Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Identity and Access Management für WorkSpaces Amazon-Anwendungen
<a name="controlling-access"></a>

Ihre Sicherheitsnachweise identifizieren Sie gegenüber Diensten AWS und gewähren Ihnen die uneingeschränkte Nutzung Ihrer AWS Ressourcen, wie z. B. Ihrer WorkSpaces Anwendungsressourcen. Sie können die Funktionen von WorkSpaces Applications und AWS Identity and Access Management (IAM) verwenden, um anderen Benutzern, Diensten und Anwendungen die Nutzung Ihrer WorkSpaces Anwendungsressourcen zu ermöglichen, ohne Ihre Sicherheitsdaten weiterzugeben. 

Sie können IAM verwenden, um zu kontrollieren, wie andere Benutzer Ressourcen in Ihrem Amazon Web Services Services-Konto verwenden, und Sie können Sicherheitsgruppen verwenden, um den Zugriff auf Ihre WorkSpaces Applications-Streaming-Instances zu kontrollieren. Sie können die vollständige oder eingeschränkte Nutzung Ihrer WorkSpaces Anwendungsressourcen zulassen. 

**Topics**
+ [Netzwerkzugriff auf Ihre Streaming-Instance](network-access-to-streaming-instances.md)
+ [Verwenden von AWS verwalteten Richtlinien und verknüpften Rollen zur Verwaltung des Administratorzugriffs auf WorkSpaces Anwendungsressourcen](controlling-administrator-access-with-policies-roles.md)
+ [Verwenden von IAM-Richtlinien zur Verwaltung des Administratorzugriffs auf Application Auto Scaling](autoscaling-iam-policy.md)
+ [Verwenden von IAM-Richtlinien zum Verwalten des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen](s3-iam-policy.md)
+ [Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen und Skripts, die auf Anwendungs-Streaming-Instances ausgeführt werden WorkSpaces](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [SELinux auf Red Hat Enterprise Linux und Rocky Linux](selinux.md)
+ [Cookie-basierte Authentifizierung in Amazon-Anwendungen WorkSpaces](cookie-auth.md)

# Netzwerkzugriff auf Ihre Streaming-Instance
<a name="network-access-to-streaming-instances"></a>

Eine Sicherheitsgruppe fungiert als zustandsbehaftete Firewall, die steuert, welcher Datenverkehr zu Ihrer Streaming-Instances gelangen darf. Wenn Sie eine WorkSpaces Anwendungs-Streaming-Instance starten, weisen Sie sie einer oder mehreren Sicherheitsgruppen zu. Fügen Sie dann jeder Sicherheitsgruppe Regeln hinzu, die den Datenverkehr für die Instance kontrollieren. Sie können die Regeln für eine Sicherheitsgruppe jederzeit ändern. Die neuen Regeln werden automatisch auf alle Instances angewendet, denen die Sicherheitsgruppe zugewiesen ist. 

Weitere Informationen finden Sie unter [Sicherheitsgruppen in WorkSpaces Amazon-Anwendungen](managing-network-security-groups.md).

# Verwenden von AWS verwalteten Richtlinien und verknüpften Rollen zur Verwaltung des Administratorzugriffs auf WorkSpaces Anwendungsressourcen
<a name="controlling-administrator-access-with-policies-roles"></a>

Standardmäßig verfügen IAM-Benutzer nicht über die erforderlichen Berechtigungen, um WorkSpaces Anwendungsressourcen zu erstellen oder zu ändern oder Aufgaben mithilfe der WorkSpaces Anwendungs-API auszuführen. Das bedeutet, dass diese Benutzer diese Aktionen nicht in der WorkSpaces Anwendungskonsole oder mithilfe von WorkSpaces AWS Anwendungs-CLI-Befehlen ausführen können. Damit IAM-Benutzer Ressourcen erstellen oder ändern und Aufgaben ausführen können, ordnen Sie den IAM-Benutzern oder Gruppen, für die diese Berechtigungen erforderlich sind, eine IAM-Richtlinie zu. 

Wenn Sie einem Benutzer, einer Benutzergruppe oder IAM-Rolle eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert. 

**Topics**
+ [AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md)
+ [Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien](controlling-access-checking-for-iam-service-access.md)
+ [Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md)
+ [Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich
<a name="managed-policies-required-to-access-appstream-resources"></a>

