# 创建 IAM 策略（AWS CLI）
<a name="access_policies_create-cli"></a>

[策略](access_policies.md)是一个实体；在附加到身份或资源时，策略定义了它们的权限。您可以使用 AWS CLI 在 IAM 中创建*客户托管策略*。客户管理型策略是您在自己的 AWS 账户 中管理的独立策略。作为[最佳实践](best-practices.md)，我们建议您使用 IAM Access Analyzer 验证您的 IAM policy，以确保权限的安全性和功能性。通过[验证策略](access_policies_policy-validator.md)，您可以在将策略附加到您 AWS 账户 中的身份（用户、组和角色）之前，解决任何错误或建议。

AWS 账户中 IAM 资源的数量和大小是有限的。有关更多信息，请参阅 [IAM 和 AWS STS 配额](reference_iam-quotas.md)。

## 创建 IAM policy (AWS CLI)
<a name="create-policies-cli-api"></a>

您可以使用 AWS Command Line Interface (AWS CLI) 创建 IAM 客户托管策略或内联策略。

**创建客户托管策略 (AWS CLI)**  
使用以下命令：
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**为 IAM 身份（组、用户或角色）创建内联策略 (AWS CLI)**  
使用以下命令之一：
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**注意**  
您不能使用 IAM 嵌入*[服务相关](id_roles.md#iam-term-service-linked-role)*角色的内联策略。

**验证客户托管策略 (AWS CLI)**  
使用以下 IAM Access Analyzer 命令：
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)