) einer bestimmten Ressource unterstützt, sind für diese Aktionen zwei separate JSON-Anweisungen erforderlich. Weitere Informationen zu ARN-Formaten finden Sie unter [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) im *Allgemeine AWS-Referenz Handbuch*. Weitere allgemeine Informationen zu IAM-Richtlinien finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md). Informationen zur IAM-Richtliniensprache finden Sie unter [IAM-JSON-Richtlinienreferenz](reference_policies.md).

**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.

1. Geben oder fügen Sie ein JSON-Richtliniendokument ein. Weitere Informationen zur IAM-Richtliniensprache finden Sie unter [IAM-JSON-Richtlinienreferenz](reference_policies.md).

1.  Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinien-Validierung](access_policies_policy-validator.md) erzeugt wurden, und wählen Sie dann **Weiter**. 
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS-Managementkonsole, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in CloudFormation Vorlagen verwenden können.

   Wählen Sie dazu im **Richtlinien-Editor** **Aktionen** und anschließend ** CloudFormationVorlage generieren** aus. Weitere Informationen dazu CloudFormation finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im AWS CloudFormation Benutzerhandbuch.

1. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie **Next** (Weiter) aus.

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.

1. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).

1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

## Erstellen von Richtlinien mit dem visuellen Editor
<a name="access_policies_create-visual-editor"></a>

Der visuelle Editor in der IAM-Konsole führt Sie durch das Erstellen einer Richtlinie, wobei das Schreiben von JSON-Syntax nicht erforderlich ist. Ein Beispiel für die Verwendung des visuellen Editors zum Erstellen einer Richtlinie finden Sie unter [Steuern des Zugriffs auf Identitäten](access_controlling.md#access_controlling-identities).

**So verwenden Sie den visuellen Editor zum Erstellen einer Richtlinie**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Suchen Sie im Bereich **Richtlinien-Editor** nach dem Abschnitt **Dienst auswählen** und wählen Sie dann einen AWS Dienst aus. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Services einzuschränken. Sie können nur einen Service innerhalb eines Berechtigungsblocks des visuellen Editors auswählen. Um mehr als einem Service Zugriff zu gewähren, fügen Sie mehrere Berechtigungsblöcke hinzu, indem Sie **Add more permissions** (Weitere Berechtigungen hinzufügen) auswählen.

1. Wählen Sie unter **Actions allowed** (Zulässige Aktionen) die Aktionen aus, die der Richtlinie hinzugefügt werden sollen. Es gibt folgende Möglichkeiten, Aktionen auszuwählen:
   + Aktivieren Sie das Kontrollkästchen für alle Aktionen.
   + Wählen Sie **Add actions (Aktionen hinzufügen)**, um den Namen einer bestimmten Aktion einzugeben. Sie können Platzhalter (`*`) verwenden, um mehrere Aktionen anzugeben.
   + Wählen Sie eine der **Access level ((Zugriffsebene)**-Gruppen aus, um alle Aktionen für die Zugriffsebene auszuwählen (z. B. **Read (Lesen)**, **Write (Schreiben)** oder **List (Auflisten)**.
   + Erweitern Sie die einzelnen Gruppen **Access level (Zugriffsebene)**, um einzelne Aktionen auszuwählen.

   Standardmäßig lässt die Richtlinie, die Sie erstellen, die Aktionen zu, die Sie auswählen. Um die ausgewählten Aktionen stattdessen zu verweigern, wählen Sie **Switch to deny permissions (Zu Berechtigungen verweigern wechseln)**. Da [IAM standardmäßig verweigert](reference_policies_evaluation-logic.md), empfehlen wir, dass Sie im Sinne bewährter Sicherheitsmethoden nur für jene Aktionen und Ressourcen Berechtigungen zulassen, für die ein Benutzer Zugriff benötigt. Sie sollten nur dann eine JSON-Anweisung erstellen, um Berechtigungen zu verweigern, wenn Sie eine von einer anderen Anweisung oder Richtlinie erteilte Berechtigung separat überschreiben möchten. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren.

1. Wenn bei **Resources (Ressourcen)** der Service und die Aktionen, die Sie in den vorherigen Schritten ausgewählt haben, nicht die Auswahl [bestimmter Ressourcen](access_controlling.md#access_controlling-resources) unterstützen, sind alle Ressourcen zulässig, und Sie können diesen Abschnitt nicht bearbeiten. 

   Wenn Sie eine oder mehrere Aktionen auswählen, die [Berechtigungen auf Ressourcenebene](access_controlling.md#access_controlling-resources) unterstützen, dann listet der visuelle Editor diese Ressourcen auf. Sie können dann **Resources (Ressourcen)** erweitern, um die Ressourcen für Ihre Richtlinie anzugeben. 