Um vollen administrativen oder schreibgeschützten Zugriff auf WorkSpaces Anwendungen zu gewähren, müssen Sie den IAM-Benutzern oder -Gruppen, die diese Berechtigungen benötigen, eine der folgenden AWS verwalteten Richtlinien zuordnen. Bei einer von *AWS verwalteten Richtlinie* handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
In werden IAM-Rollen verwendet AWS, um einem AWS Dienst Berechtigungen zu erteilen, sodass dieser auf Ressourcen zugreifen kann. AWS Die Richtlinien, die der Rolle zugeordnet sind, bestimmen, auf welche AWS Ressourcen der Dienst zugreifen kann und was er mit diesen Ressourcen machen kann. Für WorkSpaces Anwendungen müssen Sie nicht nur über die in der **AmazonAppStreamFullAccess**Richtlinie definierten Berechtigungen verfügen, sondern auch über die erforderlichen Rollen in Ihrem AWS Konto verfügen. Weitere Informationen finden Sie unter [Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Diese verwaltete Richtlinie bietet vollen Administratorzugriff auf WorkSpaces Anwendungsressourcen. Um WorkSpaces Anwendungsressourcen zu verwalten und API-Aktionen über die AWS Befehlszeilenschnittstelle (AWS CLI), AWS das SDK oder die AWS Managementkonsole auszuführen, müssen Sie über die in dieser Richtlinie definierten Berechtigungen verfügen.  
Wenn Sie sich als IAM-Benutzer bei der WorkSpaces Anwendungskonsole anmelden, müssen Sie diese Richtlinie an Ihre AWS-Konto anhängen. Wenn Sie sich über den Konsolenverbund anmelden, müssen Sie diese Richtlinie der IAM-Rolle anfügen, die für den Verbund verwendet wurde.  
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Diese identitätsbasierte Richtlinie gewährt Benutzern nur Leseberechtigungen zum Anzeigen und Überwachen von WorkSpaces Anwendungsressourcen und zugehörigen Dienstkonfigurationen. Benutzer können auf die WorkSpaces Anwendungskonsole zugreifen, um Streaming-Anwendungen, den Flottenstatus, Nutzungsberichte und zugehörige Ressourcen einzusehen, können jedoch keine Änderungen vornehmen. Die Richtlinie umfasst auch die erforderlichen Leseberechtigungen für die Unterstützung von Diensten wie IAM und CloudWatch Application Auto Scaling sowie für umfassende Überwachungs- und Berichtsfunktionen.  
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

Die WorkSpaces Anwendungskonsole verwendet eine zusätzliche Aktion, die Funktionen bereitstellt, die über die AWS CLI oder das AWS SDK nicht verfügbar sind. Die **AmazonAppStreamReadOnlyAccess**Richtlinien **AmazonAppStreamFullAccess**und beide bieten Berechtigungen für die folgende Aktion.


| Action | Description | Zugriffsebene | 
| --- | --- | --- | 
| DescribeImageBuilders | Gewährt die Berechtigung zum Abrufen einer Liste, die eine oder mehrere angegebene Image Builder beschreibt, sofern die Namen der Image Builder angegeben werden. Andernfalls werden alle Image-Builder im Konto beschrieben. | Lesen | 

**AmazonAppStreamPCAAccess**  
Diese verwaltete Richtlinie bietet vollen Administratorzugriff auf AWS Certificate Manager Private CA-Ressourcen in Ihrem AWS Konto für die zertifikatsbasierte Authentifizierung.  
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter. [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)

**AmazonAppStreamServiceAccess**  
Diese verwaltete Richtlinie ist die Standardrichtlinie für die WorkSpaces Anwendungsdienstrolle.   
Mit dieser Richtlinie für Rollenberechtigungen können WorkSpaces Anwendungen die folgenden Aktionen ausführen:  
+ Wenn Sie Subnetze in Ihrem Konto für Ihre WorkSpaces Anwendungsflotten verwenden, ist WorkSpaces Applications in der Lage VPCs, Subnetze und Verfügbarkeitszonen zu beschreiben sowie den Lebenszyklus aller Elastic Network-Schnittstellen zu erstellen und zu verwalten, die mit den Flotteninstanzen in diesen Subnetzen verknüpft sind. Dazu gehört auch, dass Sie Sicherheitsgruppen und IP-Adressen aus diesen Subnetzen an diese elastischen Netzwerkschnittstellen anhängen können.
+ Bei Verwendung von Funktionen wie UPP und HomeFolders kann WorkSpaces Applications Amazon S3 S3-Buckets, Objekte und deren Lebenszyklen, Richtlinien und Verschlüsselungskonfigurationen im Konto erstellen und verwalten. Diese Buckets enthalten die folgenden Namenspräfixe:
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter. [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Diese verwaltete Richtlinie ermöglicht die automatische Skalierung von WorkSpaces Anwendungen.  
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Diese verwaltete Richtlinie gewährt Application Auto Scaling Berechtigungen für den Zugriff auf WorkSpaces Anwendungen und CloudWatch .  
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Aktualisierungen AWS verwalteter Richtlinien durch Anwendungen
<a name="security-iam-awsmanpol-updates"></a>



Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für WorkSpaces Anwendungen, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für WorkSpaces Amazon-Anwendungen](doc-history.md)-Seite.




| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Änderung  |   Dem JSON-Richtliniendokument `"ec2:DescribeImages"` zur Richtlinie wurden Genehmigungsberechtigungen für hinzugefügt  | 17. November 2025 | 
|  AmazonAppStreamReadOnlyAccess — Veränderung  |   `"appstream:Get*",`Aus dem JSON-Richtliniendokument entfernt  | 22. Oktober 2025 | 
|  WorkSpaces Anwendungen haben begonnen, Änderungen zu verfolgen  |  WorkSpaces Die Anwendungen begannen, Änderungen für die von ihnen AWS verwalteten Richtlinien nachzuverfolgen  | 31. Oktober 2022 | 

# Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

In werden IAM-Rollen verwendet AWS, um einem AWS Dienst Berechtigungen zu erteilen, sodass dieser auf AWS Ressourcen zugreifen kann. Die Richtlinien, die der Rolle zugeordnet sind, bestimmen, auf welche AWS Ressourcen der Dienst zugreifen kann und was er mit diesen Ressourcen machen kann. Für WorkSpaces Anwendungen müssen Sie nicht nur über die in der **AmazonAppStreamFullAccess**Richtlinie definierten Berechtigungen verfügen, sondern auch über die folgenden Rollen in Ihrem AWS Konto verfügen.

