Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Identity and Access Management untuk WorkSpaces Aplikasi Amazon
<a name="controlling-access"></a>

Kredensi keamanan Anda mengidentifikasi Anda ke layanan AWS dan memberi Anda penggunaan sumber daya tanpa batas, seperti AWS sumber daya WorkSpaces Aplikasi Anda. Anda dapat menggunakan fitur WorkSpaces Aplikasi dan AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan sumber daya WorkSpaces Aplikasi Anda tanpa membagikan kredensil keamanan Anda. 

Anda dapat menggunakan IAM untuk mengontrol cara pengguna lain menggunakan sumber daya di akun Amazon Web Services Anda, dan Anda dapat menggunakan grup keamanan untuk mengontrol akses ke instans streaming WorkSpaces Aplikasi Anda. Anda dapat mengizinkan penggunaan penuh atau penggunaan terbatas sumber daya WorkSpaces Aplikasi Anda. 

**Topics**
+ [Akses Jaringan ke Instans Streaming Anda](network-access-to-streaming-instances.md)
+ [Menggunakan Kebijakan AWS Terkelola dan Peran Tertaut untuk Mengelola Akses Administrator ke Sumber Daya WorkSpaces Aplikasi](controlling-administrator-access-with-policies-roles.md)
+ [Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Application Auto Scaling](autoscaling-iam-policy.md)
+ [Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi](s3-iam-policy.md)
+ [Menggunakan Peran IAM untuk Memberikan Izin ke Aplikasi dan Skrip yang Berjalan pada WorkSpaces Instans Streaming Aplikasi](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [SELinux di Red Hat Enterprise Linux dan Rocky Linux](selinux.md)
+ [Otentikasi Berbasis Cookie di Aplikasi Amazon WorkSpaces](cookie-auth.md)

# Akses Jaringan ke Instans Streaming Anda
<a name="network-access-to-streaming-instances"></a>

Grup keamanan bertindak sebagai firewall stateful yang mengontrol lalu lintas apa yang diizinkan untuk mencapai instans streaming Anda. Saat Anda meluncurkan instans streaming WorkSpaces Aplikasi, tetapkan ke satu atau beberapa grup keamanan. Kemudian, tambahkan aturan ke setiap grup keamanan yang mengontrol lalu lintas untuk instance. Anda dapat melakukan modifikasi terhadap aturan-aturan untuk grup keamanan kapan saja. Aturan baru diterapkan secara otomatis ke semua instance tempat grup keamanan ditetapkan. 

Untuk informasi selengkapnya, lihat [Grup Keamanan di WorkSpaces Aplikasi Amazon](managing-network-security-groups.md).

# Menggunakan Kebijakan AWS Terkelola dan Peran Tertaut untuk Mengelola Akses Administrator ke Sumber Daya WorkSpaces Aplikasi
<a name="controlling-administrator-access-with-policies-roles"></a>

Secara default, pengguna IAM tidak memiliki izin yang diperlukan untuk membuat atau memodifikasi sumber daya WorkSpaces Aplikasi, atau melakukan tugas dengan menggunakan WorkSpaces Applications API. Ini berarti bahwa pengguna ini tidak dapat melakukan tindakan ini di konsol WorkSpaces Aplikasi atau dengan menggunakan perintah WorkSpaces Applications AWS CLI. Untuk memungkinkan pengguna IAM membuat atau memodifikasi sumber daya dan melakukan tugas, lampirkan kebijakan IAM ke pengguna IAM atau grup yang memerlukan izin tersebut. 

Saat Anda melampirkan kebijakan ke pengguna, grup pengguna, atau peran IAM, kebijakan tersebut mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan. 

**Topics**
+ [AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md)
+ [Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan](controlling-access-checking-for-iam-service-access.md)
+ [Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan](controlling-access-checking-for-iam-autoscaling.md)
+ [Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi
<a name="managed-policies-required-to-access-appstream-resources"></a>

Untuk menyediakan akses administratif atau hanya-baca penuh ke WorkSpaces Aplikasi, Anda harus melampirkan salah satu kebijakan AWS terkelola berikut ke pengguna IAM atau grup yang memerlukan izin tersebut. *Kebijakan terkelola AWS * adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

