# カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する
[ポリシー](access_policies.md)では、AWS 内の ID やリソースに対するアクセス許可を定義します。AWS マネジメントコンソール、AWS CLI、または AWS API を使用して、IAM にカスタマー管理ポリシーを作成できます。カスタマー管理ポリシーは、自分の AWS アカウントで管理するスタンドアロンポリシーです。その後、ポリシーを AWS アカウント のアイデンティティ (ユーザー、グループ、またはロール) にアタッチできます。
ID ベースのポリシーは、IAM の ID にアタッチされるポリシーです。ID ベースのポリシーには、AWS マネージドポリシー、カスタマー管理ポリシー、インラインポリシーがあります。AWS マネージドポリシーは、AWS によって作成および管理されるポリシーで、ユーザーは使用することはできますが、管理することはできません。インラインポリシーは、IAM ユーザーグループ、ユーザー、またはロールに直接作成して埋め込むポリシーです。インラインポリシーは、他の ID で再利用したり、埋め込み先の ID 以外で管理したりすることはできません。詳細については、「[IAM ID のアクセス許可の追加および削除](access_policies_manage-attach-detach.md)」を参照してください。
一般に、インラインポリシーや AWS マネージドポリシーではなくカスタマー管理ポリシーを使用する方が効果的です。AWS マネージドポリシーには通常、広範な管理アクセス許可または読み取り専用アクセス許可が用意されています。セキュリティを最大限に高めるには、[最小特権を付与](best-practices.md#grant-least-privilege)します。つまり、特定のジョブタスクの実行に必要なアクセス許可のみを付与します。
IAM ポリシーを作成または編集すると、AWS は、ポリシー検証を自動的に実行し、最小限の権限で効果的なポリシーを作成するのに役立ちます。AWS マネジメントコンソール では、IAM は JSON 構文エラーを識別します。一方、IAM Access Analyzer は、ポリシーをさらに絞り込むのに役立つ推奨事項を含む追加のポリシーチェックを提供します。ポリシーの検証の詳細については、「[IAM ポリシーの検証](access_policies_policy-validator.md)」を参照してください。IAM Access Analyzer のポリシーチェックと実用的な推奨事項の詳細については、「[IAM Access Analyzer ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)」を参照してください。
AWS マネジメントコンソール、AWS CLI、または AWS API を使用して、IAM でカスタマー管理ポリシーを作成できます。CloudFormation テンプレートを使用してポリシーを追加または更新する方法については、「*CloudFormation ユーザーガイド*」の「[AWS Identity and Access Management リソースタイプリファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)」を参照してください。
**Topics**
+ [IAM ポリシーを作成する (コンソール)](access_policies_create-console.md)
+ [IAM ポリシーを作成する (AWS CLI)](access_policies_create-cli.md)
+ [IAM ポリシーを作成する (AWS API)](access_policies_create-api.md)
# IAM ポリシーを作成する (コンソール)
[ポリシー](access_policies.md) は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。AWS マネジメントコンソール を使用して、IAM で*カスタマー管理ポリシー*を作成できます。カスタマー管理ポリシーは、独自の AWS アカウント で管理するスタンドアロンポリシーです。その後、ポリシーを AWS アカウント のアイデンティティ (ユーザー、グループ、またはロール) にアタッチできます。
AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「[IAM と AWS STSクォータ](reference_iam-quotas.md)」を参照してください。
**Topics**
+ [IAM ポリシーの作成](#access_policies_create-start)
+ [JSON エディターを使用したポリシーの作成](#access_policies_create-json-editor)
+ [ビジュアルエディタでのポリシーの作成](#access_policies_create-visual-editor)
+ [既存の管理ポリシーのインポート](#access_policies_create-copy)
## IAM ポリシーの作成
AWS マネジメントコンソール でカスタマー管理ポリシーを作成するには、次のいずれかの方法を使用します。
+ **[JSON](#access_policies_create-json-editor)** — 発行された[アイデンティティベースのポリシーの例](access_policies_examples.md)を貼り付けてカスタマイズします。
+ **[ビジュアルエディタ](#access_policies_create-visual-editor)** — ビジュアルエディタで最初から新しいポリシーを構築できます。ビジュアルエディタを使用する場合は、JSON 構文を理解する必要はありません。
+ **[インポート](#access_policies_create-copy)** — アカウント内から管理ポリシーをインポートしてカスタマイズします。以前に作成した AWS 管理ポリシーまたはカスタマー管理ポリシーをインポートできます。
AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「[IAM と AWS STSクォータ](reference_iam-quotas.md)」を参照してください。
## JSON エディターを使用したポリシーの作成
[**JSON**] オプションを選択して、JSON でポリシーを入力または貼り付けることができます。この方法は、アカウントで使用する[ポリシー例](access_policies_examples.md)をコピーするのに便利です。または、独自の JSON ポリシードキュメントを JSON エディタに入力することもできます。**[JSON]** オプションを使用してビジュアルエディタと JSON を切り替えて、ビューを比較することもできます。
JSON エディターでポリシーを作成または編集すると、IAM はポリシー検証を実行し、効果的なポリシーの作成に役立ちます。IAM は JSON 構文エラーを識別します。一方、IAM Access Analyzer は、ポリシーをさらに絞り込むのに役立つアクション可能な推奨事項を含む追加のポリシーチェックを提供します。
JSON [ポリシー](access_policies.md)ドキュメントは 1 つ以上のステートメントで構成されます。各ステートメントには、同じ効果エフェクト (`Allow` または `Deny`) を共有するすべてのアクションが含まれ、同じリソースと条件がサポートされている必要があります。1 つのアクションですべてのリソース (`"*"`) を指定する必要があり、別のアクションが特定のリソースの Amazon リソースネーム (ARN) に対応している場合、それらは 2 つの別々の JSON ステートメントに含める必要があります。ARN 形式の詳細については、「AWS 全般のリファレンス ガイド」の「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。IAM ポリシーの一般情報については、「[AWS Identity and Access Management でのポリシーとアクセス許可](access_policies.md)」を参照してください。IAM ポリシー言語については、「[IAM JSON ポリシーリファレンス](reference_policies.md)」を参照してください。
**JSON ポリシーエディタでポリシーを作成するには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. [**ポリシーエディタ**] セクションで、[**JSON**] オプションを選択します。
1. JSON ポリシードキュメントを入力するか貼り付けます。IAM ポリシー言語の詳細については、「[IAM JSON ポリシーリファレンス](reference_policies.md)」を参照してください。
1. [ポリシーの検証](access_policies_policy-validator.md)中に生成されたセキュリティ警告、エラー、または一般警告をすべて解決してから、**[次へ]** を選択します。
**注記**
いつでも **[ビジュアル]** と **[JSON]** エディタオプションを切り替えることができます。ただし、**[Visual]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「[ポリシーの再構成](troubleshoot_policies.md#troubleshoot_viseditor-restructure)」を参照してください。
1. (オプション)AWS マネジメントコンソール でポリシーを作成または編集するときに、CloudFormation テンプレートで使用できる JSON または YAML ポリシーテンプレートを生成できます。
これを行うには、**ポリシーエディタ**で [**アクション**] を選択し、次に [**CloudFormation テンプレートを生成**] を選択します。CloudFormation の詳細については、AWS CloudFormation ユーザーガイドの「[AWS Identity and Access Management リソースタイプリファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)」を参照してください。
1. ポリシーにアクセス権限を追加し終えたら、[**次へ**] を選択します。
1. [**確認と作成**] ページで、作成するポリシーの [**ポリシー名**] と [**説明**] (オプション) を入力します。[**このポリシーで定義されているアクセス許可**] を確認して、ポリシーによって付与されたアクセス許可を確認します。
1. (オプション) タグをキーと 値のペアとしてアタッチして、メタデータをポリシーに追加します。IAM におけるタグの使用の詳細については、「[AWS Identity and Access Management リソースのタグ](id_tags.md)」を参照してください。
1. **[ポリシーを作成]** をクリックして、新しいポリシーを保存します。
ポリシーを作成したら、グループ、ユーザー、またはロールにアタッチできます。詳細については、「[IAM ID のアクセス許可の追加および削除](access_policies_manage-attach-detach.md)」を参照してください。
## ビジュアルエディタでのポリシーの作成
IAM コンソールのビジュアルエディタは、JSON 構文を記述することなくポリシーを作成する方法をガイドします。ビジュアルエディタを使用してポリシーを作成する方法の例については、「[アイデンティティへのアクセスコントロール](access_controlling.md#access_controlling-identities)」を参照してください。