**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

Während WorkSpaces Anwendungsressourcen erstellt werden, führt der WorkSpaces Applications-Service in Ihrem Namen API-Aufrufe an andere AWS Dienste durch, indem er diese Rolle übernimmt. Um Flotten zu erstellen, müssen Sie diese Rolle in Ihrem Konto haben. Wenn diese Rolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie keine WorkSpaces Anwendungsflotten erstellen.

Weitere Informationen finden Sie unter [Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien](controlling-access-checking-for-iam-service-access.md) So überprüfen Sie, ob die **AmazonAppStreamServiceAccess**Servicerolle vorhanden ist und ob sie mit den richtigen Richtlinien verknüpft ist. 

**Anmerkung**  
Diese Servicerolle kann andere Berechtigungen haben als die des ersten Benutzers, der mit WorkSpaces Applications anfängt. Einzelheiten zu den Berechtigungen dieser Rolle finden Sie unter „AmazonAppStreamServiceAccess“ in[AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

Die automatische Skalierung ist eine Funktion von WorkSpaces Applications Fleets. Um Skalierungsrichtlinien zu konfigurieren, müssen Sie diese Servicerolle in Ihrem AWS Konto haben. Wenn diese Servicerolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie WorkSpaces Anwendungsflotten nicht skalieren.

Weitere Informationen finden Sie unter [Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Bei dieser Rolle handelt es sich um eine serviceverknüpfte Rolle, die automatisch für Sie erstellt wird. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) im *Application Auto Scaling-Benutzerhandbuch*.

Application Auto Scaling verwendet eine serviceverknüpfte Rolle, um die automatische Skalierung in Ihrem Namen durchzuführen. Eine *dienstverknüpfte Rolle* ist eine IAM-Rolle, die direkt mit einem Dienst verknüpft ist. AWS Diese Rolle umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Weitere Informationen finden Sie unter [Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

Die zertifikatsbasierte Authentifizierung ist eine Funktion von WorkSpaces Anwendungsflotten, die Microsoft Active Directory-Domänen angehören. Um die zertifikatsbasierte Authentifizierung zu aktivieren und zu verwenden, müssen Sie diese Servicerolle in Ihrem Konto haben. AWS Wenn diese Servicerolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie die zertifikatsbasierte Authentifizierung nicht aktivieren oder verwenden.

Weitere Informationen finden Sie unter [Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien](controlling-access-checking-for-AppStreamPCAAccess.md).

# Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien
<a name="controlling-access-checking-for-iam-service-access"></a>

Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **AmazonAppStreamServiceAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.

**Um zu überprüfen, ob die AmazonAppStreamServiceAccess IAM-Servicerolle vorhanden ist**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen**. 

1. Geben Sie im Suchfeld **amazonappstreamservice** ein, um die Liste der auszuwählenden Rollen einzugrenzen, und wählen Sie dann aus. **AmazonAppStreamServiceAccess** Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen. 

1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **AmazonAppStreamServiceAccess**-Berechtigungsrichtlinie angefügt ist.

1. Kehren Sie zur Seite **Summary (Zusammenfassung)** der Rolle zurück.

1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **AmazonAppStreamServiceAccess** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole. 

## AmazonAppStreamServiceAccess Richtlinie für Vertrauensbeziehungen
<a name="controlling-access-service-access-trust-policy"></a>

Die **AmazonAppStreamServiceAccess**Vertrauensbeziehungsrichtlinie muss den WorkSpaces Anwendungsdienst als Prinzipal beinhalten. Ein *Principal* ist eine Entität AWS , die Aktionen ausführen und auf Ressourcen zugreifen kann. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert WorkSpaces Anwendungen als vertrauenswürdige Entität.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **ApplicationAutoScalingForAmazonAppStreamAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.

**So überprüfen Sie, ob die ApplicationAutoScalingForAmazonAppStreamAccess-IAM-Servicerolle vorhanden ist**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen**. 

1. Geben Sie in das Suchfeld **applicationautoscaling** ein, um die Liste der auszuwählenden Rollen einzuschränken, und wählen Sie dann **ApplicationAutoScalingForAmazonAppStreamAccess** aus. Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen. 

1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **ApplicationAutoScalingForAmazonAppStreamAccess**-Berechtigungsrichtlinie angefügt ist. 

1. Kehren Sie zur Seite **Summary (Zusammenfassung)** der Rolle zurück.

1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **ApplicationAutoScalingForAmazonAppStreamAccess** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole. 

## ApplicationAutoScalingForAmazonAppStreamAccess-Vertrauensstellungsrichtlinie
<a name="controlling-access-autoscaling-trust-policy"></a>

Die Vertrauensstellungsrichtlinie **ApplicationAutoScalingForAmazonAppStreamAccess** muss den Application-Auto-Scaling-Service als Prinzipal enthalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert Application Auto Scaling als vertrauenswürdige Entität.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die serviceverknüpfte `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`-Rolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.

