Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Identity and Access Management pour les WorkSpaces applications Amazon
<a name="controlling-access"></a>

Vos identifiants de sécurité vous identifient auprès des services AWS et vous accordent une utilisation illimitée de vos AWS ressources, telles que WorkSpaces les ressources de vos applications. Vous pouvez utiliser les fonctionnalités des WorkSpaces applications et Gestion des identités et des accès AWS (IAM) pour permettre à d'autres utilisateurs, services et applications d'utiliser les ressources de vos WorkSpaces applications sans partager vos informations d'identification de sécurité. 

Vous pouvez utiliser IAM pour contrôler la façon dont les autres utilisateurs utilisent les ressources de votre compte Amazon Web Services, et vous pouvez utiliser des groupes de sécurité pour contrôler l'accès à vos instances de streaming d' WorkSpaces applications. Vous pouvez autoriser l'utilisation complète ou limitée des ressources de vos WorkSpaces applications. 

**Topics**
+ [

# Accès réseau à votre instance de streaming
](network-access-to-streaming-instances.md)
+ [

# Utilisation de politiques AWS gérées et de rôles liés pour gérer l'accès des administrateurs aux ressources WorkSpaces des applications
](controlling-administrator-access-with-policies-roles.md)
+ [

# Utilisation des politiques IAM pour gérer l’accès administrateur à Application Auto Scaling
](autoscaling-iam-policy.md)
+ [

# Utilisation des politiques IAM pour gérer l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
](s3-iam-policy.md)
+ [

# Utilisation d'un rôle IAM pour accorder des autorisations aux applications et aux scripts exécutés sur des instances de streaming WorkSpaces d'applications
](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [

# SELinux sur Red Hat Enterprise Linux et Rocky Linux
](selinux.md)
+ [

# Authentification basée sur les cookies dans les applications Amazon WorkSpaces
](cookie-auth.md)

# Accès réseau à votre instance de streaming
<a name="network-access-to-streaming-instances"></a>

Un groupe de sécurité agit comme un pare-feu avec état qui contrôle le trafic autorisé à atteindre vos instances de streaming. Lorsque vous lancez une instance de streaming d' WorkSpaces applications, attribuez-la à un ou plusieurs groupes de sécurité. Puis, ajoutez à chaque groupe de sécurité des règles qui contrôlent le trafic de l'instance. Vous pouvez modifier les règles d'un groupe de sécurité à tout moment. Les nouvelles règles s'appliquent automatiquement à toutes les instances auxquelles le groupe de sécurité est assigné. 

Pour de plus amples informations, veuillez consulter [Groupes de sécurité dans les WorkSpaces applications Amazon](managing-network-security-groups.md).

# Utilisation de politiques AWS gérées et de rôles liés pour gérer l'accès des administrateurs aux ressources WorkSpaces des applications
<a name="controlling-administrator-access-with-policies-roles"></a>

Par défaut, les utilisateurs IAM ne disposent pas des autorisations requises pour créer ou modifier les ressources des WorkSpaces applications, ou pour effectuer des tâches à l'aide de l'API WorkSpaces des applications. Cela signifie que ces utilisateurs ne peuvent pas effectuer ces actions dans la console WorkSpaces Applications ou à l'aide des commandes de la AWS CLI WorkSpaces des applications. Pour permettre aux utilisateurs IAM de créer ou de modifier des ressources et d’effectuer des tâches, attachez une politique IAM aux utilisateurs ou aux groupes IAM qui requièrent ces autorisations. 

Quand vous attachez une politique à un utilisateur, à un groupe d’utilisateurs ou à un rôle IAM, celle-ci accorde ou refuse aux utilisateurs l’autorisation d’exécuter les tâches spécifiées sur les ressources spécifiées. 

**Topics**
+ [

# AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications
](managed-policies-required-to-access-appstream-resources.md)
+ [

# Rôles requis pour WorkSpaces Applications, Application Auto Scaling et AWS Certificate Manager Private CA
](roles-required-for-appstream.md)
+ [

# Vérification du rôle et des politiques du AmazonAppStreamServiceAccess service
](controlling-access-checking-for-iam-service-access.md)
+ [

# Vérification de la fonction du service ApplicationAutoScalingForAmazonAppStreamAccess et des stratégies
](controlling-access-checking-for-iam-autoscaling.md)
+ [

# Vérification du rôle lié au service `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` et des stratégies
](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [

# Vérification du rôle et des politiques du AmazonAppStream PCAAccess service
](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications
<a name="managed-policies-required-to-access-appstream-resources"></a>

Pour fournir un accès administratif complet ou en lecture seule aux WorkSpaces applications, vous devez associer l'une des politiques AWS gérées suivantes aux utilisateurs ou aux groupes IAM qui ont besoin de ces autorisations. Une *politique gérée par AWS * est une politique autonome qui est créée et gérée par AWS. Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.