**ビジュアルエディタを使用してポリシーを作成するには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. [**ポリシーエディター**] セクションで、[**サービスを選択**] セクションを見つけて、AWS サービスを選択します。上部の検索ボックスを使用して、サービスのリストの結果を制限することができます。ビジュアルエディタのアクセス許可ブロック内で選択できるサービスは 1 つだけです。複数のサービスにアクセス許可を付与するには、[**さらにアクセス許可を追加する**] を選択して、複数のアクセス許可ブロックを追加します。
1. [**許可されるアクション**] で、ポリシーに追加するアクションを選択します。アクションは次の方法で選択できます。
+ すべてのアクションのチェックボックスをオンにします。
+ [**アクションを追加**] を選択して、特定のアクションの名前を入力します。ワイルドカード (`*`) を使用して、複数のアクションを指定できます。
+ [**アクセスレベル**] グループの 1 つを選択して、アクセスレベルのすべてのアクション ([**読み取り**]、[**書き込み**]、または [**リスト**] など) を選択します。
+ それぞれの [**アクセスレベル**] グループを展開して、個々のアクションを選択します。
デフォルトでは、作成しているポリシーが選択するアクションを許可します。その代わりに選択したアクションを拒否するには、[**Switch to deny permissions (アクセス許可の拒否に切り替え)**] を選択します。[IAM はデフォルトでは拒否](reference_policies_evaluation-logic.md)されるため、ユーザーが必要とするアクションとリソースのみに対してアクセス許可を許可することを、セキュリティのベストプラクティスとしてお勧めします。別のステートメントまたはポリシーによって個別に許可されるアクセス許可を上書きする場合のみ、アクセス許可を拒否する JSON ステートメントを作成します。これにより、アクセス許可のトラブルシューティングがより困難になる可能性があるため、拒否ステートメントの数は最小限に制限することをお勧めします。
1. [**リソース**] では、前のステップで選択したサービスとアクションが[特定のリソース](access_controlling.md#access_controlling-resources)の選択をサポートしていない場合は、すべてのリソースが許可され、このセクションを編集することはできません。
[リソースレベルのアクセス許可](access_controlling.md#access_controlling-resources)をサポートする 1 つ以上のアクションを選択した場合、ビジュアルエディタでそれらのリソースが一覧表示されます。[**リソース**] を展開して、ポリシーのリソースを指定できます。
リソースは次の方法で指定できます。
+ [**ARN を追加**] を選択して、それらの Amazon リソースネーム (ARN) 別にリソースを指定します。ビジュアル ARN エディタを使用するか、ARN を手動でリストすることができます。ARN 構文の詳細については、「AWS 全般のリファレンス Guide」の「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。ポリシーの `Resource` 要素で ARN を使用する方法については、「[IAM JSON ポリシー要素Resource](reference_policies_elements_resource.md)」を参照してください。
+ リソースの横にある **[このアカウント内のすべて]** を選択して、そのタイプのすべてのリソースにアクセス許可を付与します。
+ [**すべて**] を選択し、そのサービスのすべてのリソースを選択します。
1. (オプション) **[リクエスト条件 - *オプション*]** を選択して、作成するポリシーに条件を追加します。条件によって JSON ポリシーステートメントの効果が制限されます。例えば、特定の時間範囲内でそのユーザーのリクエストが発生した場合にのみ、ユーザーがリソースに対してアクションを実行できるように指定できます。一般的に使用される条件を使用して、Multi-Factor Authentication(MFA) デバイスでユーザーを認証する必要があるかどうかを制限することもできます。または、リクエストの発行元を特定範囲内の IP アドレスに限定できます。ポリシー条件で使用できるすべてのコンテキストキーのリストについては、「*サービス認可リファレンス*」の「[AWS サービスのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。
条件は次の方法で選択できます。
+ 一般的に使用される条件を選択するには、チェックボックスを使用します。
+ 他の条件を指定するには、[**別の条件を追加**] を選択します。条件の [**条件キー**]、[**修飾子**]、[**演算子**] を選択し、[**値**] に入力します。複数の値を追加するには、[**追加**] を選択します。値は、論理 "OR" 演算子によって接続されていると見なすことができます。完了したら、[**条件を追加**] を選択します。
複数の条件を追加するには、[**別の条件を追加**] を選択します。必要に応じて操作を繰り返します。各条件は、この 1 つのビジュアルエディタのアクセス許可ブロックにのみ適用されます。アクセス許可ブロックが一致すると見なされるためには、すべての条件が満たされている必要があります。つまり、論理 "AND" 演算子によって接続される条件を考慮してください。
**Condition** 要素の詳細については、「[IAM JSON ポリシーリファレンス](reference_policies.md)」の「[IAM JSON ポリシー要素Condition](reference_policies_elements_condition.md)」を参照してください。
1. さらにアクセス許可ブロックを追加するには、[**さらにアクセス許可を追加**] を選択します。各ブロックに対して、ステップ 2 から 5 を繰り返します。