**So überprüfen Sie, ob die serviceverknüpfte `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`-IAM-Rolle vorhanden ist**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen**. 

1. Geben Sie in das Suchfeld **applicationautoscaling** ein, um die Liste der auszuwählenden Rollen einzuschränken, und wählen Sie dann `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` aus. Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen. 

1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die `AWSApplicationAutoscalingAppStreamFleetPolicy`-Berechtigungsrichtlinie angefügt ist.

1. Kehren Sie zur Übersichtsseite **Role (Rolle)** zurück.

1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet Richtlinie für Vertrauensbeziehungen
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

Die Vertrauensstellungsrichtlinie `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` muss **appstream.application-autoscaling.amazonaws.com** als Prinzipal enthalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert **appstream.application-autoscaling.amazonaws.com** als vertrauenswürdige Entität.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **AmazonAppStreamPCAAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.

**Um zu überprüfen, ob die AmazonAppStream PCAAccess IAM-Servicerolle vorhanden ist**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen**. 

1. Geben Sie in das Suchfeld **appstreampca** ein, um die Liste der auszuwählenden Rollen einzugrenzen, und wählen Sie dann aus. **AmazonAppStreamPCAAccess** Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen. 

1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **AmazonAppStreamPCAAccess **-Berechtigungsrichtlinie angefügt ist.

1. Kehren Sie zur Übersichtsseite **Role (Rolle)** zurück.

1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **AmazonAppStreamPCAAccess ** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole. 

## AmazonAppStreamPCAAccess Richtlinie für Vertrauensbeziehungen
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

Die Richtlinie für **AmazonAppStreamPCAAccess**Vertrauensbeziehungen muss prod.euc.ecm.amazonaws.com als Prinzipal beinhalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert ECM als vertrauenswürdige Entität.

**So erstellen Sie die AmazonAppStream PCAAccess Vertrauensbeziehungsrichtlinie mit der AWS CLI**

1. Erstellen Sie eine JSON-Datei namens `AmazonAppStreamPCAAccess.json` mit dem folgenden Text.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Passen Sie den `AmazonAppStreamPCAAccess.json` Pfad nach Bedarf an und führen Sie die folgenden AWS CLI-Befehle aus, um die Vertrauensbeziehungsrichtlinie zu erstellen und die AmazonAppStream PCAAccess verwaltete Richtlinie anzuhängen. Für weitere Informationen über die verwaltete Richtlinie siehe [AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Verwenden von IAM-Richtlinien zur Verwaltung des Administratorzugriffs auf Application Auto Scaling
<a name="autoscaling-iam-policy"></a>

Die automatische Skalierung für Flotten wird durch eine Kombination aus WorkSpaces Applications CloudWatch, Amazon und Application Auto Scaling APIs ermöglicht. WorkSpaces Anwendungsflotten werden mit WorkSpaces Anwendungen, Alarme mit CloudWatch und Skalierungsrichtlinien mit Application Auto Scaling erstellt.

Der IAM-Benutzer, der auf die Einstellungen für die Flottenskalierung zugreift, muss nicht nur über die in der [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)Richtlinie definierten Berechtigungen verfügen, sondern auch über die erforderlichen Berechtigungen für die Dienste verfügen, die dynamische Skalierung unterstützen. IAM-Benutzer müssen die Berechtigung haben, die Aktionen in der folgenden Beispielrichtlinie zu verwenden. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

Sie können auch eigene IAM-Richtlinien erstellen, um spezifischere Berechtigungen für Aufrufe an die Application-Auto-Scaling-API festzulegen. Weitere Informationen finden Sie unter [Authentication and Access Control](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) im *Application Auto Scaling-Benutzerhandbuch*.

# Verwenden von IAM-Richtlinien zum Verwalten des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen
<a name="s3-iam-policy"></a>

Die folgenden Beispiele zeigen, wie Sie mithilfe von IAM-Richtlinien den Zugriff auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen verwalten können.

**Topics**
+ [Löschen des Amazon-S3-Buckets für Basisordner und der Persistenz von Anwendungseinstellungen](s3-iam-policy-delete.md)
+ [Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen](s3-iam-policy-restricted-access.md)

# Löschen des Amazon-S3-Buckets für Basisordner und der Persistenz von Anwendungseinstellungen
<a name="s3-iam-policy-delete"></a>

WorkSpaces Applications fügt den erstellten Buckets eine Amazon S3 S3-Bucket-Richtlinie hinzu, um zu verhindern, dass sie versehentlich gelöscht werden. Um einen S3-Bucket löschen zu können, müssen Sie zuerst die S3-Bucket-Richtlinie löschen. Im Folgenden werden die Bucket-Richtlinien aufgeführt, die Sie für Basisordner und die Persistenz von Anwendungseinstellungen löschen müssen.

**Richtlinie für Basisordner**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Richtlinie für die Persistenz von Anwendungseinstellungen**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Weitere Informationen erhalten Sie unter [Löschen oder Leeren von Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) im *Amazon-Simple-Storage-Service-Benutzerhandbuch*.