**Note**  
Dans AWS, les rôles IAM sont utilisés pour accorder des autorisations à un AWS service afin qu'il puisse accéder aux AWS ressources. Les politiques associées au rôle déterminent les AWS ressources auxquelles le service peut accéder et ce qu'il peut faire avec ces ressources. Pour WorkSpaces les applications, outre les autorisations définies dans la **AmazonAppStreamFullAccess**politique, vous devez également disposer des rôles requis dans votre AWS compte. Pour de plus amples informations, veuillez consulter [Rôles requis pour WorkSpaces Applications, Application Auto Scaling et AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Cette politique gérée fournit un accès administratif complet aux ressources WorkSpaces des applications. Pour gérer les ressources des WorkSpaces applications et effectuer des actions d'API via l'interface de ligne de AWS commande (AWS CLI), le AWS SDK ou AWS la console de gestion, vous devez disposer des autorisations définies dans cette politique.  
Si vous vous connectez à la console WorkSpaces Applications en tant qu'utilisateur IAM, vous devez associer cette politique à votre Compte AWS. Si vous vous connectez via la fédération de la console, vous devez attacher cette politique au rôle IAM qui a été utilisé pour la fédération.  
Pour consulter les autorisations associées à cette politique, consultez [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Cette politique basée sur l'identité accorde aux utilisateurs des autorisations en lecture seule pour afficher et surveiller les ressources des WorkSpaces applications et les configurations de service associées. Les utilisateurs peuvent accéder à la console WorkSpaces Applications pour consulter les applications de streaming, l'état du parc, les rapports d'utilisation et les ressources associées, mais ils ne peuvent apporter aucune modification. La politique inclut également les autorisations de lecture nécessaires pour prendre en charge des services tels que IAM, Application Auto Scaling, et CloudWatch pour permettre des fonctionnalités complètes de surveillance et de reporting.  
Pour consulter les autorisations associées à cette politique, consultez [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

La console WorkSpaces Applications utilise une action supplémentaire qui fournit des fonctionnalités qui ne sont pas disponibles via la AWS CLI ou le AWS SDK. Les **AmazonAppStreamReadOnlyAccess**politiques **AmazonAppStreamFullAccess**et fournissent toutes deux des autorisations pour l'action suivante.


| Action | Description | Niveau d'accès | 
| --- | --- | --- | 
| DescribeImageBuilders | Accorde l'autorisation de récupérer une liste qui décrit une ou plusieurs instances Image Builders, si les noms de celles-ci sont fournis. Sinon, toutes les instances Image Builder du compte sont décrites. | Lecture | 

**AmazonAppStreamPCAAccess**  
Cette politique gérée fournit un accès administratif complet aux ressources de AWS Certificate Manager Private CA de votre AWS compte pour une authentification basée sur des certificats.  
Pour consulter les autorisations associées à cette politique, consultez [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html).

**AmazonAppStreamServiceAccess**  
Cette stratégie gérée est la stratégie par défaut pour le rôle de service WorkSpaces Applications.   
Cette politique d'autorisation des rôles permet aux WorkSpaces applications d'effectuer les actions suivantes :  
+ Lorsque vous utilisez des sous-réseaux dans votre compte pour vos flottes d' WorkSpaces applications, WorkSpaces Applications est en mesure de décrire les sous-réseaux et les zones de disponibilité, ainsi que de créer et de gérer le cycle de vie de toutes les interfaces réseau élastiques associées aux instances de flotte de ces sous-réseaux. VPCs Cela inclut également la possibilité d'associer des groupes de sécurité et des adresses IP de ces sous-réseaux à ces interfaces réseau élastiques.
+ Lorsque vous utilisez des fonctionnalités telles que UPP et HomeFolders, WorkSpaces Applications est en mesure de créer et de gérer les compartiments Amazon S3, les objets et leur cycle de vie, leurs politiques et leur configuration de chiffrement dans le compte. Ces compartiments incluent les préfixes de dénomination suivants :
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Pour consulter les autorisations associées à cette politique, consultez [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html).

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Cette politique gérée permet le dimensionnement automatique des WorkSpaces applications.  
Pour consulter les autorisations associées à cette politique, consultez [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Cette politique gérée accorde des autorisations à Application Auto Scaling pour accéder aux WorkSpaces applications et CloudWatch .  
Pour consulter les autorisations associées à cette politique, consultez [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Mises à jour des politiques AWS gérées par les applications
<a name="security-iam-awsmanpol-updates"></a>



Consultez les détails des mises à jour apportées aux politiques AWS gérées pour WorkSpaces les applications depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page [Historique du document pour les WorkSpaces applications Amazon](doc-history.md).




| Modifier | Description | Date | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Modification  |   Ajout d'autorisations d'autorisation `"ec2:DescribeImages"` pour le document de politique JSON  | 17 novembre 2025 | 
|  AmazonAppStreamReadOnlyAccess — Modification  |   `"appstream:Get*",`Supprimé du document de politique JSON  | 22 octobre 2025 | 
|  WorkSpaces Les applications ont commencé à suivre les modifications  |  WorkSpaces Les applications ont commencé à suivre les modifications apportées AWS à ses politiques gérées  | 31 octobre 2022 | 

# Rôles requis pour WorkSpaces Applications, Application Auto Scaling et AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

Dans AWS, les rôles IAM sont utilisés pour accorder des autorisations à un AWS service afin qu'il puisse accéder aux AWS ressources. Les politiques associées au rôle déterminent les AWS ressources auxquelles le service peut accéder et ce qu'il peut faire avec ces ressources. Pour WorkSpaces les applications, outre les autorisations définies dans la **AmazonAppStreamFullAccess**politique, vous devez également avoir les rôles suivants dans votre AWS compte.

