# IAM 教程：创建和附加您的第一个客户托管策略
<a name="tutorial_managed-policies"></a>

在本教程中，您将使用 AWS 管理控制台 创建一个[客户管理型策略](access_policies_managed-vs-inline.md#customer-managed-policies)，然后将该策略附加到您 AWS 账户 中的一个 IAM 用户。您创建的策略允许具有只读权限的 IAM 测试用户直接登录 AWS 管理控制台。

此工作流程具有三个基本步骤：

**[步骤 1：创建策略](#step1-create-policy)**  
默认情况下，IAM 用户没有权限来执行任何操作。未经过您的允许，他们无法访问 AWS 管理控制台，也无法管理其中的数据。在该步骤中，您创建一个允许任何附加的用户登录到该控制台的客户托管策略。

**[步骤 2：附加策略](#step2-attach-policy)**  
将策略附加到用户时，该用户继承与该策略相关的所有访问权限。在此步骤中，您会将新策略附加到测试用户。

**[步骤 3：测试用户访问权限](#step3-test-access)**  
附加策略后，您即可以该用户身份登录并测试策略。

## 先决条件
<a name="tutorial-managed-policies-prereqs"></a>

要执行本教程中的步骤，您必须已具备以下内容：
+ 可作为 IAM 用户身份登录且具有管理权限的 AWS 账户。
+ 未分配有如下权限或组成员资格的测试 IAM 用户：  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/tutorial_managed-policies.html)

## 步骤 1：创建策略
<a name="step1-create-policy"></a>

在该步骤中，您创建一个允许任何附加用户（具有 IAM 数据的只读访问权限）登录 AWS 管理控制台 的客户托管策略。

**为测试用户创建策略**

1. 使用您具有管理员权限的账户，通过以下网址登录到 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**策略**。

1. 在内容窗格中，选择**创建策略**。

1. 选择 **JSON** 选项，然后复制以下 JSON 策略文档中的文本。将该文本粘贴到 **JSON** 文本框中。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [ {
           "Effect": "Allow",
           "Action": [
               "iam:GenerateCredentialReport",
               "iam:Get*",
               "iam:List*"
           ],
           "Resource": "*"
       } ]
   }
   ```

------

1.  解决[策略验证](access_policies_policy-validator.md)过程中生成的任何安全警告、错误或常规警告，然后选择**下一步**。
**注意**  
您可以随时在**可视化**和 **JSON** 编辑器选项卡之间切换。不过，如果您进行更改或在**可视化编辑器**选项卡中选择 **Review policy（查看策略）**，IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息，请参阅 [调整策略结构](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。

1. 在**查看并创建**页面上，键入 **UsersReadOnlyAccessToIAMConsole** 作为策略名称。查看您的策略授予的权限，然后选择**创建策略**以保存您的工作。

   将在托管策略列表中显示新策略，并已准备好附加该策略。

## 步骤 2：附加策略
<a name="step2-attach-policy"></a>

接下来，您会将刚刚创建的策略附加到测试 IAM 用户。

**将策略挂载到测试用户**

1. 在 IAM 控制台的导航窗格中，选择 **Policies**（策略）。

1. 在策略列表顶部的搜索框中，开始键入 **UsersReadOnlyAccesstoIAMConsole** 直至您的策略出现。然后，选中列表中 **UsersReadOnlyAccessToIAMConsole** 旁边的单选按钮。

1. 请选择 **Actions**（操作）按钮，然后选择 **Attach**（附加）。

1. 在 IAM 实体中，选择选项以筛选**用户**。

1. 在搜索框中，开始键入 **PolicyUser** 直至该用户在列表上可见。然后，选中列表中该用户旁边的框。

1. 选择**附加策略**。

您已将策略挂载到 IAM 测试用户，这意味着现在该用户具有 IAM 控制台的只读访问权限。

## 步骤 3：测试用户访问权限
<a name="step3-test-access"></a>

对于本教程，我们建议您以各测试用户身份登录来测试访问权限，以便能了解用户可能获得的体验。

**使用测试用户登录以测试访问权限**

1. 使用您的 `PolicyUser` 测试用户通过以下网址登录到 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 浏览控制台的各个页面并尝试创建新的用户或组。请注意，`PolicyUser` 可以显示数据，但无法创建或修改现有 IAM 数据。

## 相关资源
<a name="tutorial-managed-policies-addl-resources"></a>

有关信息，请参阅以下资源：
+ [托管策略与内联策略](access_policies_managed-vs-inline.md)
+ [控制 IAM 用户对 AWS 管理控制台 的访问](console_controlling-access.md)

## 摘要
<a name="tutorial-managed-policies-summary"></a>

现在，您已成功完成创建和附加客户托管策略所需的所有步骤。因此，您可以使用测试账户登录 IAM 控制台，以了解用户可能获得的体验。