# Einschränken des Administratorzugriffs auf den Amazon-S3-Bucket für Basisordner und die Persistenz von Anwendungseinstellungen
<a name="s3-iam-policy-restricted-access"></a>

Standardmäßig können Administratoren, die auf die von WorkSpaces Applications erstellten Amazon S3 S3-Buckets zugreifen können, Inhalte anzeigen und ändern, die Teil der Home-Ordner und persistenten Anwendungseinstellungen der Benutzer sind. Um den Administratorzugriff auf S3-Buckets mit Benutzerdateien einzuschränken, empfehlen wir, die S3-Bucket-Zugriffsrichtlinie basierend auf der folgenden Vorlage anzuwenden: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Diese Richtlinie gewährt nur den angegebenen Benutzern und dem WorkSpaces Applications-Service Zugriff auf den S3-Bucket. Für jeden IAM-Benutzer, der Zugriff haben soll, replizieren Sie die folgende Zeile:

```
"arn:aws:iam::account:user/IAM-user-name"
```

Im folgenden Beispiel schränkt die Richtlinie den Zugriff auf den S3-Bucket des Basisordners für jeden anderen als die IAM-Benutzer marymajor und johnstiles ein. Sie ermöglicht auch den Zugriff auf den WorkSpaces Anwendungsdienst in der AWS Region USA West (Oregon) für die Konto-ID 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen und Skripts, die auf Anwendungs-Streaming-Instances ausgeführt werden WorkSpaces
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Anwendungen und Skripts, die auf WorkSpaces Anwendungs-Streaming-Instances ausgeführt werden, müssen AWS Anmeldeinformationen in ihren AWS API-Anfragen enthalten. Sie können eine IAM-Rolle zum Verwalten dieser Anmeldeinformationen erstellen. Eine IAM-Rolle gibt eine Reihe von Berechtigungen an, die Sie für den Zugriff auf AWS Ressourcen verwenden können. Diese Rolle ist jedoch nicht eindeutig einer Person zugeordnet. Stattdessen kann sie von jedem Benutzer angenommen werden, die sie benötigt.

Sie können eine IAM-Rolle auf eine WorkSpaces Anwendungs-Streaming-Instance anwenden. Wenn die Streaming-Instance zur Rolle wechselt (die Rolle annimmt), stellt die Rolle temporäre Sicherheitsanmeldeinformationen bereit. Ihre Anwendung oder Skripts verwenden diese Anmeldeinformationen, um API-Aktionen und Verwaltungsaufgaben auf der Streaming-Instance auszuführen. WorkSpaces Applications verwaltet den temporären Anmeldeinformationswechsel für Sie.

**Topics**
+ [Bewährte Methoden für die Verwendung von IAM-Rollen mit WorkSpaces Anwendungs-Streaming-Instances](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Konfiguration einer vorhandenen IAM-Rolle für die Verwendung mit WorkSpaces Anwendungs-Streaming-Instances](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [So erstellen Sie eine IAM-Rolle zur Verwendung mit WorkSpaces Anwendungs-Streaming-Instances](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [So verwenden Sie die IAM-Rolle mit WorkSpaces Anwendungs-Streaming-Instances](how-to-use-iam-role-with-streaming-instances.md)

# Bewährte Methoden für die Verwendung von IAM-Rollen mit WorkSpaces Anwendungs-Streaming-Instances
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Wenn Sie IAM-Rollen mit WorkSpaces Anwendungs-Streaming-Instances verwenden, empfehlen wir Ihnen, die folgenden Methoden zu befolgen:
+ Beschränken Sie die Berechtigungen, die Sie AWS API-Aktionen und -Ressourcen gewähren.

  Halten Sie sich beim Erstellen und Anhängen von IAM-Richtlinien an die IAM-Rollen, die mit WorkSpaces Anwendungs-Streaming-Instances verknüpft sind, den Grundsätzen der geringsten Rechte. Wenn Sie eine Anwendung oder ein Skript verwenden, das Zugriff auf AWS API-Aktionen oder -Ressourcen benötigt, legen Sie fest, welche spezifischen Aktionen und Ressourcen erforderlich sind. Erstellen Sie dann Richtlinien, die der Anwendung oder dem Skript gestatten, ausschließlich diese Aktionen auszuführen. Weitere Informationen finden Sie unter [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) im *IAM-Benutzerhandbuch*.
+ Erstellen Sie eine IAM-Rolle für jede WorkSpaces Anwendungsressource.

  Das Erstellen einer eindeutigen IAM-Rolle für jede WorkSpaces Anwendungsressource entspricht den Prinzipien der geringsten Rechte. Auf diese Weise können Sie auch Berechtigungen für eine Ressource ändern, ohne dass dies Auswirkungen auf andere Ressourcen hat.
+ Schränken Sie ein, wo die Anmeldeinformationen verwendet werden können.

  Mit IAM-Richtlinien können Sie die Bedingungen definieren, unter denen Ihre IAM-Rolle für den Zugriff auf eine Ressource verwendet werden kann. Sie können beispielsweise Bedingungen einfügen, um einen Bereich von IP-Adressen anzugeben, aus dem Anfragen stammen können. Auf diese Weise wird verhindert, dass die Anmeldeinformationen außerhalb Ihrer Umgebung verwendet werden. Weitere Informationen finden Sie unter [Verwenden von Richtlinienbedingungen für zusätzliche Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) im *IAM-Benutzerhandbuch*.