**Topics**
+ [

## AmazonAppStreamServiceAccess
](#AmazonAppStreamServiceAccess)
+ [

## ApplicationAutoScalingForAmazonAppStreamAccess
](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [

## AmazonAppStreamPCAAccess
](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Ce rôle est un rôle de service créé automatiquement pour vous lorsque vous commencez à utiliser les WorkSpaces applications dans une AWS région. Pour plus d'informations sur les rôles liés aux services, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l'utilisateur IAM*.

Pendant la création des ressources des WorkSpaces applications, le service WorkSpaces Applications effectue des appels d'API vers d'autres AWS services en votre nom en assumant ce rôle. Pour créer des flottes, vous devez avoir ce rôle dans votre compte. Si ce rôle ne figure pas dans votre AWS compte et que les autorisations IAM et les politiques de relation de confiance requises ne sont pas associées, vous ne pouvez pas créer de flottes d' WorkSpaces applications.

Pour plus d'informations, consultez la section [Vérification du rôle et des politiques du AmazonAppStreamServiceAccess service](controlling-access-checking-for-iam-service-access.md) pour vérifier si le rôle de **AmazonAppStreamServiceAccess**service est présent et si les politiques appropriées sont associées. 

**Note**  
Ce rôle de service peut avoir des autorisations différentes de celles du premier utilisateur qui commence à utiliser WorkSpaces les applications. Pour plus de détails sur les autorisations associées à ce rôle, voir « AmazonAppStreamServiceAccess » dans[AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Ce rôle est un rôle de service créé automatiquement pour vous lorsque vous commencez à utiliser les WorkSpaces applications dans une AWS région. Pour plus d'informations sur les rôles liés aux services, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l'utilisateur IAM*.

La mise à l'échelle automatique est une fonctionnalité des flottes d' WorkSpaces applications. Pour configurer les politiques de dimensionnement, vous devez disposer de ce rôle de service dans votre AWS compte. Si ce rôle de service ne figure pas dans votre AWS compte et que les autorisations IAM et les politiques de relation de confiance requises ne sont pas associées, vous ne pouvez pas dimensionner WorkSpaces les flottes d'applications.

Pour de plus amples informations, veuillez consulter [Vérification de la fonction du service ApplicationAutoScalingForAmazonAppStreamAccess et des stratégies](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Ce rôle est un rôle lié à un service créé automatiquement pour vous. Pour plus d’informations, consultez [Rôles liés à un service](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) dans le *Guide de l’utilisateur Application Auto Scaling*.

Application Auto Scaling utilise un rôle lié à un service pour effectuer une mise à l’échelle automatique en votre nom. Un *rôle lié à un service* est un rôle IAM directement lié à un service. AWS Ce rôle inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Pour de plus amples informations, veuillez consulter [Vérification du rôle lié au service `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` et des stratégies](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Ce rôle est un rôle de service créé automatiquement pour vous lorsque vous commencez à utiliser les WorkSpaces applications dans une AWS région. Pour plus d'informations sur les rôles liés aux services, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l'utilisateur IAM*.

L'authentification basée sur les certificats est une fonctionnalité des flottes d' WorkSpaces applications associées à des domaines Microsoft Active Directory. Pour activer et utiliser l'authentification basée sur des certificats, vous devez avoir ce rôle de service dans votre AWS compte. Si ce rôle de service ne figure pas dans votre AWS compte et que les autorisations IAM et les politiques de relation de confiance requises ne sont pas associées, vous ne pouvez pas activer ou utiliser l'authentification basée sur des certificats.

Pour de plus amples informations, veuillez consulter [Vérification du rôle et des politiques du AmazonAppStream PCAAccess service](controlling-access-checking-for-AppStreamPCAAccess.md).

# Vérification du rôle et des politiques du AmazonAppStreamServiceAccess service
<a name="controlling-access-checking-for-iam-service-access"></a>

Suivez les étapes de cette section pour vérifier si la fonction du service **AmazonAppStreamServiceAccess** est présente et si les bonnes stratégies lui sont attachées. Si ce rôle ne figure pas dans votre compte et doit être créé, vous ou un administrateur disposant des autorisations requises devez suivre les étapes pour commencer à utiliser WorkSpaces les applications sur votre compte Amazon Web Services.

**Pour vérifier si le rôle de service AmazonAppStreamServiceAccess IAM est présent**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la zone de recherche, tapez **amazonappstreamservice** pour affiner la liste des rôles à sélectionner, puis choisissez. **AmazonAppStreamServiceAccess** Si ce rôle est répertorié, sélectionnez-le pour afficher sa page **Récapitulatif**. 

1. Sous l’onglet **Autorisations**, vérifiez si la stratégie d’autorisations **AmazonAppStreamServiceAccess** est attachée.

1. Revenez à la page **Récapitulatif**.

1. Sous l’onglet **Relations d’approbation**, choisissez **Afficher le document de stratégie**, puis vérifiez si la stratégie de relation d’approbation **AmazonAppStreamServiceAccess** est attachée et suit le format correct. Si tel est le cas, la relation d’approbation est correctement configurée. Choisissez **Annuler** et fermez la console IAM. 