**catatan**  
Di AWS, peran IAM digunakan untuk memberikan izin ke AWS layanan sehingga dapat mengakses AWS sumber daya. Kebijakan yang melekat pada peran menentukan AWS sumber daya mana yang dapat diakses oleh layanan dan apa yang dapat dilakukannya dengan sumber daya tersebut. Untuk WorkSpaces Aplikasi, selain memiliki izin yang ditentukan dalam **AmazonAppStreamFullAccess**kebijakan, Anda juga harus memiliki peran yang diperlukan di AWS akun Anda. Untuk informasi selengkapnya, lihat [Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Kebijakan terkelola ini menyediakan akses administratif penuh ke sumber daya WorkSpaces Aplikasi. Untuk mengelola sumber daya WorkSpaces Aplikasi dan melakukan tindakan API melalui Antarmuka Baris AWS Perintah (AWS CLI), AWS SDK, atau Konsol AWS Manajemen, Anda harus memiliki izin yang ditentukan dalam kebijakan ini.  
Jika Anda masuk ke konsol WorkSpaces Aplikasi sebagai pengguna IAM, Anda harus melampirkan kebijakan ini ke aplikasi Anda Akun AWS. Jika Anda masuk melalui federasi konsol, Anda harus melampirkan kebijakan ini ke peran IAM yang digunakan untuk federasi.  
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Kebijakan berbasis identitas ini memberi pengguna izin hanya-baca untuk melihat dan memantau WorkSpaces sumber daya Aplikasi dan konfigurasi layanan terkait. Pengguna dapat mengakses konsol WorkSpaces Aplikasi untuk melihat aplikasi streaming, status armada, laporan penggunaan, dan sumber daya terkait, tetapi tidak dapat membuat perubahan apa pun. Kebijakan ini juga mencakup izin baca yang diperlukan untuk mendukung layanan seperti IAM, Application Auto Scaling, CloudWatch dan untuk memungkinkan kemampuan pemantauan dan pelaporan yang komprehensif.  
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

Konsol WorkSpaces Aplikasi menggunakan tindakan tambahan yang menyediakan fungsionalitas yang tidak tersedia melalui AWS CLI atau AWS SDK. **AmazonAppStreamReadOnlyAccess**Kebijakan **AmazonAppStreamFullAccess**dan kebijakan keduanya memberikan izin untuk tindakan berikut.


| Tindakan | Deskripsi | Tingkat Akses | 
| --- | --- | --- | 
| DescribeImageBuilders | Memberikan izin untuk mengambil daftar yang menjelaskan satu atau beberapa pembuat gambar tertentu, jika nama pembuat gambar disediakan. Jika tidak, semua pembuat gambar di akun dijelaskan. | Baca | 

**AmazonAppStreamPCAAccess**  
Kebijakan terkelola ini menyediakan akses administratif penuh ke sumber daya AWS Certificate Manager Private CA di AWS akun Anda untuk otentikasi berbasis sertifikat.  
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html).

**AmazonAppStreamServiceAccess**  
Kebijakan terkelola ini adalah kebijakan default untuk peran layanan WorkSpaces Aplikasi.   
Kebijakan izin peran ini memungkinkan WorkSpaces Aplikasi untuk menyelesaikan tindakan berikut:  
+ Saat menggunakan subnet di akun Anda untuk armada WorkSpaces Aplikasi Anda, WorkSpaces Aplikasi dapat mendeskripsikan subnet VPCs, dan zona ketersediaan, serta membuat dan mengelola siklus hidup semua antarmuka jaringan elastis yang terkait dengan instance armada di subnet tersebut. Ini juga termasuk dapat melampirkan Grup Keamanan dan alamat IP dari subnet tersebut ke antarmuka jaringan elastis tersebut.
+ Saat menggunakan fitur seperti UPP dan HomeFolders, WorkSpaces Aplikasi dapat membuat dan mengelola bucket Amazon S3, objek dan siklus hidup, kebijakan, dan konfigurasi enkripsi di akun. Ember ini mencakup awalan penamaan berikut:
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html).

