Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Definire le autorizzazioni IAM personalizzate con policy gestite dal cliente
[Le politiche](access_policies.md) definiscono le autorizzazioni per le identità o le risorse in. AWS Puoi creare *policy gestite dai clienti* in IAM utilizzando l' Console di gestione AWS API AWS CLI, o AWS . Le policy gestite dal cliente sono policy autonome gestite dall'utente nel proprio Account AWS. Puoi quindi collegare le politiche alle identità (utenti, gruppi e ruoli) nel tuo Account AWS.
Una *policy basata su identità* è una policy collegata a un'identità in IAM. Le politiche basate sull'identità possono includere politiche gestite, politiche AWS gestite dai clienti e politiche in linea. AWS le politiche gestite vengono create e gestite da AWS ed è possibile utilizzarle ma non gestirle. Una policy in linea è una policy che viene creata e integrata direttamente in un gruppo di utenti, utente o ruolo IAM. Le policy in linea non possono essere riutilizzate su altre identità o gestite al di fuori dell'identità in cui esistono. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).
In genere è preferibile utilizzare politiche gestite dal cliente anziché politiche in linea o politiche AWS gestite. AWS le politiche gestite in genere forniscono ampie autorizzazioni amministrative o di sola lettura. Per garantire la massima sicurezza, [concedere un privilegio minimo](best-practices.md#grant-least-privilege), ovvero concedere solo le autorizzazioni necessarie per eseguire attività di processi specifici.
Quando crei o modifichi le policy IAM, AWS puoi eseguire automaticamente la convalida delle policy per aiutarti a creare una policy efficace con il minimo privilegio in mente. Nel Console di gestione AWS, IAM identifica gli errori di sintassi JSON, mentre IAM Access Analyzer fornisce controlli aggiuntivi sulle policy con consigli per aiutarti a perfezionare ulteriormente le tue policy. Per ulteriori informazioni sulla convalida delle policy, consulta [Convalida delle policy IAM](access_policies_policy-validator.md). Per ulteriori informazioni cui controlli delle policy di IAM Access Analyzer e sui suggerimenti utili, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
Puoi utilizzare l' AWS API Console di gestione AWS AWS CLI, o per creare policy gestite dai clienti in IAM. Per ulteriori informazioni sull'utilizzo dei CloudFormation modelli per aggiungere o aggiornare le politiche, consulta il [riferimento ai tipi di AWS Identity and Access Management risorse](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella *Guida per l'CloudFormation utente*.
**Topics**
+ [
# Creare policy IAM (console)
](access_policies_create-console.md)
+ [
# Creare policy IAM (AWS CLI)
](access_policies_create-cli.md)
+ [
# Crea policy IAM (AWS API)
](access_policies_create-api.md)
# Creare policy IAM (console)
Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzarli Console di gestione AWS per creare *policy gestite dai clienti* in IAM. Le policy gestite dal cliente sono policy autonome gestite dall'utente nel proprio Account AWS. Puoi quindi allegare le politiche alle identità (utenti, gruppi e ruoli) nel tuo Account AWS.
Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).
**Topics**
+ [
## Creazione di policy IAM
](#access_policies_create-start)
+ [
## Creazione di policy utilizzando l'editor JSON
](#access_policies_create-json-editor)
+ [
## Creazione di policy con l'editor visivo
](#access_policies_create-visual-editor)
+ [
## L'importazione di policy gestite esistenti
](#access_policies_create-copy)
## Creazione di policy IAM
È possibile creare una politica gestita dai clienti Console di gestione AWS utilizzando uno dei seguenti metodi:
+ **[JSON](#access_policies_create-json-editor)**: incolla e personalizza un [esempio di policy basata sull'identità](access_policies_examples.md).
+ **[Editor visivo](#access_policies_create-visual-editor)**: è possibile creare una nuova policy da zero nell'editor visivo. Se si utilizza l'editor visivo, non è necessario comprendere la sintassi JSON.
+ **[Importa](#access_policies_create-copy)**: importa e personalizza una policy gestita dall'account. È possibile importare una politica AWS gestita o una politica gestita dai clienti creata in precedenza.
Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).
## Creazione di policy utilizzando l'editor JSON
Puoi digitare o incollare le policy in JSON scegliendo l'opzione **JSON**. Questo metodo è utile per copiare una [policy di esempio](access_policies_examples.md) da utilizzare nell'account. In alternativa, è possibile digitare il proprio documento di policy JSON nell'editor JSON. È inoltre possibile utilizzare l'opzione **JSON** per passare tra l'editor visivo e JSON e confrontare le visualizzazioni.
Quando si crea o si modifica una policy nell'editor JSON, IAM esegue la convalida delle policy per facilitare la creazione di una policy efficace. IAM identifica gli errori di sintassi JSON, mentre IAM Access Analyzer fornisce ulteriori controlli delle policy con suggerimenti utili per perfezionare ulteriormente la policy.
