Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan
<a name="access_policies_create"></a>

[Kebijakan](access_policies.md) menentukan izin untuk identitas atau sumber daya di. AWS Anda dapat membuat *kebijakan yang dikelola pelanggan* di IAM menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri Akun AWS. Anda kemudian dapat melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda Akun AWS.

*Kebijakan berbasis identitas adalah kebijakan* yang melekat pada identitas di IAM. Kebijakan berbasis identitas dapat mencakup kebijakan terkelola, kebijakan yang AWS dikelola pelanggan, dan kebijakan inline. AWS kebijakan terkelola dibuat dan dikelola oleh AWS, dan Anda dapat menggunakannya tetapi tidak mengelolanya. Kebijakan inline adalah kebijakan yang Anda buat dan sematkan langsung ke grup pengguna, pengguna, atau peran IAM. Kebijakan inline tidak dapat digunakan kembali pada identitas lain atau dikelola di luar identitas di mana mereka ada. Untuk informasi selengkapnya, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

Umumnya lebih baik menggunakan kebijakan yang dikelola pelanggan daripada kebijakan inline atau kebijakan AWS terkelola. AWS kebijakan terkelola biasanya memberikan izin administratif atau hanya-baca yang luas. Untuk keamanan terbesar, [berikan hak istimewa paling sedikit](best-practices.md#grant-least-privilege), yang berarti hanya memberikan izin yang diperlukan untuk melakukan tugas pekerjaan tertentu.

Ketika Anda membuat atau mengedit kebijakan IAM, AWS dapat secara otomatis melakukan validasi kebijakan untuk membantu Anda membuat kebijakan yang efektif dengan hak istimewa paling sedikit dalam pikiran. Dalam Konsol Manajemen AWS, IAM mengidentifikasi kesalahan sintaks JSON, sementara IAM Access Analyzer menyediakan pemeriksaan kebijakan tambahan dengan rekomendasi untuk membantu Anda menyempurnakan kebijakan Anda lebih lanjut. Untuk mempelajari selengkapnya tentang validasi kebijakan, lihat [Validasi kebijakan IAM](access_policies_policy-validator.md). Untuk mempelajari selengkapnya tentang pemeriksaan kebijakan IAM Access Analyzer dan rekomendasi yang dapat ditindaklanjuti, lihat validasi kebijakan [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) Access Analyzer.

Anda dapat menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API untuk membuat kebijakan yang dikelola pelanggan di IAM. Untuk informasi selengkapnya tentang menggunakan CloudFormation templat untuk menambah atau memperbarui kebijakan, lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di *Panduan CloudFormation Pengguna*.

**Topics**
+ [Buat kebijakan IAM (konsol)](access_policies_create-console.md)
+ [Buat kebijakan IAM ()AWS CLI](access_policies_create-cli.md)
+ [Buat kebijakan IAM (AWS API)](access_policies_create-api.md)

# Buat kebijakan IAM (konsol)
<a name="access_policies_create-console"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan Konsol Manajemen AWS untuk membuat *kebijakan yang dikelola pelanggan* di IAM. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri. Akun AWS Anda kemudian dapat melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda Akun AWS.

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

**Topics**
+ [Membuat kebijakan IAM](#access_policies_create-start)
+ [Membuat kebijakan menggunakan editor JSON](#access_policies_create-json-editor)
+ [Membuat kebijakan dengan editor visual](#access_policies_create-visual-editor)
+ [Mengimpor kebijakan terkelola yang ada](#access_policies_create-copy)

## Membuat kebijakan IAM
<a name="access_policies_create-start"></a>

Anda dapat membuat kebijakan terkelola pelanggan Konsol Manajemen AWS menggunakan salah satu metode berikut:
+ **[JSON](#access_policies_create-json-editor)** — Tempel dan sesuaikan publikasi [contoh kebijakan berbasis-identitas](access_policies_examples.md).
+ **[Editor visual](#access_policies_create-visual-editor)** — Susun kebijakan baru dari nol di editor visual. Jika Anda menggunakan editor visual, Anda tidak harus memahami sintaksis JSON.
+ **[Impor](#access_policies_create-copy)** — Impor dan sesuaikan kebijakan terkelola dari akun Anda. Anda dapat mengimpor kebijakan AWS terkelola atau kebijakan terkelola pelanggan yang sebelumnya Anda buat.