## AmazonAppStreamServiceAccess politique de relation de confiance
<a name="controlling-access-service-access-trust-policy"></a>

La politique de relation de **AmazonAppStreamServiceAccess**confiance doit inclure le service WorkSpaces Applications comme principal. Un *mandant* est une entité AWS qui peut effectuer des actions et accéder à des ressources. Cette stratégie doit également inclure l’action `sts:AssumeRole`. La configuration de politique suivante définit WorkSpaces les applications comme une entité de confiance.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Vérification de la fonction du service ApplicationAutoScalingForAmazonAppStreamAccess et des stratégies
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Suivez les étapes de cette section pour vérifier si la fonction du service **ApplicationAutoScalingForAmazonAppStreamAccess** est présente et si les bonnes stratégies lui sont attachées. Si ce rôle ne figure pas dans votre compte et doit être créé, vous ou un administrateur disposant des autorisations requises devez suivre les étapes pour commencer à utiliser WorkSpaces les applications sur votre compte Amazon Web Services.

**Pour vérifier si la fonction du service IAM ApplicationAutoScalingForAmazonAppStreamAccess est présente**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la zone de recherche, tapez **applicationautoscaling** afin de réduire la liste des rôles à sélectionner, puis choisissez **ApplicationAutoScalingForAmazonAppStreamAccess**. Si ce rôle est répertorié, sélectionnez-le pour afficher sa page **Récapitulatif**. 

1. Sous l’onglet **Autorisations**, vérifiez si la stratégie d’autorisations **ApplicationAutoScalingForAmazonAppStreamAccess** est attachée. 

1. Revenez à la page **Récapitulatif**.

1. Sous l’onglet **Relations d’approbation**, choisissez **Afficher le document de stratégie**, puis vérifiez si la stratégie de relation d’approbation **ApplicationAutoScalingForAmazonAppStreamAccess** est attachée et suit le format correct. Si tel est le cas, la relation d’approbation est correctement configurée. Choisissez **Annuler** et fermez la console IAM. 

## Stratégie de relation d’approbation ApplicationAutoScalingForAmazonAppStreamAccess
<a name="controlling-access-autoscaling-trust-policy"></a>

La stratégie de relation d’approbation **ApplicationAutoScalingForAmazonAppStreamAccess** doit inclure le service Application Auto Scaling en tant que principal. Cette stratégie doit également inclure l’action `sts:AssumeRole`. La configuration de stratégie suivante définit Application Auto Scaling comme entité de confiance.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Vérification du rôle lié au service `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` et des stratégies
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Suivez les étapes de cette section pour vérifier si le rôle lié au service `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` est présent et si les bonnes stratégies lui sont attachées. Si ce rôle ne figure pas dans votre compte et doit être créé, vous ou un administrateur disposant des autorisations requises devez suivre les étapes pour commencer à utiliser WorkSpaces les applications sur votre compte Amazon Web Services.

**Pour vérifier si le rôle lié à un service IAM `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` est présent**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la zone de recherche, tapez **applicationautoscaling** afin de réduire la liste des rôles à sélectionner, puis choisissez `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Si ce rôle est répertorié, sélectionnez-le pour afficher sa page **Récapitulatif**. 

1. Sous l’onglet **Autorisations**, vérifiez si la stratégie d’autorisations `AWSApplicationAutoscalingAppStreamFleetPolicy` est attachée.

1. Revenez à la page de récapitulatif **Rôle**.

1. Sous l’onglet **Relations d’approbation**, choisissez **Afficher le document de stratégie**, puis vérifiez si la stratégie de relation d’approbation `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` est attachée et suit le format correct. Si tel est le cas, la relation d’approbation est correctement configurée. Choisissez **Annuler** et fermez la console IAM. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet politique de relation de confiance
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

La stratégie de relation d’approbation `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` doit inclure **appstream.application-autoscaling.amazonaws.com** comme principal. Cette stratégie doit également inclure l’action `sts:AssumeRole`. La configuration de stratégie suivante définit **appstream.application-autoscaling.amazonaws.com** comme entité de confiance.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Vérification du rôle et des politiques du AmazonAppStream PCAAccess service
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Suivez les étapes de cette section pour vérifier si la fonction du service **AmazonAppStreamPCAAccess** est présente et si les bonnes stratégies lui sont attachées. Si ce rôle ne figure pas dans votre compte et doit être créé, vous ou un administrateur disposant des autorisations requises devez suivre les étapes pour commencer à utiliser WorkSpaces les applications sur votre compte Amazon Web Services.

**Pour vérifier si le rôle de service AmazonAppStream PCAAccess IAM est présent**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la zone de recherche, tapez **appstreampca** pour affiner la liste des rôles à sélectionner, puis choisissez. **AmazonAppStreamPCAAccess** Si ce rôle est répertorié, sélectionnez-le pour afficher sa page **Récapitulatif**. 

1. Sous l’onglet **Autorisations**, vérifiez si la stratégie d’autorisations **AmazonAppStreamPCAAccess ** est attachée.

1. Revenez à la page de récapitulatif **Rôle**.

1. Sous l’onglet **Relations d’approbation**, choisissez **Afficher le document de stratégie**, puis vérifiez si la stratégie de relation d’approbation **AmazonAppStreamPCAAccess ** est attachée et suit le format correct. Si tel est le cas, la relation d’approbation est correctement configurée. Choisissez **Annuler** et fermez la console IAM. 