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Kebijakan terkelola ini memungkinkan penskalaan otomatis aplikasi untuk Aplikasi. WorkSpaces   
Untuk melihat izin kebijakan ini, lihat [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Kebijakan terkelola ini memberikan izin untuk Application Auto Scaling untuk WorkSpaces mengakses Aplikasi dan. CloudWatch   
Untuk melihat izin kebijakan ini, lihat [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Pembaruan aplikasi ke kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola untuk WorkSpaces Aplikasi sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat Dokumen untuk WorkSpaces Aplikasi Amazon](doc-history.md).




| Perubahan | Deskripsi | Date | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Ubah  |   Menambahkan izin izin `"ec2:DescribeImages"` untuk dokumen kebijakan JSON kebijakan  | November 17, 2025 | 
|  AmazonAppStreamReadOnlyAccess — Ubah  |   Dihapus `"appstream:Get*",` dari dokumen kebijakan JSON  | Oktober 22, 2025 | 
|  WorkSpaces Aplikasi mulai melacak perubahan  |  WorkSpaces Aplikasi mulai melacak perubahan untuk kebijakan yang AWS dikelola  | 31 Oktober 2022 | 

# Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

Di AWS, peran IAM digunakan untuk memberikan izin ke AWS layanan sehingga dapat mengakses AWS sumber daya. Kebijakan yang melekat pada peran menentukan AWS sumber daya mana yang dapat diakses oleh layanan dan apa yang dapat dilakukannya dengan sumber daya tersebut. Untuk WorkSpaces Aplikasi, selain memiliki izin yang ditentukan dalam **AmazonAppStreamFullAccess**kebijakan, Anda juga harus memiliki peran berikut di AWS akun Anda.

**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.

Saat sumber daya WorkSpaces Aplikasi sedang dibuat, layanan WorkSpaces Aplikasi membuat panggilan API ke AWS layanan lain atas nama Anda dengan mengambil peran ini. Untuk membuat armada, Anda harus memiliki peran ini di akun Anda. Jika peran ini tidak ada di AWS akun Anda dan izin IAM yang diperlukan serta kebijakan hubungan kepercayaan tidak dilampirkan, Anda tidak dapat membuat armada WorkSpaces Aplikasi.

Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan](controlling-access-checking-for-iam-service-access.md) untuk memeriksa apakah peran **AmazonAppStreamServiceAccess**layanan ada dan memiliki kebijakan yang benar dilampirkan. 

**catatan**  
Peran layanan ini dapat memiliki izin yang berbeda dari pengguna pertama yang memulai dengan WorkSpaces Aplikasi. Untuk detail tentang izin peran ini, lihat “AmazonAppStreamServiceAccess” di[AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.

Penskalaan otomatis adalah fitur armada WorkSpaces Aplikasi. Untuk mengonfigurasi kebijakan penskalaan, Anda harus memiliki peran layanan ini di AWS akun Anda. Jika peran layanan ini tidak ada di AWS akun Anda dan izin IAM serta kebijakan hubungan kepercayaan yang diperlukan tidak dilampirkan, Anda tidak dapat menskalakan armada WorkSpaces Aplikasi.

Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Peran ini adalah peran terkait layanan yang dibuat untuk Anda secara otomatis. Untuk informasi selengkapnya, lihat [Peran terkait layanan di Panduan](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) Pengguna *Application Auto Scaling*.

Application Auto Scaling menggunakan peran terkait layanan untuk melakukan penskalaan otomatis atas nama Anda. *Peran terkait layanan adalah peran* IAM yang ditautkan langsung ke layanan. AWS Peran ini mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Untuk informasi selengkapnya, lihat [Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.

Otentikasi berbasis sertifikat adalah fitur armada WorkSpaces Aplikasi yang bergabung dengan domain Microsoft Active Directory. Untuk mengaktifkan dan menggunakan otentikasi berbasis sertifikat, Anda harus memiliki peran layanan ini di akun Anda. AWS Jika peran layanan ini tidak ada di AWS akun Anda dan izin IAM serta kebijakan hubungan kepercayaan yang diperlukan tidak dilampirkan, Anda tidak dapat mengaktifkan atau menggunakan otentikasi berbasis sertifikat.

Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan](controlling-access-checking-for-AppStreamPCAAccess.md).

# Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan
<a name="controlling-access-checking-for-iam-service-access"></a>

Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **AmazonAppStreamServiceAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.

**Untuk memeriksa apakah peran layanan AmazonAppStreamServiceAccess IAM hadir**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Di kotak pencarian, ketik **amazonappstreamservice** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **AmazonAppStreamServiceAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran. 

1. Pada tab **Izin**, konfirmasikan apakah kebijakan **AmazonAppStreamServiceAccess**izin dilampirkan.

1. Kembali ke halaman **Ringkasan** peran.

1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **AmazonAppStreamServiceAccess**kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM. 