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

## Membuat kebijakan menggunakan editor JSON
<a name="access_policies_create-json-editor"></a>

Anda dapat mengetik atau menempelkan kebijakan di JSON dengan memilih opsi **JSON**. Metode ini berguna untuk menyalin [contoh kebijakan](access_policies_examples.md) untuk dipakai di akun Anda. Atau, Anda bisa mengetik dokumen kebijakan JSON Anda sendiri di editor JSON. Anda juga dapat menggunakan opsi **JSON** untuk beralih antara editor visual dan JSON untuk membandingkan tampilan.

 Saat Anda membuat atau mengedit kebijakan di editor JSON, IAM melakukan validasi kebijakan untuk membantu Anda membuat kebijakan yang efektif. IAM mengidentifikasi kesalahan sintaks JSON, sementara IAM Access Analyzer menyediakan pemeriksaan kebijakan tambahan dengan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda menyempurnakan kebijakan lebih lanjut. 

Dokumen [kebijakan](access_policies.md) JSON terdiri atas satu atau lebih pernyataan. Setiap pernyataan harus berisi semua tindakan yang berbagi efek yang sama (`Allow` atau `Deny`) dan mendukung sumber daya dan kondisi yang sama. Jika satu tindakan mengharuskan Anda untuk menentukan semua sumber daya (`"*"`) dan tindakan lain mendukung Amazon Resource Name (ARN) dari sumber daya tertentu, mereka harus berada dalam dua pernyataan JSON terpisah. Untuk rincian format ARN, lihat [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di dalam * Panduan Referensi Umum AWS *. Untuk informasi umum tentang kebijakan IAM, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md). Untuk informasi tentang bahasa kebijakan IAM, lihat [Referensi kebijakan IAM JSON](reference_policies.md).

**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Kebijakan**. 

1. Pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.

1. Ketik atau tempel dokumen kebijakan JSON. Untuk rincian bahasa kebijakan IAM, lihat [Referensi kebijakan IAM JSON](reference_policies.md).

1.  Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. 
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opsional) Saat membuat atau mengedit kebijakan Konsol Manajemen AWS, Anda dapat membuat templat kebijakan JSON atau YAMAL yang dapat Anda gunakan dalam CloudFormation templat.

   Untuk melakukannya, di **editor Kebijakan** pilih **Tindakan**, lalu pilih **Buat CloudFormation templat**. Untuk mempelajari selengkapnya, CloudFormation lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di Panduan AWS CloudFormation Pengguna.

1. Setelah selesai menambahkan izin ke kebijakan, pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, ketik **Nama Kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.

1. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tanda di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md).

1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

## Membuat kebijakan dengan editor visual
<a name="access_policies_create-visual-editor"></a>

Editor visual di konsol IAM akan memandu Anda dalam membuat kebijakan tanpa harus menulis sintaksis JSON. Untuk melihat contoh penggunaan editor visual dalam pembuatan kebijakan, lihat [Mengontrol akses ke identitas](access_controlling.md#access_controlling-identities).

**Untuk menggunakan editor visual dalam pembuatan kebijakan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Kebijakan**. 

1. Pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, temukan bagian **Pilih layanan**, lalu pilih AWS layanan. Anda bisa menggunakan kotak pencarian di bagian atas untuk membatasi hasil pada daftar layanan. Anda bisa memilih hanya satu layanan pada blok izin editor visual. Untuk memberikan akses ke lebih dari satu layanan, tambahkan beberapa blok izin dengan memilih **Tambahkan lebih banyak izin**.