## AmazonAppStreamPCAAccess politique de relation de confiance
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

La politique de relation de **AmazonAppStreamPCAAccess**confiance doit inclure prod.euc.ecm.amazonaws.com comme principal. Cette stratégie doit également inclure l’action `sts:AssumeRole`. La configuration de stratégie suivante définit ECM comme entité de confiance.

**Pour créer la politique de relation de AmazonAppStream PCAAccess confiance à l'aide de la AWS CLI**

1. Créez un fichier JSON nommé `AmazonAppStreamPCAAccess.json` avec le texte suivant.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Ajustez le `AmazonAppStreamPCAAccess.json` chemin selon vos besoins et exécutez les commandes AWS CLI suivantes pour créer la politique de relation de confiance et associer la politique AmazonAppStream PCAAccess gérée. Pour plus d’informations sur la stratégie gérée, consultez [AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Utilisation des politiques IAM pour gérer l’accès administrateur à Application Auto Scaling
<a name="autoscaling-iam-policy"></a>

La mise à l'échelle automatique des flottes est rendue possible par la combinaison d' WorkSpaces Applications, d'Amazon CloudWatch et d'Application Auto Scaling APIs. WorkSpaces Les flottes d'applications sont créées avec WorkSpaces Applications, les alarmes sont créées avec CloudWatch Application Auto Scaling et les politiques de dimensionnement sont créées avec Application Auto Scaling.

Outre les autorisations définies dans la [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)politique, l'utilisateur IAM qui accède aux paramètres de dimensionnement du parc doit disposer des autorisations requises pour les services qui prennent en charge le dimensionnement dynamique. Les utilisateurs IAM doivent être autorisés à utiliser les actions dans l'exemple de politique suivant. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

Vous pouvez également créer vos propres politiques IAM pour définir des autorisations plus spécifiques pour les appels de l’API Application Auto Scaling. Pour plus d’informations, consultez [Authentification et contrôle d’accès](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) dans le *Guide de l’utilisateur Application Auto Scaling*.

# Utilisation des politiques IAM pour gérer l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
<a name="s3-iam-policy"></a>

Les exemples suivants montrent comment utiliser des politiques IAM pour gérer l’accès au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application.

**Topics**
+ [

# Suppression du compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
](s3-iam-policy-delete.md)
+ [

# Restriction de l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
](s3-iam-policy-restricted-access.md)

# Suppression du compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
<a name="s3-iam-policy-delete"></a>

WorkSpaces Applications ajoute une politique de compartiment Amazon S3 aux compartiments qu'elle crée afin d'empêcher leur suppression accidentelle. Pour supprimer un compartiment S3, vous devez d’abord supprimer la stratégie de compartiment S3. Voici les stratégies de compartiment que vous devez supprimer pour les dossiers de base et la persistance des paramètres d'application.

**Stratégie des dossiers de base**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Stratégie de persistance des paramètres d'application**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Pour plus d’informations, consultez [Suppression d’un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) dans le *Guide de l’utilisateur Amazon Simple Storage Service*.

# Restriction de l’accès administrateur au compartiment Amazon S3 pour les dossiers de base et la persistance des paramètres d’application
<a name="s3-iam-policy-restricted-access"></a>

Par défaut, les administrateurs autorisés à accéder aux compartiments Amazon S3 créés par WorkSpaces Applications peuvent consulter et modifier le contenu figurant dans les dossiers personnels des utilisateurs et dans les paramètres permanents des applications. Pour limiter l'accès de l'administrateur aux compartiments S3 qui contiennent les fichiers de l'utilisateur, nous vous recommandons d'appliquer la stratégie d'accès du compartiment S3 en fonction du modèle suivant : 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Cette politique autorise l'accès au compartiment S3 uniquement aux utilisateurs spécifiés et au service WorkSpaces Applications. Pour chaque utilisateur IAM qui doit disposer d’un accès, répliquez la ligne suivante :

```
"arn:aws:iam::account:user/IAM-user-name"
```

Dans l’exemple suivant, la stratégie restreint l’accès au compartiment S3 des dossiers de base pour tout autre utilisateur que les utilisateurs IAM marymajor et johnstiles. Il permet également d'accéder au service WorkSpaces Applications, dans la AWS région USA Ouest (Oregon) pour le numéro de compte 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Utilisation d'un rôle IAM pour accorder des autorisations aux applications et aux scripts exécutés sur des instances de streaming WorkSpaces d'applications
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Les applications et les scripts qui s'exécutent sur WorkSpaces des instances de streaming d'applications doivent inclure des AWS informations d'identification dans leurs demandes AWS d'API. Vous pouvez créer un rôle IAM pour gérer ces informations d’identification. Un rôle IAM spécifie un ensemble d'autorisations que vous pouvez utiliser pour accéder aux AWS ressources. Toutefois, ce rôle n'est pas associé de façon unique à une seule personne. Au lieu de cela, il peut être assumé par toute personne en ayant besoin.