# Konfiguration einer vorhandenen IAM-Rolle für die Verwendung mit WorkSpaces Anwendungs-Streaming-Instances
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

In diesem Thema wird beschrieben, wie Sie eine vorhandene IAM-Rolle so konfigurieren, dass Sie sie mit Image Buildern und Flotten-Streaming-Instances verwenden können.

**Voraussetzungen**

Die IAM-Rolle, die Sie mit einer WorkSpaces Applications Image Builder- oder Fleet-Streaming-Instance verwenden möchten, muss die folgenden Voraussetzungen erfüllen:
+ Die IAM-Rolle muss sich in demselben Amazon Web Services Services-Konto befinden wie die WorkSpaces Applications-Streaming-Instance.
+ Die IAM-Rolle darf keine Servicerolle sein.
+ Die Vertrauensstellungsrichtlinie, die der IAM-Rolle zugeordnet ist, muss den WorkSpaces Applications-Service als Principal beinhalten. Ein *Principal* ist eine Entität AWS , die Aktionen ausführen und auf Ressourcen zugreifen kann. Die Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Diese Richtlinienkonfiguration definiert WorkSpaces Anwendungen als vertrauenswürdige Entität.

  
+ Wenn Sie die IAM-Rolle auf einen Image Builder anwenden, muss der Image Builder eine Version des WorkSpaces Applications Agent ausführen, die am oder nach dem 3. September 2019 veröffentlicht wurde. Wenn Sie die IAM-Rolle auf eine Flotte anwenden, muss die Flotte ein Image verwenden, das eine Version des Agenten verwendet, die am oder nach demselben Datum veröffentlicht wurde. Weitere Informationen finden Sie unter [WorkSpaces Versionshinweise zum Applications Agent](agent-software-versions.md). 

**Damit der WorkSpaces Applications Service Principal eine bestehende IAM-Rolle übernehmen kann**

Um die folgenden Schritte auszuführen, müssen Sie sich im Konto als IAM-Benutzer anmelden, der über die erforderlichen Berechtigungen zum Auflisten und Aktualisieren von IAM-Rollen verfügt. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, bitten Sie Ihren AWS-Kontoadministrator, diese Schritte in Ihrem Konto auszuführen oder Ihnen die erforderlichen Berechtigungen zu erteilen.

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen**. 

1. Wählen Sie in der Rollenliste in Ihrem Konto den Namen der zu ändernden Rolle.

1. Klicken Sie auf der Registerkarte **Trust Relationships (Vertrauensbeziehungen)** auf **Edit Trust Relationship (Vertrauensbeziehungen bearbeiten)**.

1. Überprüfen Sie unter **Policy Document (Richtliniendokument)**, ob die Vertrauensstellungsrichtlinie die Aktion `sts:AssumeRole` für den `appstream.amazonaws.com`-Service-Prinzipal enthält:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Wenn Sie Ihre Vertrauensrichtlinie fertiggestellt haben, klicken Sie auf **Update Trust Policy (Vertrauensrichtlinie aktualisieren)**, um Ihre Änderungen zu speichern. 

1. Die von Ihnen ausgewählte IAM-Rolle wird in der WorkSpaces Anwendungskonsole angezeigt. Diese Rolle erteilt Anwendungen und Skripts Berechtigungen zum Ausführen von API-Aktionen und Verwaltungsaufgaben auf Streaming-Instances.

# So erstellen Sie eine IAM-Rolle zur Verwendung mit WorkSpaces Anwendungs-Streaming-Instances
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

In diesem Thema wird beschrieben, wie Sie eine neue IAM-Rolle erstellen, sodass Sie sie mit Image Buildern und Flotten-Streaming-Instances verwenden können.

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

1. Wählen Sie unter **Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen)** die Option **AWS Service** aus.

1. Wählen Sie in der Liste der AWS Dienste die Option **WorkSpaces Anwendungen** aus.

1. Unter **Wählen Sie Ihren Anwendungsfall** ist **WorkSpaces Anwendungen — Ermöglicht WorkSpaces Anwendungsinstanzen, AWS Dienste in Ihrem Namen aufzurufen**, bereits ausgewählt. Wählen Sie **Weiter: Berechtigungen** aus.

1. Wenn möglich, wählen Sie die Richtlinie aus, die für die Berechtigungsrichtlinie verwendet werden soll, oder wählen **Create policy (Richtlinie erstellen)**, um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie in Schritt 4 der Anleitung [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*.

   Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück. Aktivieren Sie das Kontrollkästchen neben den Berechtigungsrichtlinien, über die WorkSpaces Anwendungen verfügen sollen.

1. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist eine erweiterte Funktion, die für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.

1. Wählen Sie **Weiter: Markierungen**. Sie können Tags optional als Schlüssel-Wert-Paare anhängen. Weitere Informationen zum Thema [Taggen von IAM-Benutzern und Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) finden Sie im *IAM-Benutzerhandbuch*.