1. Di **Tindakan yang diizinkan**, pilih tindakan yang akan ditambahkan ke kebijakan. Anda bisa memilih tindakan dengan cara berikut:
   + Pilih kotak centang untuk semua tindakan.
   + Pilih **tambah tindakan** untuk mengetik nama tindakan tertentu. Anda bisa menggunakan wildcards (`*`) untuk menentukan beberapa tindakan.
   + Pilih satu grup **Tingkat akses** untuk memilih semua tindakan untuk tingkat akses tersebut (misalnya, **Baca**, **Tulis**, atau **Daftar**).
   + Perluas setiap grup **Tingkat akses** untuk memilih tindakan individu.

   Secara default, kebijakan yang Anda buat mengizinkan tindakan yang Anda pilih. Sebaliknya, untuk menolak tindakan terpilih, pilih **Beralih ke menolak izin**. Karena [IAM menolak secara default](reference_policies_evaluation-logic.md), kami merekomendasikan sebagai praktik terbaik keamanan agar Anda mengizinkan hanya tindakan dan sumber daya yang diperlukan pengguna saja. Anda harus membuat pernyataan JSON untuk menolak izin hanya bila Anda ingin membatalkan izin secara terpisah mengizinkan pernyataan atau kebijakan lain. Kami sarankan Anda membatasi jumlah izin penolakan seminim mungkin karena dapat meningkatkan kesulitan izin pemecahan masalah.

1. Untuk **Sumber Daya**, bila layanan dan tindakan yang Anda pilih di langkah sebelumnya tidak mendukung pilihan [sumber daya tertentu](access_controlling.md#access_controlling-resources), semua sumber daya diperbolehkan dan Anda tidak bisa mengedit bagian ini. 

   Jika Anda memilih satu atau lebih tindakan yang mendukung[izin tingkat sumber daya](access_controlling.md#access_controlling-resources), maka editor visual akan mendaftar sumber daya tersebut. Kemudian Anda bisa memperluas **Sumber Daya** untuk menentukan sumber daya bagi kebijakan Anda. 

   Anda dapat menentukan sumber daya dengan cara berikut:
   + Pilih **Tambah ARNs** untuk menentukan sumber daya berdasarkan Nama Sumber Daya Amazon (ARN) mereka. Anda dapat menggunakan editor atau daftar ARNs ARN visual secara manual. Untuk informasi lebih lanjut tentang sintaks ARN, lihat [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) pada *Panduan Referensi Umum AWS *. Untuk informasi tentang penggunaan ARNs dalam `Resource` elemen kebijakan, lihat[Elemen kebijakan IAM JSON: Resource](reference_policies_elements_resource.md).
   + Pilih **Apa saja di akun ini di** samping sumber daya untuk memberikan izin ke sumber daya apa pun dari jenis itu.
   + Pilih **Semua** untuk memilih semua sumber daya untuk layanan ini. 

1. (Opsional) Pilih **Ketentuan permintaan - *opsional*** untuk menambahkan kondisi ke kebijakan yang Anda buat. Kondisi membatasi efek dari pernyataan kebijakan JSON. Misalnya, Anda dapat menentukan bahwa pengguna diizinkan melakukan tindakan pada sumber daya hanya ketika permintaan pengguna tersebut terjadi di rentang waktu tertentu. Anda juga bisa menggunakan kondisi yang umum dipakai untuk membatasi apakah seorang pengguna harus menggunakan multi-factor authentication (MFA). Atau Anda bisa meminta agar permintaan yang berasal dari rentang alamat IP tertentu. Untuk daftar semua kunci konteks yang dapat Anda gunakan dalam kondisi kebijakan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di *Referensi Otorisasi Layanan*.

