# 使用客户管理型策略定义自定义 IAM 权限 [策略](access_policies.md)定义 Amazon 中的身份或资源的权限。您可以使用 Amazon Web Services 管理控制台、Amazon CLI 或 Amazon API 在 IAM 中创建*客户管理型策略*。客户管理型策略是您在自己的 Amazon Web Services 账户 中管理的独立策略。然后,您可以将策略附加到您的 Amazon Web Services 账户 中的身份(用户、组和角色)。 *基于身份的策略*是附加到 IAM 中身份的策略。基于身份的策略可以包括 Amazon 托管策略、客户管理型策略和内联策略。Amazon 托管策略由 Amazon 创建和管理,您可以使用但无法管理这些策略。内联策略是您创建并直接嵌入到 IAM 用户组、用户或角色的策略。内联策略不能在其他身份上重复使用,也不能在其所存在的身份之外托管。有关更多信息,请参阅 [添加和删除 IAM 身份权限](access_policies_manage-attach-detach.md)。 通常来说,最好使用客户管理型策略而非内联策略或 Amazon 托管策略。Amazon 托管策略通常提供广泛的管理权限或只读权限。为了获得最高安全性,[请授予最低权限](best-practices.md#grant-least-privilege),这意味着仅授予执行特定作业任务所需的权限。 创建或编辑 IAM policy 时,Amazon 可以自动执行策略验证,以帮助您创建具有最低权限的有效策略。在 Amazon Web Services 管理控制台 中,IAM 可识别 JSON 语法错误,而 IAM Access Analyzer 提供额外的策略检查和建议,以帮助您进一步优化策略。要了解策略验证的更多信息,请参阅 [IAM 策略验证](access_policies_policy-validator.md)。要了解有关 IAM Access Analyzer 策略检查和可执行建议的更多信息,请参阅 [IAM Access Analyzer 策略验证](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。 您可以使用 Amazon Web Services 管理控制台、Amazon CLI 或 Amazon API 在 IAM 中创建客户托管策略。有关使用 Amazon CloudFormation 模板添加或更新策略的更多信息,请参阅《Amazon CloudFormation 用户指南》**中的 [Amazon Identity and Access Management 资源类型参考](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)。 **Topics** + [创建 IAM 策略(控制台)](access_policies_create-console.md) + [创建 IAM 策略(Amazon CLI)](access_policies_create-cli.md) + [创建 IAM 策略(Amazon API)](access_policies_create-api.md)