## AmazonAppStreamServiceAccess kebijakan hubungan kepercayaan
<a name="controlling-access-service-access-trust-policy"></a>

Kebijakan hubungan **AmazonAppStreamServiceAccess**kepercayaan harus mencakup layanan WorkSpaces Aplikasi sebagai prinsipal. *Principal* adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan WorkSpaces Aplikasi sebagai entitas tepercaya.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **ApplicationAutoScalingForAmazonAppStreamAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.

**Untuk memeriksa apakah peran layanan ApplicationAutoScalingForAmazonAppStreamAccess IAM hadir**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Di kotak pencarian, ketik **applicationautoscaling** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **ApplicationAutoScalingForAmazonAppStreamAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran. 

1. Pada tab **Izin**, konfirmasikan apakah kebijakan **ApplicationAutoScalingForAmazonAppStreamAccess**izin dilampirkan. 

1. Kembali ke halaman **Ringkasan** peran.

1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **ApplicationAutoScalingForAmazonAppStreamAccess**kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM. 

## ApplicationAutoScalingForAmazonAppStreamAccesskebijakan hubungan kepercayaan
<a name="controlling-access-autoscaling-trust-policy"></a>

Kebijakan hubungan **ApplicationAutoScalingForAmazonAppStreamAccess**kepercayaan harus menyertakan layanan Application Auto Scaling sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan Application Auto Scaling sebagai entitas tepercaya.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` terkait layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.

**Untuk memeriksa apakah peran terkait layanan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` IAM ada**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Di kotak pencarian, ketik **applicationautoscaling** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran. 

1. Pada tab **Izin**, konfirmasikan apakah kebijakan `AWSApplicationAutoscalingAppStreamFleetPolicy` izin dilampirkan.

1. Kembali ke halaman ringkasan **Peran**.

1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet kebijakan hubungan kepercayaan
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

Kebijakan hubungan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` kepercayaan harus menyertakan **appstream.application-autoscaling.amazonaws.com** sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan **appstream.application-autoscaling.amazonaws.com** sebagai entitas tepercaya.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **AmazonAppStreamPCAAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.

**Untuk memeriksa apakah peran layanan AmazonAppStream PCAAccess IAM hadir**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Di kotak pencarian, ketik **appstreampca** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **AmazonAppStreamPCAAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran. 

1. Pada tab **Izin**, konfirmasikan apakah kebijakan **AmazonAppStreamPCAAccess **izin dilampirkan.

1. Kembali ke halaman ringkasan **Peran**.

1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **AmazonAppStreamPCAAccess **kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM. 

## AmazonAppStreamPCAAccess kebijakan hubungan kepercayaan
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

Kebijakan hubungan **AmazonAppStreamPCAAccess**kepercayaan harus menyertakan prod.euc.ecm.amazonaws.com sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan ECM sebagai entitas tepercaya.

**Untuk membuat kebijakan hubungan AmazonAppStream PCAAccess kepercayaan menggunakan AWS CLI**

1. Buat file JSON bernama `AmazonAppStreamPCAAccess.json` dengan teks berikut.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Sesuaikan `AmazonAppStreamPCAAccess.json` jalur sesuai kebutuhan dan jalankan perintah AWS CLI berikut untuk membuat kebijakan hubungan kepercayaan dan melampirkan kebijakan AmazonAppStream PCAAccess terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Application Auto Scaling
<a name="autoscaling-iam-policy"></a>

Penskalaan otomatis untuk armada dimungkinkan oleh kombinasi Applications CloudWatch, Amazon, dan WorkSpaces Application Auto Scaling. APIs WorkSpaces Armada aplikasi dibuat dengan WorkSpaces Aplikasi, alarm dibuat dengan CloudWatch, dan kebijakan penskalaan dibuat dengan Application Auto Scaling.

Selain memiliki izin yang ditentukan dalam [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)kebijakan, pengguna IAM yang mengakses pengaturan penskalaan armada harus memiliki izin yang diperlukan untuk layanan yang mendukung penskalaan dinamis. Pengguna IAM harus memiliki izin untuk menggunakan tindakan yang ditunjukkan dalam contoh kebijakan berikut. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

Anda juga dapat membuat kebijakan IAM Anda sendiri untuk menetapkan izin yang lebih spesifik untuk panggilan ke Application Auto Scaling API. Untuk informasi selengkapnya, lihat [Autentikasi dan Kontrol Akses](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) di *Panduan Pengguna Penskalaan Otomatis Aplikasi*.