**注記**
いつでも **[Visual]** と **[JSON]** エディタオプションを切り替えることができます。ただし、**[Visual]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「[ポリシーの再構成](troubleshoot_policies.md#troubleshoot_viseditor-restructure)」を参照してください。
1. (オプション)AWS マネジメントコンソール でポリシーを作成または編集するときに、CloudFormation テンプレートで使用できる JSON または YAML ポリシーテンプレートを生成できます。
これを行うには、**ポリシーエディタ**で [**アクション**] を選択し、次に [**CloudFormation テンプレートを生成**] を選択します。CloudFormation の詳細については、AWS CloudFormation ユーザーガイドの「[AWS Identity and Access Management リソースタイプリファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)」を参照してください。
1. ポリシーにアクセス権限を追加し終えたら、[**次へ**] を選択します。
1. [**確認と作成**] ページで、作成するポリシーの [**ポリシー名**] と [**説明**] (オプション) を入力します。[**このポリシーで定義されているアクセス許可**] を確認し、意図したアクセス許可を付与したことを確認します。
1. (オプション) タグをキーと 値のペアとしてアタッチして、メタデータをポリシーに追加します。IAM におけるタグの使用の詳細については、「[AWS Identity and Access Management リソースのタグ](id_tags.md)」を参照してください。
1. **[ポリシーを作成]** をクリックして、新しいポリシーを保存します。
ポリシーを作成したら、グループ、ユーザー、またはロールにアタッチできます。詳細については、「[IAM ID のアクセス許可の追加および削除](access_policies_manage-attach-detach.md)」を参照してください。
## 既存の管理ポリシーのインポート
新しいポリシーを作成する簡単な方法は、必要なアクセス許可の少なくとも一部を持っているアカウント内の既存の管理ポリシーをインポートすることです。次に、新しい要件に合わせてそのポリシーをカスタマイズできます。
インラインポリシーをインポートすることはできません。管理ポリシーとインラインポリシーの違いについては、「[管理ポリシーとインラインポリシー](access_policies_managed-vs-inline.md)」を参照してください。
**ビジュアルエディタで既存の管理ポリシーをインポートするには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディタ]** で **[Visual]** を選択し、ページの右側で **[アクション]**、**[ポリシーをインポート]** と選択します。
1. [**Iポリシーをインポート**] ウィンドウで、新しいポリシーに含めるポリシーと最もよく一致する管理ポリシーを選択します。上部の検索ボックスを使用して、ポリシーのリストの結果を制限することができます。
1. [**ポリシーをインポート**] を選択します。
インポートされたポリシーは、ポリシーの下部にあるアクセス許可ブロックに追加されます。
1. **[Visual]** エディタを使用して、ポリシーをカスタマイズする **[JSON]** を選択します。次に、**[次へ]** を選択します。
**注記**
いつでも **[Visual]** と **[JSON]** エディタオプションを切り替えることができます。ただし、**[Visual]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「[ポリシーの再構成](troubleshoot_policies.md#troubleshoot_viseditor-restructure)」を参照してください。
1. [**確認と作成**] ページで、作成するポリシーの [**ポリシー名**] と [**説明**] (オプション) を入力します。これらの設定は後で編集できません。 [**このポリシーで定義されているアクセス許可**] を確認し、[**ポリシーを作成**] を選択して作業を保存します。
**[**JSON**] エディタで既存の管理ポリシーをインポートするには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. 左側のナビゲーションペインで、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. [**ポリシーエディタ**] セクションで [**JSON**] オプションを選択し、ページの右側で [**アクション**]、[**ポリシーをインポート**] と選択します。
1. [**Iポリシーをインポート**] ウィンドウで、新しいポリシーに含めるポリシーと最もよく一致する管理ポリシーを選択します。上部の検索ボックスを使用して、ポリシーのリストの結果を制限することができます。
1. [**ポリシーをインポート**] を選択します。
インポートされたポリシーのステートメントは、JSON ポリシーの最後に追加されます。
1. JSON でポリシーをカスタマイズします。[ポリシーの検証](access_policies_policy-validator.md)中に生成されたセキュリティ警告、エラー、または一般警告をすべて解決してから、**[次へ]** を選択します。JSON でポリシーをカスタマイズするか、**[Visual]** エディタを選択します。次に、**[次へ]** を選択します。