   Anda bisa memilih kondisi dengan cara berikut:
   + Gunakan kotak centang untuk memilih kondisi yang umum digunakan.
   + Pilih **Tambahkan kondisi lain** untuk menentukan kondisi lain. Pilih kondisi dari **Kunci Kondisi**, **Pengukur**, dan **Operator**, lalu ketik **Nilai**. Untuk menambahkan lebih dari satu nilai, pilih **Tambah**. Anda dapat mempertimbangkan nilai tersebut terhubung secara logika "ATAU" operator. Setelah selesai, pilih **Tambahkan kondisi**.

   Untuk menambahkan lebih dari satu kondisi, pilih **Tambahkan kondisi lain** lagi. Ulangi seperlunya. Setiap kondisi berlaku hanya untuk blok izin editor visual yang satu ini. Semua kondisi haruslah benar agar blok izin dapat dianggap cocok. Dengan kata lain, pertimbangkan kondisi yang akan dihubungkan oleh logika “DAN” operator.

   Untuk informasi lebih lanjut mengenai elemen **Kondisi**, lihat [Elemen kebijakan IAM JSON: Condition](reference_policies_elements_condition.md) di [Referensi kebijakan IAM JSON](reference_policies.md).

1. Untuk menambahkan lebih banyak blok izin, pilih **Tambahkan izin lainnya**. Untuk setiap blok, ulangi langkah 2 sampai 5.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opsional) Saat membuat atau mengedit kebijakan Konsol Manajemen AWS, Anda dapat membuat templat kebijakan JSON atau YAMAL yang dapat Anda gunakan dalam CloudFormation templat.

   Untuk melakukannya, di **editor Kebijakan** pilih **Tindakan**, lalu pilih **Buat CloudFormation templat**. Untuk mempelajari selengkapnya, CloudFormation lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di Panduan AWS CloudFormation Pengguna.

1. Setelah selesai menambahkan izin ke kebijakan, pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, ketik **Nama Kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk memastikan bahwa Anda telah memberikan izin yang dimaksud. 

1. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tanda di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md).

1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

## Mengimpor kebijakan terkelola yang ada
<a name="access_policies_create-copy"></a>

Cara mudah untuk membuat kebijakan baru adalah dengan mengimpor kebijakan terkelola yang ada di dalam akun Anda yang setidaknya memiliki beberapa izin yang Anda perlukan. Anda kemudian bisa mengubah kebijakan tersebut untuk menyesuaikannya dengan persyaratan baru Anda.

Anda tidak bisa mengimpor kebijakan inline. Untuk mempelajari perbedaan antara kebijakan terkelola dan kebijakan inline, lihat [Kebijakan terkelola dan kebijakan inline](access_policies_managed-vs-inline.md).

**Untuk mengimpor kebijakan terkelola yang sudah ada di editor visual**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Kebijakan**. 

1. Pilih **Buat kebijakan**.

1. Di **editor Kebijakan**, pilih **Visual** dan kemudian di sisi kanan halaman, pilih **Tindakan** lalu pilih **Kebijakan impor**.

1. Di jendela **Kebijakan impor**, pilih kebijakan terkelola yang paling cocok dengan kebijakan yang ingin Anda sertakan dalam kebijakan baru Anda. Anda dapat menggunakan kotak pencarian di bagian atas untuk membatasi hasil dalam daftar kebijakan.

1. Pilih **kebijakan Impor**.

   Kebijakan yang diimpor ditambahkan pada blok izin baru di bagian bawah kebijakan Anda.

1. Gunakan **editor Visual** atau pilih **JSON** untuk menyesuaikan kebijakan Anda. Lalu pilih **Selanjutnya**.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjau dan buat**, ketik **Nama Kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Anda tidak bisa mengedit pengaturan kemudian. Tinjau **Izin yang ditentukan dalam kebijakan ini**, lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.

**Untuk mengimpor kebijakan terkelola yang ada di editor **JSON****

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Kebijakan**. 

1. Pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, pilih opsi **JSON**, lalu di sisi kanan halaman, pilih **Tindakan** lalu pilih **Kebijakan impor**.

1. Di jendela **Kebijakan impor**, pilih kebijakan terkelola yang paling cocok dengan kebijakan yang ingin Anda sertakan dalam kebijakan baru Anda. Anda dapat menggunakan kotak pencarian di bagian atas untuk membatasi hasil dalam daftar kebijakan.

1. Pilih **kebijakan Impor**.

   Pernyataan dari kebijakan yang diimpor ditambahkan di bagian bawah kebijakan JSON Anda.

1. Sesuaikan kebijakan Anda di JSON. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. Sesuaikan kebijakan Anda di JSON, atau pilih **Visual editor** (Editor visual). Lalu pilih **Selanjutnya**.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjau dan buat**, ketik **Nama Kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Anda tidak bisa mengedit hal ini kemudian. Tinjau kebijakan **Izin yang ditentukan dalam kebijakan ini**, lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Lihat informasi yang lebih lengkap di [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

# Buat kebijakan IAM ()AWS CLI
<a name="access_policies_create-cli"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan AWS CLI untuk membuat *kebijakan yang dikelola pelanggan* di IAM. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri. Akun AWS Sebagai [praktik terbaik](best-practices.md), kami menyarankan Anda menggunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda guna memastikan izin yang aman dan fungsional. Dengan [memvalidasi kebijakan Anda](access_policies_policy-validator.md), Anda dapat mengatasi kesalahan atau rekomendasi apa pun sebelum Anda melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda. Akun AWS

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

## Membuat kebijakan IAM ()AWS CLI
<a name="create-policies-cli-api"></a>

Anda dapat membuat kebijakan terkelola pelanggan IAM atau kebijakan inline menggunakan AWS Command Line Interface ()AWS CLI. 

**Untuk membuat kebijakan terkelola pelanggan (AWS CLI)**  
Gunakan perintah berikut ini:
+ [buat-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**Untuk membuat kebijakan inline untuk identitas IAM (grup, pengguna, atau peran) ()AWS CLI**  
Gunakan salah satu perintah berikut:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**catatan**  
Anda tidak dapat menggunakan IAM untuk menanamkan kebijakan yang selaras untuk *[peran terkait-layanan](id_roles.md#iam-term-service-linked-role)*.

**Untuk memvalidasi kebijakan terkelola pelanggan (AWS CLI)**  
Gunakan perintah IAM Access Analyzer berikut:
+ [validasi-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Buat kebijakan IAM (AWS API)
<a name="access_policies_create-api"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan AWS API untuk membuat *kebijakan terkelola pelanggan* di IAM. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri. Akun AWS Sebagai [praktik terbaik](best-practices.md), kami menyarankan Anda menggunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda guna memastikan izin yang aman dan fungsional. Dengan [memvalidasi kebijakan Anda](access_policies_policy-validator.md), Anda dapat mengatasi kesalahan atau rekomendasi apa pun sebelum Anda melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda. Akun AWS

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

## Membuat kebijakan IAM (AWS API)
<a name="create-policies-api"></a>

Anda dapat membuat kebijakan terkelola pelanggan IAM atau kebijakan inline menggunakan API. AWS 

**Untuk membuat kebijakan terkelola pelanggan (AWS API)**  
Hubungi operasi berikut ini:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)

**Untuk membuat kebijakan inline untuk identitas IAM (grup, pengguna, atau peran) (AWS API)**  
Panggil salah satu operasi berikut ini:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

**catatan**  
Anda tidak dapat menggunakan IAM untuk menanamkan kebijakan yang selaras untuk *[peran terkait-layanan](id_roles.md#iam-term-service-linked-role)*.

**Untuk memvalidasi kebijakan terkelola pelanggan (AWS API)**  
Hubungi operasi IAM Access Analyzer berikut:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)