   Sie können Ressourcen auf folgende Weise angeben:
   + Wählen Sie **Hinzufügen ARNs**, um Ressourcen anhand ihrer Amazon-Ressourcennamen (ARN) anzugeben. Sie können den visuellen ARN-Editor oder die Liste ARNs manuell verwenden. Weitere Informationen zur ARN-Syntax finden Sie unter [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) im *Allgemeine AWS-Referenz -Handbuch*. Hinweise zur Verwendung eines `Resource` Elements ARNs in einer Richtlinie finden Sie unter[IAM-JSON-Richtlinienelemente: Resource](reference_policies_elements_resource.md).
   + Wählen Sie **Any in this account** (Alle in diesem Konto) neben einer Ressource aus, um Berechtigungen für alle Ressourcen dieses Typs zu gewähren.
   + Wählen Sie **All** (Alle) aus, um alle Ressourcen für den Service auszuwählen. 

1. (Optional) Wählen Sie **Request conditions - *optional*** (Anfragebedingungen - (optional)) aus, um der Richtlinie, die Sie erstellen, Bedingungen hinzuzufügen. Bedingungen schränken die Auswirkungen einer JSON-Richtlinienanweisung ein. Sie können beispielsweise festlegen, dass einem Benutzer erlaubt wird, die Aktionen für die Ressourcen nur durchzuführen, wenn die Anforderung dieses Benutzers in einem bestimmten Zeitraum stattfindet. Sie können auch allgemein genutzte Bedingungen verwenden, um festzulegen, ob ein Benutzer mithilfe eines Multi-Factor Authentication (MFA)-Geräts authentifiziert werden muss. Oder Sie können festlegen, dass die Anforderung aus einem bestimmten IP-Adressbereich stammen muss. Eine Liste aller Kontextschlüssel, die Sie in einer Richtlinienbedingung verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization Reference*.

   Sie haben folgende Möglichkeiten, Bedingungen auszuwählen:
   + Verwenden Sie Kontrollkästchen, um allgemein verwendete Bedingungen auszuwählen.
   + Wählen Sie **Add another condition** (Weitere Bedingung hinzufügen) aus, um andere Bedingungen anzugeben. Wählen Sie den **Condition Key (Bedingungsschlüssel)**, den **Qualifier (Qualifizierer)** und den **Operator** der Bedingung aus und geben Sie dann einen **Value (Wert)** ein. Um mehr als einen Wert hinzuzufügen, wählen Sie **Add** (Hinzufügen) aus. Betrachten Sie die Werte, als wären sie mit einem logischen "ODER"-Operator miteinander verbunden. Wählen Sie danach **Add condition** (Bedingung hinzufügen) aus.

   Um mehr als eine Bedingung hinzuzufügen, wählen Sie **Add another condition** (Weitere Bedingung hinzufügen) aus. Wiederholen Sie diesen Vorgang nach Bedarf. Jede Bedingung gilt nur für diesen einen Berechtigungsblock des visuellen Editors. Alle Bedingungen müssen wahr sein, damit der Berechtigungsblock ausgeführt werden kann. Anders ausgedrückt: Betrachten Sie die Bedingungen als durch einen logischen "UND"-Operator miteinander verbunden.

   Weitere Informationen zum Element **Condition (Bedingung)** finden Sie unter [IAM-JSON-Richtlinienelemente: Condition](reference_policies_elements_condition.md) im [IAM-JSON-Richtlinienreferenz](reference_policies.md).

1. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie **Add more permissions** (Weitere Berechtigungen hinzufügen) aus. Wiederholen Sie die Schritte 2 bis 5 für jeden Block.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS-Managementkonsole, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in CloudFormation Vorlagen verwenden können.

   Wählen Sie dazu im **Richtlinien-Editor** **Aktionen** und anschließend ** CloudFormationVorlage generieren** aus. Weitere Informationen dazu CloudFormation finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im AWS CloudFormation Benutzerhandbuch.

1. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie **Next** (Weiter) aus.

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben. 

1. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).

1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

## Importieren vorhandener verwalteter Richtlinien
<a name="access_policies_create-copy"></a>

Eine einfache Möglichkeit zum Erstellen einer neuen Richtlinie besteht darin, eine vorhandene verwaltete Richtlinie innerhalb Ihres Kontos zu importieren, die mindestens einige der Berechtigungen aufweist, die Sie benötigen. Sie können dann die Richtlinie an Ihre neuen Anforderungen anpassen.

Sie können keine eingebundene Richtlinie importieren. Informationen über den Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter [Verwaltete Richtlinien und eingebundene Richtlinien](access_policies_managed-vs-inline.md).

**So importieren Sie eine vorhandene verwaltete Richtlinie im visuellen Editor**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie im **Policy editor** (Richtlinien-Editor) **Visual** aus und dann rechts auf der Seite die Option **Actions** (Aktionen) und anschließend **Import policy** (Richtline importieren) aus.

1. Wählen Sie im Fenster **Import policy** (Richtlinie importieren) die verwalteten Richtlinien aus, die am ehesten mit der Richtlinie übereinstimmen, die Sie in Ihre neue Richtlinie einschließen möchten. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Richtlinien einzuschränken.