Vous pouvez appliquer un rôle IAM à une instance de streaming d' WorkSpaces applications. Lorsque l'instance de streaming bascule vers (assume) le rôle, le rôle fournit des informations d'identification de sécurité temporaires. Votre application ou vos scripts utilisent ces informations d'identification pour effectuer des actions d'API et des tâches de gestion sur l'instance de streaming. WorkSpaces Applications gère le changement d'informations d'identification temporaires pour vous.

**Topics**
+ [

# Bonnes pratiques d'utilisation des rôles IAM avec des instances de streaming WorkSpaces d'applications
](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [

# Configuration d'un rôle IAM existant à utiliser avec des instances de streaming WorkSpaces d'applications
](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [

# Comment créer un rôle IAM à utiliser avec les instances de streaming WorkSpaces d'applications
](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [

# Comment utiliser le rôle IAM avec des instances de streaming WorkSpaces d'applications
](how-to-use-iam-role-with-streaming-instances.md)

# Bonnes pratiques d'utilisation des rôles IAM avec des instances de streaming WorkSpaces d'applications
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Lorsque vous utilisez des rôles IAM avec des instances de streaming d' WorkSpaces applications, nous vous recommandons de suivre les pratiques suivantes :
+ Limitez les autorisations que vous accordez aux actions et aux ressources de l' AWS API.

  Respectez le principe du moindre privilège lorsque vous créez et associez des politiques IAM aux rôles IAM associés aux instances de streaming WorkSpaces d'applications. Lorsque vous utilisez une application ou un script qui nécessite l'accès à des actions ou à des ressources d' AWS API, déterminez les actions et les ressources spécifiques requises. Ensuite, créez des politiques qui autorisent l’application ou le script à effectuer uniquement ces actions. Pour plus d’informations, consultez [Octroi du moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dans le *Guide de l’utilisateur IAM*.
+ Créez un rôle IAM pour chaque ressource WorkSpaces d'applications.

  La création d'un rôle IAM unique pour chaque ressource WorkSpaces d'applications est une pratique qui respecte le principe du moindre privilège. Cela vous permet également de modifier les autorisations pour une ressource sans affecter les autres ressources.
+ Limitez les endroits où les informations d’identification peuvent être utilisées.

  Les politiques IAM vous permettent de définir les conditions dans lesquelles votre rôle IAM peut être utilisé pour accéder à une ressource. Par exemple, vous pouvez inclure des conditions pour spécifier une plage d'adresses IP d'où peuvent parvenir les requêtes. Cela permet d’éviter que les informations d’identification soient utilisées en dehors de votre environnement. Pour plus d’informations, consultez [Utiliser les conditions des stratégies pour une plus grande sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) dans le *Guide de l’utilisateur IAM*.

# Configuration d'un rôle IAM existant à utiliser avec des instances de streaming WorkSpaces d'applications
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

Cette rubrique décrit comment configurer un rôle IAM existant afin de pouvoir l’utiliser avec des instances Image Builder et des instances de streaming de flotte.

**Conditions préalables**

Le rôle IAM que vous souhaitez utiliser avec un générateur d'images d' WorkSpaces applications ou une instance de streaming de flotte doit répondre aux conditions préalables suivantes :
+ Le rôle IAM doit figurer sur le même compte Amazon Web Services que l'instance de streaming WorkSpaces Applications.
+ Le rôle IAM ne peut pas être une fonction du service.
+ La politique de relation de confiance attachée au rôle IAM doit inclure le service WorkSpaces Applications en tant que principal. Un *mandant* est une entité AWS qui peut effectuer des actions et accéder à des ressources. La stratégie doit également inclure l'action `sts:AssumeRole`. Cette configuration de politique définit WorkSpaces les applications comme une entité de confiance.

  
+ Si vous appliquez le rôle IAM à un générateur d'images, celui-ci doit exécuter une version de l'agent d' WorkSpaces applications publiée le 3 septembre 2019 ou après cette date. Si vous appliquez le rôle IAM à une flotte, celle-ci doit utiliser une image qui utilise une version de l'agent publiée à la même date ou après cette date. Pour de plus amples informations, veuillez consulter [WorkSpaces Notes de mise à jour des agents d'applications](agent-software-versions.md). 

**Pour permettre au principal du service WorkSpaces Applications d'assumer un rôle IAM existant**

Pour effectuer les étapes suivantes, vous devez vous connecter au compte en tant qu’utilisateur IAM disposant des autorisations requises pour répertorier et mettre à jour les rôles IAM. Si vous n’avez pas les autorisations requises, demandez à votre administrateur de compte Amazon Web Services d’effectuer ces étapes dans votre compte ou de vous accorder les autorisations requises.

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**. 

1. Dans la liste des rôles de votre compte, choisissez le nom du rôle que vous souhaitez modifier.

1. Sélectionnez l'onglet **Relations d'approbation**, puis **Modifier la relation d'approbation**.

1. Sous **Document de stratégie**, vérifiez que la stratégie de relation d’approbation inclut l’action `sts:AssumeRole` pour le principal du service `appstream.amazonaws.com` :

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Après avoir modifié votre politique d'approbation, choisissez **Mettre à jour la politique de confiance** pour enregistrer vos modifications. 

