

# Criar políticas do IAM (console)
<a name="access_policies_create-console"></a>

Uma [política](access_policies.md) é uma entidade que, quando anexada a uma identidade ou recurso, define suas permissões. Você pode usar a Console de gerenciamento da AWS para criar *políticas gerenciadas pelo cliente* no IAM. Políticas gerenciadas pelo cliente são políticas autônomas que você administra na sua própria Conta da AWS. Você pode anexar as políticas a identidades (usuários, grupos e perfis) na sua conta Conta da AWS.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

**Topics**
+ [Criação de políticas do IAM](#access_policies_create-start)
+ [Criar políticas usando o editor de JSON](#access_policies_create-json-editor)
+ [Criar políticas com o editor visual](#access_policies_create-visual-editor)
+ [Importar políticas gerenciadas existentes](#access_policies_create-copy)

## Criação de políticas do IAM
<a name="access_policies_create-start"></a>

Você pode criar uma política gerenciada pelo cliente no Console de gerenciamento da AWS usando um dos seguintes métodos:
+ **[JSON](#access_policies_create-json-editor)**: cole e personalize uma [política baseada em identidade de exemplo](access_policies_examples.md) publicada.
+ **[Editor visual](#access_policies_create-visual-editor)**: crie uma nova política do zero no editor visual. Se você usar o editor visual, não precisará entender a sintaxe JSON.
+ **[Importar](#access_policies_create-copy)**: importe e personalize uma política gerenciada na sua conta. Você pode importar uma política gerenciada da AWS ou uma política gerenciada pelo cliente criada anteriormente.

O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).

## Criar políticas usando o editor de JSON
<a name="access_policies_create-json-editor"></a>

Você pode digitar ou colar políticas em JSON escolhendo a opção **JSON**. Este método é útil para copiar um [exemplo de política](access_policies_examples.md) para usar na sua conta. Você também pode digitar o seu próprio documento de política JSON no editor JSON. Você também pode usar a opção **JSON** para alternar entre o editor visual e JSON para comparar as visualizações.

 Quando você cria ou edita uma política no editor JSON, o IAM executa a validação da política para ajudar você a criar uma política eficaz. O IAM identifica erros de sintaxe JSON, enquanto o IAM Access Analyzer fornece verificações de política adicionais com recomendações práticas para ajudar você a refinar ainda mais a política. 

Uma [política](access_policies.md) JSON consiste em uma ou mais instruções. Cada instrução deve conter todas as ações que compartilham o mesmo efeito (`Allow` ou `Deny`) e oferecem suporte aos mesmos recursos e condições. Se uma ação exigir que você especifique todos os recursos (`"*"`) e outra ação oferecer suporte ao nome de recurso da Amazon (ARN) de um recurso específico, elas devem ficar em duas instruções JSON separadas. Para obter detalhes sobre formatos de ARN, consulte [Nome de recurso da Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no *Guia de Referência geral da AWS*. Para obter informações gerais sobre políticas do IAM, consulte [Políticas e permissões no AWS Identity and Access Management](access_policies.md). Para obter informações sobre a linguagem de políticas do IAM, consulte [Referência de política JSON do IAM](reference_policies.md).

**Para usar o editor de políticas JSON para criar uma política**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

1. Escolha **Criar política**.

1. Na seção **Editor de políticas**, escolha a opção **JSON**.

1. Digite ou cole um documento de política JSON. Para obter detalhes sobre a linguagem de políticas do IAM, consulte [Referência de política JSON do IAM](reference_policies.md).

1.  Resolva os avisos de segurança, erros ou avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md) e depois escolha **Próximo**. 
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opcional) Ao criar ou editar uma política no Console de gerenciamento da AWS, você pode gerar um modelo de política JSON ou YAML que pode ser usado em modelos do CloudFormation.

   Para isso, no **editor de políticas**, escolha **Ações** e depois escolha **Gerar modelo do CloudFormation**. Para saber mais sobre o CloudFormation, consulte [Referência de tipos de recurso do AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) no Guia do usuário do AWS CloudFormation.

1. Quando terminar de adicionar as permissões à política, escolha **Avançar**.

1. Na página **Revisar e criar**, digite um **nome de política** e uma **descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.

1. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

1. Escolha **Criar política** para salvar sua nova política.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).

## Criar políticas com o editor visual
<a name="access_policies_create-visual-editor"></a>

O editor visual no console do IAM oferece orientação para a criação de uma política sem que seja necessário escrever usando a sintaxe JSON. Para visualizar um exemplo de como usar o editor visual para criar uma política, consulte [Controle de acesso a identidades](access_controlling.md#access_controlling-identities).

**Para usar o editor visual para criar uma política**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

1. Escolha **Criar política**.

1. Na seção **Editor de políticas**, localize a seção **Selecionar um serviço** e escolha um serviço da AWS. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de serviços. Você pode escolher apenas um serviço em um bloco de permissões no editor visual. Para conceder acesso a mais de um serviço, adicione vários blocos de permissões escolhendo **Adicionar mais permissões**.

1. Em **Ações permitidas**, escolha as ações a serem adicionadas à política. Você pode escolher as ações das seguintes maneiras:
   + Marque a caixa de seleção para todas as ações.
   + Escolha **adicionar ações** para digitar o nome de uma ação específica. Você pode usar curingas (`*`) para especificar várias ações.
   + Selecione um dos grupos de **Nível de acesso** para escolher todas as ações do nível de acesso (por exemplo, **Leitura**, **Gravação** ou **Lista**).
   + Expanda cada um dos grupos de **Access level** para escolher as ações individuais.

   Por padrão, a política que você está criando permite as ações que você escolhe. Para negar as ações escolhidas, selecione **Alternar para negar permissões**. Como o [IAM nega por padrão](reference_policies_evaluation-logic.md), a prática recomendada de segurança é que você conceda permissões somente para as ações e os recursos de que um usuário precisa. Você só deverá criar uma instrução JSON para negar permissões se desejar substituir, separadamente, uma permissão que é concedida por uma outra instrução ou política. Recomendamos que você limite ao mínimo o número de permissões de negação, pois elas podem aumentar a dificuldade de solucionar problemas nas permissões.

1. Para **Recursos**, se o serviço e as ações que você selecionou nas etapas anteriores não oferecerem suporte à escolha de [recursos específicos](access_controlling.md#access_controlling-resources), todos os recursos serão permitidos e você não poderá editar esta seção. 

   Se você escolher uma ou mais ações que ofereçam suporte a [permissões no nível de recursos](access_controlling.md#access_controlling-resources), o editor visual listará esses recursos. Você poderá expandir **Recursos** para especificar os recursos para sua política. 

   É possível especificar recursos das seguintes maneiras:
   + Selecione **Adicionar ARNs** para especificar os recursos pelos nomes dos recursos da Amazon (ARN). Você pode usar o editor de ARN visual ou listar os ARNs manualmente. Para obter mais informações sobre a sintaxe do ARN, consulte [Nome de recurso da Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no *Guia de Referência geral da AWS*. Para obter informações sobre como usar ARNs no elemento `Resource` de uma política, consulte [Elementos de política JSON do IAM: Resource](reference_policies_elements_resource.md).
   + Escolha **Qualquer um nesta conta** ao lado de um recurso para conceder permissões a qualquer recurso desse tipo.
   + Escolha **Todos os recursos** para escolher todos os recursos para o serviço. 

1. (Opcional) Escolha **Condições de solicitação - *opcional*** para adicionar condições à política que você está criando. As condições limitam o efeito de uma instrução de política JSON. Por exemplo, você pode especificar que um usuário só tem permissão para executar ações nos recursos quando sua solicitação ocorrer em um determinado período. Você também pode usar as condições mais usadas para limitar se um usuário deve ser autenticado usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Ou você pode exigir que a solicitação tenha origem em um determinado intervalo de endereços IP. Para obter uma lista completa das chaves de contexto que podem ser usadas na condição de uma política, consulte [Ações, recursos e chaves de condição para serviços da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) na *Referência de autorização de serviços*.