Un documento di [policy](access_policies.md) JSON consiste in una o più istruzioni. Ogni istruzione deve contenere tutte le operazioni che condividono lo stesso risultato (`Allow` o `Deny`) e supportare le stesse risorse e condizioni. Se un'operazione richiede di specificare tutte le risorse (`"*"`) e un'altra operazione supporta l'Amazon Resource Name (ARN) di una risorsa specifica, devono essere in due diverse istruzioni JSON. Per informazioni dettagliate sui formati ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nella *Guida Riferimenti generali di AWS *. Per informazioni generali sulle policy IAM, consulta [Politiche e autorizzazioni in AWS Identity and Access Management](access_policies.md). Per informazioni sul linguaggio delle policy IAM, consulta [Riferimento alla policy JSON IAM](reference_policies.md).
**Come utilizzare l'editor di policy JSON per creare una policy**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
1. Scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.
1. Digitare o incollare un documento di policy JSON. Per maggiori dettagli sul linguaggio della policy IAM, consulta [Riferimento alla policy JSON IAM](reference_policies.md).
1. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](access_policies_policy-validator.md), quindi scegli **Next** (Successivo).
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).
1. (Facoltativo) Quando crei o modifichi una policy in Console di gestione AWS, puoi generare un modello di policy JSON o YAML da utilizzare nei modelli. CloudFormation
**Per fare ciò, nell'**editor delle politiche** scegli **Azioni**, quindi scegli Genera modello. CloudFormation** Per ulteriori informazioni, CloudFormation consulta il [riferimento al tipo di AWS Identity and Access Management risorsa](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella Guida AWS CloudFormation per l'utente.
1. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli **Successivo**.
1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.
1. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare [Tag per AWS Identity and Access Management le risorse](id_tags.md).
1. Seleziona **Crea policy** per salvare la nuova policy.
Dopo aver creato una policy, è possibile collegarlo ai gruppi, utenti o ruoli. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).
## Creazione di policy con l'editor visivo
L'editor visivo nella console IAM fornisce informazioni utili sulla creazione di una policy senza dover scrivere una sintassi JSON. Per visualizzare un esempio dell'editor visivo per creare una policy, consultare [Controllo dell'accesso alle identità](access_controlling.md#access_controlling-identities).
**Per utilizzare l'editor visivo per creare una policy.**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
1. Scegli **Crea policy**.
1. Nella sezione **Policy editor**, trova la sezione **Seleziona un servizio**, quindi scegli un AWS servizio. È possibile utilizzare la casella di ricerca in alto per limitare i risultati nell'elenco di servizi. È possibile selezionare solo un servizio nel blocco di autorizzazione di un editor visivo. Per concedere l'accesso a più di un servizio, aggiungi più blocchi di autorizzazioni selezionando **Aggiungi altre autorizzazioni**.
1. In **Operazioni consentite**, scegli le operazioni da aggiungere alla policy. È possibile selezionare operazioni nei modi seguenti:
+ Selezionare la casella di controllo per tutte le azioni.
+ Scegliere **aggiungi azioni** per digitare il nome di un'azione specifica. È possibile utilizzare i caratteri jolly (`*`) per specificare più operazioni.
+ Selezionare uno dei gruppi di **livelli di accesso** per scegliere tutte le azioni per il livello di accesso, ad esempio **Lettura**, **Scrittura** o **Elenco**.
+ Espandere ciascuno dei gruppi **Access level (Livello di accesso)** per selezionare singole operazioni.
Come impostazione predefinita, la policy che si sta creando utilizza le operazioni selezionate. Per rifiutare invece le operazioni scelte, selezionare **Switch to deny permissions (Passa a rifiuto autorizzazioni)**. Poiché [IAM rifiuta per impostazione predefinita](reference_policies_evaluation-logic.md), si consiglia come best practice di sicurezza di consentire le autorizzazioni solo alle operazioni e alle risorse necessarie per un utente. È necessario creare un'istruzione JSON per negare le autorizzazioni solo se si desidera sostituire un'autorizzazione separatamente consentita da un'altra istruzione o policy. Si consiglia di limitare al minimo il numero di autorizzazioni di rifiuto perché possono aumentare la difficoltà di risoluzione dei problemi relative alle autorizzazioni.
1. Per **Risorse**, se il servizio e le azioni selezionati nei passaggi precedenti non supportano la scelta di [risorse specifiche](access_controlling.md#access_controlling-resources), tutte le risorse sono consentite e non è possibile modificare questa sezione.
Se si selezionano una o più operazioni che supportano le [autorizzazioni a livello di risorsa](access_controlling.md#access_controlling-resources), l'editor visivo elenca tali risorse. È possibile selezionare **Risorse** per specificare le risorse per la policy.