1. Le rôle IAM que vous avez sélectionné s'affichera dans la console WorkSpaces Applications. Ce rôle accorde des autorisations aux applications et aux scripts pour effectuer des actions d'API et des tâches de gestion sur les instances de streaming.

# Comment créer un rôle IAM à utiliser avec les instances de streaming WorkSpaces d'applications
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

Cette rubrique décrit comment créer un rôle IAM afin de pouvoir l’utiliser avec des instances Image Builder et des instances de streaming de flotte.

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

1. Pour **Select type of trusted entity (Sélectionner le type d’entité de confiance)**, choisissez **Service AWS **.

1. Dans la liste des AWS services, sélectionnez **WorkSpaces Applications**.

1. Sous **Sélectionnez votre cas d'utilisation**, **WorkSpaces Applications — Autorise WorkSpaces les instances d'applications à appeler AWS des services en votre nom** est déjà sélectionné. Choisissez **Suivant : Autorisations**.

1. Si possible, sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez **Create policy** (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d’informations, consultez l’étape 4 de la procédure [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*.

   Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case à côté des politiques d'autorisation que vous souhaitez WorkSpaces appliquer aux applications.

1. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service. Pour plus d’informations, consultez [Limites d’autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.

1. Choisissez **Suivant : Balises**. Vous pouvez éventuellement joindre des balises en tant que paires clé-valeur. Pour plus d’informations, consultez [Balisage des utilisateurs et des rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l’utilisateur IAM*.

1. Choisissez **Suivant : Vérification**.

1. Pour **Nom du rôle**, saisissez un nom de rôle unique dans votre compte Amazon Web Services. Comme d'autres AWS ressources peuvent faire référence au rôle, vous ne pouvez pas modifier le nom du rôle une fois qu'il a été créé.

1. Pour **Description du rôle**, conservez la description du rôle par défaut ou saisissez une nouvelle description.

1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle).

# Comment utiliser le rôle IAM avec des instances de streaming WorkSpaces d'applications
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Une fois que vous avez créé un rôle IAM, vous pouvez l’appliquer à une instance Image Builder ou à une instance de streaming de flotte lorsque vous lancez l’instance Image Builder ou créez une flotte. Vous pouvez également appliquer un rôle IAM à des flottes existantes. Pour plus d’informations sur la procédure d’application d’un rôle IAM lorsque vous lancez une instance Image Builder, consultez [Lancer un Image Builder pour l'installation et la configuration d'applications de streaming](tutorial-image-builder-create.md). Pour plus d’informations sur la procédure d’application d’un rôle IAM lorsque vous créez une flotte, consultez [Création d'une flotte dans Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).

Lorsque vous appliquez un rôle IAM à votre générateur d'images ou à votre instance de streaming de flotte, WorkSpaces Applications récupère les informations d'identification temporaires et crée le profil d'identification **appstream\$1machine\$1role** sur l'instance. Les informations d’identification temporaires sont valides pendant 1 heure et de nouvelles informations d’identification sont récupérées toutes les heures. Les informations d'identification précédentes n'expirent pas. Vous pouvez donc les utiliser aussi longtemps qu'elles sont valides. Vous pouvez utiliser le profil d'identification pour appeler AWS des services par programmation à l'aide de l'interface de ligne de AWS commande (AWS CLI) PowerShell, AWS des outils ou du AWS SDK dans la langue de votre choix.

Lorsque vous effectuez les appels d'API, spécifiez **appstream\$1machine\$1role** comme profil d'informations d'identification. Sinon, l'opération échoue en raison d'autorisations insuffisantes.

WorkSpaces Les applications assument le rôle spécifié pendant le provisionnement de l'instance de streaming. Dans la WorkSpaces mesure où Applications utilise l'interface Elastic Network qui est attachée à votre VPC pour les appels d' AWS API, votre application ou votre script doit attendre que l'Elastic network interface soit disponible avant de passer des appels d' AWS API. Si des appels d'API sont effectués avant que l'interface réseau Elastic soit disponible, les appels échouent.

Les exemples suivants montrent comment utiliser le profil d'informations d'identification** appstream\$1machine\$1role** pour décrire des instances de streaming (instances EC2) et créer le client Boto. Boto est le kit SDK Amazon Web Services (AWS) pour Python. 

**Décrire les instances de streaming (instances EC2) à l'aide de la CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Décrire les instances de streaming (instances EC2) à l'aide d' AWS outils pour PowerShell**

Vous devez utiliser AWS Tools pour PowerShell la version 3.3.563.1 ou ultérieure, avec le SDK Amazon Web Services pour .NET version 3.3.103.22 ou ultérieure. Vous pouvez télécharger le programme d'installation de AWS Tools for Windows, qui inclut AWS Tools for PowerShell et le SDK Amazon Web Services pour .NET, depuis [AWS le site Web Tools PowerShell](https://aws.amazon.com/powershell/) for.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Création du client Boto à l'aide du AWS SDK pour Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux sur Red Hat Enterprise Linux et Rocky Linux
<a name="selinux"></a>

Par défaut, Security Enhanced Linux (SELinux) est `enabled` configuré `enforcing` en mode pour les générateurs d'images d' WorkSpaces applications et les instances de streaming alimentés par Red Hat Enterprise Linux et Rocky Linux. En `enforcing` mode, les refus d'autorisation sont appliqués. SELinux est un ensemble de fonctionnalités et d'utilitaires du noyau destinés à fournir une architecture de contrôle d'accès (MAC) solide, flexible et obligatoire aux principaux sous-systèmes du noyau.

