Une policy IAM est constituée de statement, ce sont des règles (des blocs de codes)

{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}

Chaque règle dans sa forme la plus simple est composée de 3 choses :

Effect : allow ou deny

Action : quelle action concerne la règle

Resource : la resource concernée

Chaque service Amazon (EC2, ECR, etc...) expose une liste d'action, on peut trouver cette liste dans la doc (http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Action)

Et chaque resource peut être identifiée par un arn (une manière simple de retrouver un ARN est d'afficher la resources dans l'interface web AWS, il y a souvent l'arn)