È possibile specificare le risorse nei seguenti modi:
+ Scegli **Aggiungi ARNs** per specificare le risorse in base ai rispettivi Amazon Resource Names (ARN). È possibile utilizzare l'editor o l'elenco ARNs ARN visivo manualmente. Per maggiori informazioni sulla sintassi ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nella *Guida Riferimenti generali di AWS *. Per informazioni sull'utilizzo ARNs nell'`Resource`elemento di una policy, vedere[Elementi delle policy JSON IAM: Resource](reference_policies_elements_resource.md).
+ Scegli **Qualsiasi in questo account** accanto a una risorsa per concedere autorizzazioni a qualsiasi risorsa di quel tipo.
+ Seleziona **Tutto** per selezionare tutte le risorse per quel servizio.
1. (Facoltativo) Scegli **Condizioni di richiesta - *opzionale*** per aggiungere condizioni alla policy che si sta creando. Le condizioni limitano l'effetto di una dichiarazione di policy JSON. Ad esempio, puoi specificare che un utente può eseguire le operazioni sulle risorse solo quando la richiesta dell'utente viene effettuata entro un determinato intervallo di tempo. È inoltre possibile utilizzare le condizioni comuni per limitare se un utente deve essere autenticato utilizzando un dispositivo multi-factor authentication (MFA). In alternativa, è possibile richiedere che la richiesta provenga da un determinato intervallo di indirizzi IP. Per un elenco di tutte le chiavi di contesto che è possibile utilizzare in una condizione di policy, vedere [Azioni, risorse e chiavi di condizione per AWS i servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nel *Service Authorization Reference*.
È possibile selezionare le condizioni nei modi seguenti:
+ Utilizzare le caselle di controllo per selezionare le condizioni di utilizzo comune.
+ Seleziona **Aggiungi altra condizione** per specificare altre condizioni. Selezionare **Condition Key (Chiave condizione)**, **Qualifier (Qualificatore)** e **Operator (Operatore)** della condizione e digitare un **Value (Valore)**. Per aggiungere più di un valore, seleziona **Aggiungi**. È possibile valutare i valori come se fossero connessi da un operatore logico "OR". Una volta terminato, scegli **Aggiungi condizione**.
Per aggiungere più di una condizione, scegli di nuovo **Aggiungi altra condizione**. Ripetere come necessario. Ogni condizione si applica solo a questo blocco di autorizzazione di un editor visivo. Tutte le condizioni devono essere vere per il blocco di autorizzazioni per essere considerato una corrispondenza. In altre parole, considerare le condizioni da connettere con un operatore logico "AND".
Per ulteriori informazioni sull'elemento **Condition (Condizione)**, consultare [Elementi delle policy JSON IAM: Condition](reference_policies_elements_condition.md) in [Riferimento alla policy JSON IAM](reference_policies.md).
1. Per aggiungere più blocchi di autorizzazioni, seleziona **Aggiungi ulteriori autorizzazioni**. Per ogni blocco, ripetere le fasi da 2 a 5.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).
1. (Facoltativo) Quando si crea o si modifica una politica in Console di gestione AWS, è possibile generare un modello di policy JSON o YAML da utilizzare nei modelli. CloudFormation
**Per fare ciò, nell'**editor delle politiche** scegli **Azioni**, quindi scegli Genera modello. CloudFormation** Per ulteriori informazioni, CloudFormation consulta il [riferimento al tipo di AWS Identity and Access Management risorsa](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) nella Guida AWS CloudFormation per l'utente.
1. Una volta terminata l'aggiunta delle autorizzazioni alla policy, scegli **Successivo**.
1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Rivedi il campo **Autorizzazioni definite in questa policy** per accertarti di disporre delle autorizzazioni previste.
1. (Facoltativo) Aggiungere metadati alla policy collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare [Tag per AWS Identity and Access Management le risorse](id_tags.md).
1. Seleziona **Crea policy** per salvare la nuova policy.
Dopo aver creato una policy, è possibile collegarlo ai gruppi, utenti o ruoli. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).
## L'importazione di policy gestite esistenti
Un modo semplice per creare una nuova policy è di importare una policy gestita esistente all'interno dell'account che dispone di almeno alcune delle autorizzazioni di cui si ha bisogno. È possibile personalizzare la policy per farla corrispondere ai nuovi requisiti.
Non è possibile importare una policy inline. Per informazioni sulle differenze tra policy gestite e policy inline, consultare [Policy gestite e policy inline](access_policies_managed-vs-inline.md).
**Per importare una policy gestita esistente nell'editor visivo**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
1. Scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **Visivo**, quindi sul lato destro della pagina, scegli **Operazioni** e poi **Importa policy**.