   Você pode escolher as condições das seguintes maneiras:
   + Use as caixas de seleção para selecionar condições comumente utilizadas.
   + Escolha **Adicionar outra condição** para especificar outras condições. Escolha a **Condition Key**, o **Qualifier** e o **Operator** da condição e, em seguida, digite um **Value**. Para adicionar mais de um valor, escolha **Adicionar**. Você pode considerar os valores como sendo conectados por um operador lógico "OR". Quando terminar, selecione **Adicionar condição**.

   Para adicionar mais de uma condição, escolha novamente **Adicionar outra condição**. Repita conforme necessário. Cada condição se aplica apenas a um bloco de permissões do editor visual. Todas as condições devem ser verdadeiras para que o bloco de permissões seja considerado uma correspondência. Em outras palavras, considere as condições como sendo conectadas por um operador lógico "AND".

   Para obter mais informações sobre o elemento **Condição**, consulte [Elementos de política JSON do IAM: Condition](reference_policies_elements_condition.md) no [Referência de política JSON do IAM](reference_policies.md).

1. Para adicionar mais blocos de permissão, escolha **Adicionar mais permissões**. Para cada bloco, repita as etapas de 2 a 5.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opcional) Ao criar ou editar uma política no Console de gerenciamento da AWS, você pode gerar um modelo de política JSON ou YAML que pode ser usado em modelos do CloudFormation.

   Para isso, no **editor de políticas**, escolha **Ações** e depois escolha **Gerar modelo do CloudFormation**. Para saber mais sobre o CloudFormation, consulte [Referência de tipos de recurso do AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) no Guia do usuário do AWS CloudFormation.

1. Quando terminar de adicionar as permissões à política, escolha **Avançar**.

1. Na página **Revisar e criar**, digite um **nome de política** e uma **descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ter certeza de que você concedeu as permissões que pretendia. 

1. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

1. Escolha **Criar política** para salvar sua nova política.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).

## Importar políticas gerenciadas existentes
<a name="access_policies_create-copy"></a>

Uma maneira fácil de criar uma nova política é importar uma política gerenciada existente para sua conta que tenha pelo menos algumas das permissões de que você precisa. Em seguida, você pode personalizar a política de acordo seus novos requisitos.

Não é possível importar uma política em linha. Para saber mais sobre a diferença entre políticas gerenciadas e em linha, consulte [Políticas gerenciadas e em linha](access_policies_managed-vs-inline.md).

**Para importar uma política gerenciada existente no editor visual**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

1. Escolha **Criar política**.

1. Em **Editor de políticas**, escolha **Visual** e depois, no lado direito da página, escolha **Ações** e depois **Importar política**.

1. Na janela **Importar política**, escolha as políticas gerenciadas que mais se aproximam da política que você deseja incluir na nova política. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de políticas.

1. Escolha **Importar política**.

   As políticas importadas são adicionadas em novos blocos de permissões na parte inferior da política.

1. Use o **Editor visual** ou escolha **JSON** para personalizar a política. Escolha **Próximo**.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar e criar**, digite um **nome de política** e uma **descrição** (opcional) para a política que você está criando. Você não poderá editar essas configurações mais tarde. Revise **Permissões definidas nessa política** e depois escolha **Criar política** para salvar seu trabalho.

**Para importar uma política gerenciada existente no editor **JSON****

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

1. Escolha **Criar política**.

1. Na seção **Editor de políticas**, escolha a opção **JSON** e depois, no lado direito da página, escolha **Ações** e depois **Importar política**.

1. Na janela **Importar política**, escolha as políticas gerenciadas que mais se aproximam da política que você deseja incluir na nova política. Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de políticas.

1. Escolha **Importar política**.

   As instruções das políticas importadas são adicionadas na parte inferior da sua política JSON.

1. Personalize a política em JSON. Resolva os avisos de segurança, as mensagens erros ou os avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md), e depois escolha **Próximo**. Ou personalize sua política no **Visual editor** (Editar visual). Escolha **Próximo**.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar e criar**, digite um **nome de política** e uma **descrição** (opcional) para a política que você está criando. Você não poderá editá-los mais tarde. Revise **Permissões definidas nessa política** e escolha **Criar política** para salvar seu trabalho.

Depois de criar uma política, você pode anexá-la aos usuários, grupos ou funções. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).