1. Wählen Sie **Weiter: Prüfen** aus.

1. Geben Sie unter **Rollenname** einen Rollennamen ein, der in Ihrem AWS-Konto eindeutig ist. Da andere AWS Ressourcen möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nicht bearbeiten, nachdem sie erstellt wurde.

1. Behalten Sie für **Role description (Rollenbeschreibung)** die Standardrollenbeschreibung bei oder geben Sie eine neue Beschreibung ein.

1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.

# So verwenden Sie die IAM-Rolle mit WorkSpaces Anwendungs-Streaming-Instances
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Nachdem Sie eine IAM-Rolle erstellt haben, können Sie sie auf einen Image Builder oder eine Flotten-Streaming-Instance anwenden, wenn Sie den Image Builder starten oder eine Flotte erstellen. Sie können auch eine IAM-Rolle auf vorhandene Flotten anwenden. Weitere Informationen zum Anwenden einer IAM-Rolle beim Starten eines Image Builders finden Sie unter [Starten eines Image Builder zum Installieren und Konfigurieren von Streaming-Anwendungen](tutorial-image-builder-create.md). Weitere Informationen zum Anwenden einer IAM-Rolle beim Erstellen einer Flotte finden Sie unter [Eine Flotte in Amazon WorkSpaces Applications erstellen](set-up-stacks-fleets-create.md).

Wenn Sie Ihrer Image Builder- oder Fleet-Streaming-Instance eine IAM-Rolle zuweisen, ruft WorkSpaces Applications temporäre Anmeldeinformationen ab und erstellt das **appstream\$1machine\$1role-Anmeldeinformationsprofil** auf der Instance. Die temporären Anmeldeinformationen sind 1 Stunde lang gültig und es werden stündlich neue Anmeldeinformationen abgerufen. Die vorherigen Anmeldeinformationen laufen nicht ab, sodass Sie sie so lange verwenden können, wie sie gültig sind. Sie können das Anmeldeinformationsprofil verwenden, um AWS Dienste programmgesteuert aufzurufen, indem Sie die AWS Befehlszeilenschnittstelle (AWS CLI), AWS Tools for PowerShell oder das AWS SDK in der Sprache Ihrer Wahl verwenden.

Wenn Sie die API-Aufrufe ausführen, geben Sie **appstream\$1machine\$1role** als Anmeldeinformationsprofil an. Andernfalls schlägt die Operation aufgrund unzureichender Berechtigungen fehl.

WorkSpaces Applications übernimmt die angegebene Rolle, während die Streaming-Instanz bereitgestellt wird. Da WorkSpaces Applications die elastic network interface, die mit Ihrer VPC verbunden ist, für AWS API-Aufrufe verwendet, muss Ihre Anwendung oder Ihr Skript warten, bis die elastic network interface verfügbar ist, bevor AWS API-Aufrufe ausgeführt werden. Wenn API-Aufrufe ausgeführt werden, bevor die Elastic-Network-Schnittstelle verfügbar ist, schlagen die Aufrufe fehl.

Die folgenden Beispiele zeigen, wie Sie mithilfe des Anmeldeinformationsprofils **appstream\$1machine\$1role** Streaming-Instances (EC2-Instances) beschreiben und den Boto-Client erstellen können. Boto ist das Amazon Web Services (AWS) SDK für Python. 

**Beschreiben Sie Streaming-Instances (EC2-Instances) mithilfe der CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Beschreiben Sie Streaming-Instances (EC2-Instances) mithilfe AWS von Tools für PowerShell**

Sie müssen AWS Tools für PowerShell Version 3.3.563.1 oder höher mit dem Amazon Web Services SDK for .NET Version 3.3.103.22 oder höher verwenden. Sie können das Installationsprogramm für AWS Tools für Windows, das AWS Tools for PowerShell und das Amazon Web Services SDK for .NET enthält, von der PowerShell Website [AWS Tools for](https://aws.amazon.com/powershell/) herunterladen.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Den Boto-Client mithilfe des AWS SDK für Python erstellen**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux auf Red Hat Enterprise Linux und Rocky Linux
<a name="selinux"></a>

Standardmäßig ist `enabled` Security Enhanced Linux (SELinux) auf den `enforcing` Modus für WorkSpaces Applications Image Builder und Streaming-Instances eingestellt, die von Red Hat Enterprise Linux und Rocky Linux betrieben werden. Im `enforcing` Modus werden Zugriffsverweigerungen erzwungen. SELinux ist eine Sammlung von Kernelfunktionen und Hilfsprogrammen zur Bereitstellung einer starken, flexiblen MAC-Architektur (Mandatory Access Control) für die wichtigsten Subsysteme des Kernels.

SELinux bietet einen verbesserten Mechanismus zur Durchsetzung der Trennung von Informationen auf der Grundlage von Vertraulichkeits- und Integritätsanforderungen. Diese Trennung von Informationen reduziert die Gefahr, dass die Sicherheitsmechanismen von Anwendungen manipuliert und umgangen werden. Sie begrenzt auch Schäden, die durch bösartige oder fehlerhafte Anwendungen verursacht werden können.

SELinux enthält eine Reihe von Beispielkonfigurationsdateien für Sicherheitsrichtlinien, die darauf ausgelegt sind, alltägliche Sicherheitsziele zu erreichen. Weitere Informationen zu SELinux Features und Funktionen finden Sie unter [Was ist SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?

