AWS Politiques gérées requises pour accéder aux ressources AppStream 2.0

Pour fournir un accès administratif complet ou en lecture seule à la AppStream version 2.0, vous devez associer l'une des politiques AWS gérées suivantes aux IAM utilisateurs ou aux groupes qui ont besoin de ces autorisations. Une politique gérée par AWS est une politique autonome qui est créée et gérée par AWS. Pour plus d'informations, consultez la section Politiques AWS gérées dans le guide de IAM l'utilisateur.

AmazonAppStreamFullAccess

Cette politique gérée fournit un accès administratif complet aux ressources AppStream 2.0. Pour gérer les ressources AppStream 2.0 et effectuer API des actions via l'interface de ligne de AWS commande (AWS CLI) ou AWS la console de gestion, vous devez disposer des autorisations définies dans cette politique. AWS SDK

Si vous vous connectez à la console AppStream 2.0 en tant qu'IAMutilisateur, vous devez associer cette politique à votre Compte AWS. Si vous vous connectez par le biais de la fédération de consoles, vous devez associer cette politique au IAM rôle utilisé pour la fédération.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "appstream:"
            ],
            "Effect": "Allow",
            "Resource": ""
        },
        {
            "Action": [
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:RegisterScalableTarget",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Effect": "Allow",
            "Resource": ""
        },
        {
           "Action": [
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:PutMetricAlarm"
            ],
            "Effect": "Allow",
            "Resource": ""
        },
        {
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints"
            ],
            "Effect": "Allow",
            "Resource": ""
        },
        {
            "Action": "iam:ListRoles",
            "Effect": "Allow",
            "Resource": ""
       },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam:::role/service-role/ApplicationAutoScalingForAmazonAppStreamAccess",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam:::role/aws-service-role/appstream.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_AppStreamFleet (http://appstream.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "appstream.application-autoscaling.amazonaws.com"
                }
            }
        }
    ]
}

AmazonAppStreamReadOnlyAccess

Cette politique gérée fournit un accès en lecture seule aux ressources AppStream 2.0.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "appstream:Get*",
                "appstream:List*",
                "appstream:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

La console AppStream 2.0 utilise deux actions supplémentaires qui fournissent des fonctionnalités qui ne sont pas disponibles via le AWS CLI ou AWS SDK. Les AmazonAppStreamReadOnlyAccesspolitiques AmazonAppStreamFullAccesset fournissent toutes deux des autorisations pour ces actions.

Action	Description	Niveau d'accès
`GetImageBuilders`	Accorde l'autorisation de récupérer une liste qui décrit une ou plusieurs instances Image Builders, si les noms de celles-ci sont fournis. Sinon, toutes les instances Image Builder du compte sont décrites.	Lecture
`GetParametersForThemeAssetUpload`	Accorde l'autorisation de charger des assets de thème pour une personnalisation. Pour plus d’informations, consultez Ajoutez votre image de marque personnalisée à Amazon AppStream 2.0.	Écrire

AmazonAppStreamPCAAccess

Cette politique gérée fournit un accès administratif complet aux ressources de AWS Certificate Manager Private CA de votre AWS compte pour une authentification basée sur des certificats.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:IssueCertificate",
                "acm-pca:GetCertificate",
                "acm-pca:DescribeCertificateAuthority"
            ],
            "Resource": "arn:*:acm-pca:*:*:*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/euc-private-ca": "*"
                }
            }
        }
    ]
}

AmazonAppStreamServiceAccess

Cette stratégie gérée est la stratégie par défaut pour le rôle de service AppStream 2.0.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:AssociateAddress",
                "ec2:DisassociateAddress",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcEndpoints",
                "s3:ListAllMyBuckets",
                "ds:DescribeDirectories"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::appstream2-36fb080bb8-*",
                "arn:aws:s3:::appstream-app-settings-*",
                "arn:aws:s3:::appstream-logs-*"
            ]
        }
    ]
}

ApplicationAutoScalingForAmazonAppStreamAccess

Cette politique gérée permet le dimensionnement automatique des applications pour la AppStream version 2.0.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:UpdateFleet",
                "appstream:DescribeFleets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWSApplicationAutoscalingAppStreamFleetPolicy

Cette politique gérée autorise Application Auto Scaling à accéder aux versions AppStream 2.0 et CloudWatch .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:UpdateFleet",
                "appstream:DescribeFleets",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AppStream Mises à jour 2.0 des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées pour la AppStream version 2.0 depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil d'actualité de la Historique du document pour Amazon AppStream 2.0 page.

Modification	Description	Date
AppStream 2.0 a commencé à suivre les modifications	AppStream 2.0 a commencé à suivre les modifications apportées AWS à ses politiques gérées	31 octobre 2022

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Accès aux ressources AppStream 2.0

Rôles requis pour AppStream 2.0, Application Auto Scaling et AWS Certificate Manager Private CA