1. Nella finestra **Importa policy gestite**, seleziona le policy gestite che meglio corrispondono alla policy da includere nella nuova policy. Per limitare i risultati nell'elenco di servizi, è possibile utilizzare la casella di ricerca in alto.
1. Scegli **Importa policy**.
Le policy importate vengono aggiunte in nuovi blocchi di autorizzazione nella parte inferiore della policy.
1. Utilizzare **Visual editor (Editor visivo)** o selezionare **JSON** per personalizzare la policy. Quindi scegli **Successivo**.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).
1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Non è possibile modificare queste impostazioni in un secondo momento. Rivedi il campo **Autorizzazioni definite in questa policy**, quindi scegli **Crea policy** per salvare il lavoro.
**Importazione di una policy gestita esistente nell'editor **JSON****
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
1. Scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**, quindi sul lato destro della pagina, scegli **Operazioni** e poi **Importa policy**.
1. Nella finestra **Importa policy gestite**, seleziona le policy gestite che meglio corrispondono alla policy da includere nella nuova policy. Per limitare i risultati nell'elenco di servizi, è possibile utilizzare la casella di ricerca in alto.
1. Scegli **Importa policy**.
Le istruzioni dalle policy importate vengono aggiunte in fondo alle policy JSON.
1. Personalizza la policy in JSON. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la [convalida delle policy](access_policies_policy-validator.md), quindi scegli **Next** (Successivo). Oppure, personalizza la policy nell'**Editor visivo**. Quindi scegli **Successivo**.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](troubleshoot_policies.md#troubleshoot_viseditor-restructure).
1. Nella pagina **Verifica e crea**, digita i valori per **Nome policy** e **Descrizione** (facoltativa) per la policy che si sta creando. Non è possibile modificare queste impostazioni in un secondo momento. Rivedi la policy **Autorizzazioni definite in questa policy**, quindi scegli **Crea policy** per salvare il lavoro.
Dopo aver creato una policy, è possibile collegarlo ai gruppi, utenti o ruoli. Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](access_policies_manage-attach-detach.md).
# Creare policy IAM (AWS CLI)
Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzarli AWS CLI per creare *policy gestite dai clienti* in IAM. Le policy gestite dal cliente sono policy autonome gestite dall'utente nel proprio Account AWS. Come [best practice](best-practices.md), ti consigliamo di utilizzare IAM Access Analyzer per convalidare le tue policy IAM e garantire autorizzazioni sicure e funzionali. Attraverso la [convalida delle policy](access_policies_policy-validator.md) è possibile risolvere eventuali errori o suggerimenti prima di collegare le policy alle identità (utenti, gruppi e ruoli) dell' Account AWS.
Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).
## Creazione di policy IAM (AWS CLI)
Puoi creare una policy gestita dal cliente IAM o una policy in line utilizzando AWS Command Line Interface (AWS CLI).
**Per creare una policy gestita dal cliente (AWS CLI)**
Utilizza il seguente comando:
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)
**Come creare una policy in linea per un'identità IAM (utente, gruppo o ruolo) (AWS CLI)**
Utilizzare uno dei seguenti comandi:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
**Nota**
Non è possibile utilizzare IAM per integrare una policy in linea per un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*.
**Come convalidare una policy gestita dal cliente (AWS CLI)**
Utilizza il seguente comando IAM Access Analyzer:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)
# Crea policy IAM (AWS API)
Una [policy](access_policies.md) è un'entità che, se viene collegata a un'identità o a una risorsa, ne definisce le autorizzazioni. Puoi utilizzare l' AWS API per creare *policy gestite dai clienti* in IAM. Le policy gestite dal cliente sono policy autonome gestite dall'utente nel proprio Account AWS. Come [best practice](best-practices.md), ti consigliamo di utilizzare IAM Access Analyzer per convalidare le tue policy IAM e garantire autorizzazioni sicure e funzionali. Attraverso la [convalida delle policy](access_policies_policy-validator.md) è possibile risolvere eventuali errori o suggerimenti prima di collegare le policy alle identità (utenti, gruppi e ruoli) dell' Account AWS.
Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta [IAM e AWS STS quote](reference_iam-quotas.md).
## Creazione di politiche IAM (AWS API)
Puoi creare una policy gestita dal cliente IAM o una policy in linea utilizzando l'API AWS .
**Per creare una policy gestita dai clienti (AWS API)**
Chiamare l'operazione seguente:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
**Per creare una policy in linea per un'identità IAM (gruppo, utente o ruolo) (AWS API)**
Chiamare una delle seguenti operazioni:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
**Nota**
Non è possibile utilizzare IAM per integrare una policy in linea per un *[ruolo collegato ai servizi](id_roles.md#iam-term-service-linked-role)*.
**Per convalidare una politica gestita dal cliente (API)AWS**
Chiama la seguente operazione IAM Access Analyzer:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)