**注記**
いつでも **[Visual]** と **[JSON]** エディタオプションを切り替えることができます。ただし、**[Visual]** エディタで **[次へ]** に変更または選択した場合、IAM はポリシーを再構成して visual エディタに合わせて最適化することがあります。詳細については、「[ポリシーの再構成](troubleshoot_policies.md#troubleshoot_viseditor-restructure)」を参照してください。
1. [**確認と作成**] ページで、作成するポリシーの [**ポリシー名**] と [**説明**] (オプション) を入力します。これらを後で編集することはできません。 [**このポリシーで定義されているアクセス許可**] ポリシーを確認し、[**ポリシーを作成**] を選択して作業を保存します。
ポリシーを作成したら、グループ、ユーザー、またはロールにアタッチできます。詳細については、「[IAM ID のアクセス許可の追加および削除](access_policies_manage-attach-detach.md)」を参照してください。
# IAM ポリシーを作成する (AWS CLI)
[ポリシー](access_policies.md) は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。AWS CLI を使用して、IAM で*カスタマー管理ポリシー*を作成できます。カスタマー管理ポリシーは、独自の AWS アカウント で管理するスタンドアロンポリシーです。[ベストプラクティス](best-practices.md)として、IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を確保することをお勧めします。[ポリシーを検証する](access_policies_policy-validator.md)ことで、ポリシーを AWS アカウント のアイデンティティ (ユーザー、グループ、またはロール) にアタッチする前に、エラーやレコメンデーションに対応できます。
AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「[IAM と AWS STSクォータ](reference_iam-quotas.md)」を参照してください。
## IAM ポリシーの作成 (AWS CLI)
AWS Command Line Interface (AWS CLI) を使用して、IAM カスタマー管理ポリシーまたはインラインポリシーを作成できます。
**カスタマー管理ポリシーを作成するには (AWS CLI)**
以下のコマンドを使用します。
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)
**IAM アイデンティティ (グループ、ユーザー、またはロール) のインラインポリシーを作成するには (AWS CLI)**
以下のいずれかのコマンドを使用します。
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
**注記**
IAM を使用して*[サービスリンクロール](id_roles.md#iam-term-service-linked-role)*にインラインポリシーを埋め込むことはできません。
**カスタマー管理ポリシーを検証するには (AWS CLI)**
次の IAM Access Analyzer ーコマンドを使用します。
+ [ポリシーの検証](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)
# IAM ポリシーを作成する (AWS API)
[ポリシー](access_policies.md) は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。AWS API を使用して、IAM で*カスタマー管理ポリシー*を作成できます。カスタマー管理ポリシーは、独自の AWS アカウント で管理するスタンドアロンポリシーです。[ベストプラクティス](best-practices.md)として、IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を確保することをお勧めします。[ポリシーを検証する](access_policies_policy-validator.md)ことで、ポリシーを AWS アカウント のアイデンティティ (ユーザー、グループ、またはロール) にアタッチする前に、エラーやレコメンデーションに対応できます。
AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「[IAM と AWS STSクォータ](reference_iam-quotas.md)」を参照してください。
## IAM ポリシーの作成 (AWS API)
AWS API を使用して、IAM カスタマー管理ポリシーまたはインラインポリシーを作成できます。
**カスタマー管理ポリシーを作成するには (AWS API)**
次のオペレーションを呼び出します。
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
**IAM アイデンティティ (グループ、ユーザー、またはロール) のインラインポリシーを作成するには (AWS API)**
以下のいずれかのオペレーションを呼び出します。
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
**注記**
IAM を使用して「*[サービスにリンクされたロール](id_roles.md#iam-term-service-linked-role)*」にインラインポリシーを埋め込むことはできません。
**カスタマー管理ポリシーを編集するには (AWS API)**
次の IAM Access Analyzer オペレーションを呼び出します。
+ [検証ポリシー](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)