# Cookie-basierte Authentifizierung in Amazon-Anwendungen WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Anwendungen verwenden Browser-Cookies, um Streaming-Sitzungen zu authentifizieren und es Benutzern zu ermöglichen, erneut eine Verbindung zu einer aktiven Sitzung herzustellen, ohne jedes Mal ihre Anmeldeinformationen erneut eingeben zu müssen. Authentifizierungstoken werden für jedes Authentifizierungsszenario in Browser-Cookies gespeichert. Cookies sind zwar für viele Onlinedienste notwendig, können aber potenziell anfällig für Cookie-Diebstahlangriffe sein. Wir empfehlen Ihnen dringend, proaktive Maßnahmen zu ergreifen, um Cookie-Diebstahl zu verhindern, z. B. die Implementierung robuster Endgeräteschutzlösungen für die Geräte Ihrer Benutzer. Um die möglichen Auswirkungen eines Cookie-Diebstahls zu minimieren, empfehlen wir Ihnen außerdem, die folgenden Maßnahmen in Betracht zu ziehen:
+ **Erzwingen Sie ein `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` Limit für einzelne Sitzungen**: Erstellen Sie für Ihre Windows-Images von WorkSpaces Anwendungen einen Registrierungsschlüssel unter, dessen Name auf 1 **max-concurrent-clients**gesetzt ist, um jeweils nur eine Verbindung zuzulassen. Dadurch wird die Anzahl gleichzeitiger Sitzungen auf eine beschränkt und die Spiegelung aktiver Sitzungen blockiert. Weitere Informationen finden Sie unter Parameter für die [Sitzungsverwaltung](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Erzwingen Sie den Ablauf und die erneute Authentifizierung der Sitzung**
  + Reduzieren Sie den SessionDuration Wert, sodass das Authentifizierungstoken abläuft, nachdem der Benutzer die Streaming-Sitzung erfolgreich gestartet hat. Die Wiederverwendung von Authentifizierungscookies nach Ablauf der Sitzungsdauer erfordert, dass sich Benutzer erneut authentifizieren. SessionDuration gibt an, wie lange eine Verbund-Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert beträgt 60 Minuten. Weitere Informationen finden Sie unter [Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Um die Sicherheit zu maximieren, sollten Benutzer Sitzungen ordnungsgemäß mit der Werkzeugleiste beenden (Sitzung beenden), anstatt das Streaming-Fenster zu schließen. Wenn Sie die Sitzung über die Werkzeugleiste beenden, werden sowohl die Benutzersitzung als auch die Streaming-Instanz beendet. Dies erfordert eine erneute Authentifizierung für future Zugriffe, um den Missbrauch von Cookies zu verhindern. Wenn ein Benutzer das Streaming-Fenster schließt, ohne die Sitzung zu beenden, bleiben die Sitzung und die Instanz für einen konfigurierbaren Zeitraum (in Minuten) aktiv. Das Verbindungs-Timeout muss eine Zahl zwischen 1 und 5760 sein, mit einem Standardwert von 15 Minuten. Um den Missbrauch inaktiver Sitzungen zu verhindern, empfehlen wir, ein kurzes Timeout für die Unterbrechung der Verbindung festzulegen. Weitere Informationen finden Sie unter [Eine Flotte in Amazon WorkSpaces Applications erstellen](set-up-stacks-fleets-create.md).
+ **Beschränken Sie den Zugriff auf WorkSpaces Streaming-Anwendungen auf Ihre IP-Bereiche**: Wir empfehlen Ihnen, IP-basierte IAM-Richtlinien zu implementieren. Dadurch wird sichergestellt, dass auf WorkSpaces Anwendungssitzungen nur von Clients aus zugegriffen werden kann, deren IP-Adresse zu einem autorisierten IP-Bereich gehört. Alle Verbindungsversuche, die von einem Benutzer initiiert werden, dessen Client-IP-Adresse außerhalb eines autorisierten Bereichs liegt, werden verweigert, auch wenn sie ein ansonsten gültiges Authentifizierungs-Cookie vorlegen (das möglicherweise von einem Benutzer gestohlen wurde). Weitere Informationen finden Sie unter [Beschränken Sie den Zugriff auf das Streamen von Amazon AppStream 2.0-Anwendungen auf Ihre IP-Bereiche](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Zusätzliche Authentifizierung hinzufügen**: Um domänengebundene Streaming-Instances zu starten, können Sie Ihre WorkSpaces Always-On- und On-Demand-Windows-Flotten und Image Builder mit Domänen in Microsoft Active Directory verbinden und Ihre vorhandenen Active Directory-Domänen verwenden, entweder cloudbasiert oder lokal. Nach der ersten SAML-basierten Authentifizierung werden Ihre Benutzer aufgefordert, ihre Domänenanmeldedaten für die zusätzliche Authentifizierung gegenüber der Organisationsdomäne einzugeben. Weitere Informationen finden Sie unter [Active Directory mit WorkSpaces Anwendungen verwenden](active-directory.md).

 [Wenn Sie Bedenken haben oder Hilfe benötigen, wenden Sie sich an AWS Support das Center.](https://console.aws.amazon.com/support/home#/)