1. Wählen Sie **Import policy** (Richtlinie importieren) aus.

   Die importierten Richtlinien werden in neuen Berechtigungsblöcken unten in der Richtlinie hinzugefügt.

1. Verwenden Sie den **Visual editor (Visueller Editor)** oder wählen Sie **JSON** aus, um Ihre Richtlinie anzupassen. Klicken Sie anschließend auf **Weiter**.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Sie können diese Einstellungen später nicht bearbeiten. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann **Create policy** (Richtline erstellen) aus, um Ihre Eingaben zu speichern.

**So importieren Sie eine vorhandene verwaltete Richtlinie in den **JSON**-Editor**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie im Abschnitt **Policy editor** (Richtlinien-Editor) die Option **JSON** aus und dann rechts auf der Seite die Option **Actions** (Aktionen) und anschließend **Import policy** (Richtline importieren) aus.

1. Wählen Sie im Fenster **Import policy** (Richtlinie importieren) die verwalteten Richtlinien aus, die am ehesten mit der Richtlinie übereinstimmen, die Sie in Ihre neue Richtlinie einschließen möchten. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Richtlinien einzuschränken.

1. Wählen Sie **Import policy** (Richtlinie importieren) aus.

   Anweisungen aus den importierten Richtlinien werden unten in Ihrer JSON-Richtlinie hinzugefügt.

1. Passen Sie Ihre Richtlinie in JSON an. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinien-Validierung](access_policies_policy-validator.md) erzeugt wurden, und wählen Sie dann **Weiter**. Passen Sie Ihre Richtlinie in JSON an oder wählen Sie den **Visual editor (Visueller Editor)**. Klicken Sie anschließend auf **Weiter**.
**Anmerkung**  
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Next** (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Umstrukturierung einer Richtlinie](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Sie können diese später nicht mehr bearbeiten. Überprüfen Sie die Richtlinie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann **Create policy** (Richtline erstellen) aus, um Ihre Eingaben zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md).

# Erstellen von IAM-Richtlinien (AWS CLI)
<a name="access_policies_create-cli"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können die verwenden AWS CLI , um vom *Kunden verwaltete Richtlinien* in IAM zu erstellen. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Als [bewährte Methode](best-practices.md) empfehlen wir, IAM Access Analyzer zu verwenden, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten. Indem Sie [Ihre Richtlinien validieren](access_policies_policy-validator.md), können Sie Fehler oder Empfehlungen beheben, bevor Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem AWS-Konto anfügen.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

## Erstellen von IAM-Richtlinien (AWS CLI)
<a name="create-policies-cli-api"></a>

Sie können eine vom Kunden verwaltete IAM-Richtlinie oder eine Inline-Richtlinie mithilfe der AWS Command Line Interface (AWS CLI) erstellen. 

**So erstellen Sie eine kundenverwaltete Richtlinie (AWS CLI)**  
Verwenden Sie den folgenden Befehl:
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**So erstellen Sie eine Inline-Richtlinie für eine IAM-Identität (Gruppe, Benutzer oder Rolle) (AWS CLI)**  
Verwenden Sie einen der folgenden Befehle:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**Anmerkung**  
Sie können IAM nicht verwenden, um eine Inline-Richtlinie für eine *[dienstverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* einzubetten.

**So bearbeiten Sie eine kundenverwaltete Richtlinie (AWS CLI)**  
Verwenden Sie den folgenden IAM Access Analyzer-Befehl:
+ [validieren-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# IAM-Richtlinien (AWS API) erstellen
<a name="access_policies_create-api"></a>

Eine [Richtlinie](access_policies.md) ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können die AWS API verwenden, um vom *Kunden verwaltete Richtlinien* in IAM zu erstellen. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Als [bewährte Methode](best-practices.md) empfehlen wir, IAM Access Analyzer zu verwenden, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten. Indem Sie [Ihre Richtlinien validieren](access_policies_policy-validator.md), können Sie Fehler oder Empfehlungen beheben, bevor Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem AWS-Konto anfügen.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

## IAM-Richtlinien (API)AWS erstellen
<a name="create-policies-api"></a>

Mit der AWS -API können Sie eine vom IAM-Kunden verwaltete -Richtlinie oder eine Inline-Richtlinie erstellen.

**Um eine vom Kunden verwaltete Richtlinie (AWS API) zu erstellen**  
Rufen Sie die folgende Operation auf:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)

**Um eine Inline-Richtlinie für eine IAM-Identität (Gruppe, Benutzer oder Rolle) (AWS API) zu erstellen**  
Rufen Sie eine der folgenden Operationen auf:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

**Anmerkung**  
Sie können IAM nicht verwenden, um eine Inline-Richtlinie für eine *[dienstverknüpfte Rolle](id_roles.md#iam-term-service-linked-role)* einzubetten.

**Um eine vom Kunden verwaltete Richtlinie (AWS API) zu validieren**  
Rufen Sie den folgenden IAM Access Analyzer-Vorgang auf:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)