SELinux fournit un mécanisme amélioré pour appliquer la séparation des informations sur la base des exigences de confidentialité et d'intégrité. Cette séparation des informations réduit les risques de falsification et de contournement des mécanismes de sécurité des applications. Elle limite également les dommages pouvant être causés par des applications malveillantes ou défectueuses.

SELinux inclut un ensemble d'exemples de fichiers de configuration des politiques de sécurité conçus pour répondre aux objectifs de sécurité quotidiens. Pour plus d'informations sur les SELinux fonctionnalités, voir [Qu'est-ce que c'est SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux) ?

# Authentification basée sur les cookies dans les applications Amazon WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Les applications utilisent des cookies de navigateur pour authentifier les sessions de streaming et permettre aux utilisateurs de se reconnecter à une session active sans avoir à saisir à nouveau leurs informations de connexion à chaque fois. Les jetons d'authentification sont stockés dans les cookies du navigateur pour chaque scénario d'authentification. Bien que les cookies soient nécessaires pour de nombreux services en ligne, ils peuvent potentiellement être vulnérables aux attaques de vol de cookies. Nous vous recommandons vivement de prendre des mesures proactives pour empêcher le vol de cookies, telles que la mise en œuvre de solutions robustes de protection des terminaux pour les appareils de vos utilisateurs. En outre, afin d'atténuer l'impact potentiel en cas de vol de cookies, nous vous conseillons de prendre les mesures suivantes :
+ **Appliquez une limite de session unique** : pour les images Windows de vos WorkSpaces applications, créez une clé de registre sous `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` le nom **max-concurrent-clients**défini sur 1 afin de n'autoriser qu'une seule connexion à la fois. Cela limite le nombre de sessions simultanées à une et bloque la mise en miroir des sessions actives. Pour plus d'informations, consultez la section Paramètres [de gestion de session.](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)
+ **Appliquer l'expiration des sessions et la réauthentification**
  + Réduisez la SessionDuration valeur afin que le jeton d'authentification expire une fois que l'utilisateur a démarré avec succès la session de streaming. La réutilisation des cookies d'authentification après l'expiration de la durée de session oblige les utilisateurs à s'authentifier à nouveau. SessionDuration indique la durée maximale pendant laquelle une session de streaming fédérée d'un utilisateur peut rester active avant qu'une nouvelle authentification ne soit requise. La valeur par défaut est de 60 minutes. Pour de plus amples informations, veuillez consulter [Etape 5 : Créer des assertions pour la réponse de l'authentification SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Pour optimiser la sécurité, les utilisateurs doivent terminer les sessions correctement à l'aide de la barre d'outils (terminer la session), au lieu de fermer la fenêtre de diffusion. La fin de la session via la barre d'outils met fin à la fois à la session utilisateur et à l'instance de streaming. Cela nécessite une nouvelle authentification pour tout accès futur, afin d'empêcher l'utilisation abusive des cookies. Si un utilisateur ferme la fenêtre de streaming sans mettre fin à la session, la session et l'instance restent actives pendant un délai de déconnexion configurable (en minutes). Le délai de déconnexion doit être compris entre 1 et 5760, avec une valeur par défaut de 15 minutes. Pour éviter toute utilisation abusive des sessions inactives, nous vous recommandons de définir un court délai de déconnexion. Pour de plus amples informations, veuillez consulter [Création d'une flotte dans Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).
+ **Limitez l'accès aux WorkSpaces applications de streaming à vos plages d'adresses IP** : nous vous recommandons de mettre en œuvre des politiques IAM basées sur l'IP. Cela garantit que WorkSpaces les sessions d'applications ne sont accessibles qu'à partir de clients dont l'adresse IP appartient à une plage d'adresses IP autorisée. Toutes les tentatives de connexion initiées par un utilisateur dont l'adresse IP du client se situe en dehors d'une plage autorisée seront refusées, même s'il présente un cookie d'authentification par ailleurs valide (potentiellement volé à un utilisateur). Pour plus d'informations, consultez [Limiter l'accès pour diffuser des applications Amazon AppStream 2.0 sur vos plages d'adresses IP](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Ajoutez une authentification supplémentaire** : pour lancer des instances de streaming jointes à un domaine, vous pouvez associer vos flottes Windows et vos WorkSpaces générateurs d'images Applications Always-On et On-Demand à des domaines de Microsoft Active Directory, et utiliser vos domaines Active Directory existants, qu'ils soient basés sur le cloud ou sur site. Après l'authentification initiale basée sur SAML, vos utilisateurs seront invités à fournir leurs informations d'identification de domaine pour une authentification supplémentaire auprès du domaine de l'organisation. Pour de plus amples informations, veuillez consulter [Utilisation d'Active Directory avec des WorkSpaces applications](active-directory.md).

 Si vous avez des inquiétudes ou si vous avez besoin d'aide, contactez le [AWS Support centre](https://console.aws.amazon.com/support/home#/).