# Menggunakan Kebijakan IAM untuk Mengelola Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
<a name="s3-iam-policy"></a>

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kebijakan IAM untuk mengelola akses ke bucket Amazon S3 untuk folder beranda dan persistensi setelan aplikasi.

**Topics**
+ [Menghapus Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi](s3-iam-policy-delete.md)
+ [Membatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi](s3-iam-policy-restricted-access.md)

# Menghapus Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
<a name="s3-iam-policy-delete"></a>

WorkSpaces Aplikasi menambahkan kebijakan bucket Amazon S3 ke bucket yang dibuatnya untuk mencegahnya terhapus secara tidak sengaja. Untuk menghapus bucket S3, Anda harus menghapus kebijakan bucket S3 terlebih dahulu. Berikut ini adalah kebijakan bucket yang harus Anda hapus untuk folder beranda dan persistensi pengaturan aplikasi.

**Kebijakan folder rumah**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Kebijakan ketekunan pengaturan aplikasi**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Untuk informasi selengkapnya, lihat [Menghapus atau Mengosongkan Bucket di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) Pengguna *Layanan Penyimpanan Sederhana Amazon*.

# Membatasi Akses Administrator ke Bucket Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi
<a name="s3-iam-policy-restricted-access"></a>

Secara default, administrator yang dapat mengakses bucket Amazon S3 yang dibuat WorkSpaces oleh Aplikasi dapat melihat dan memodifikasi konten yang merupakan bagian dari folder beranda pengguna dan pengaturan aplikasi persisten. Untuk membatasi akses administrator ke bucket S3 yang berisi file pengguna, sebaiknya terapkan kebijakan akses bucket S3 berdasarkan templat berikut: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Kebijakan ini memungkinkan akses bucket S3 hanya untuk pengguna yang ditentukan dan ke layanan WorkSpaces Aplikasi. Untuk setiap pengguna IAM yang seharusnya memiliki akses, replikasi baris berikut:

```
"arn:aws:iam::account:user/IAM-user-name"
```

Dalam contoh berikut, kebijakan membatasi akses ke bucket S3 folder beranda untuk siapa pun selain pengguna IAM marymajor dan johnstiles. Ini juga memungkinkan akses ke layanan WorkSpaces Aplikasi, di AWS Wilayah AS Barat (Oregon) untuk ID akun 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Menggunakan Peran IAM untuk Memberikan Izin ke Aplikasi dan Skrip yang Berjalan pada WorkSpaces Instans Streaming Aplikasi
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Aplikasi dan skrip yang berjalan pada instance streaming WorkSpaces Aplikasi harus menyertakan AWS kredensyal dalam permintaan API mereka. AWS Anda dapat membuat peran IAM untuk mengelola kredensil ini. Peran IAM menentukan sekumpulan izin yang dapat Anda gunakan untuk mengakses sumber daya. AWS Namun, peran ini tidak terkait secara unik dengan satu orang. Sebaliknya, dapat diasumsikan oleh siapa saja yang membutuhkannya.

Anda dapat menerapkan peran IAM ke instance streaming WorkSpaces Aplikasi. Saat instance streaming beralih ke (mengasumsikan) peran, peran tersebut memberikan kredensyal keamanan sementara. Aplikasi atau skrip Anda menggunakan kredensyal ini untuk melakukan tindakan API dan tugas manajemen pada instance streaming. WorkSpaces Aplikasi mengelola sakelar kredensyal sementara untuk Anda.

**Topics**
+ [Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Mengkonfigurasi Peran IAM yang Ada untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [Cara Membuat Peran IAM untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [Cara Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi](how-to-use-iam-role-with-streaming-instances.md)

# Praktik Terbaik untuk Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Saat Anda menggunakan peran IAM dengan instans streaming WorkSpaces Aplikasi, kami sarankan Anda mengikuti praktik berikut:
+ Batasi izin yang Anda berikan untuk tindakan dan sumber daya AWS API.

  Ikuti prinsip hak istimewa paling sedikit saat Anda membuat dan melampirkan kebijakan IAM ke peran IAM yang terkait dengan instans streaming WorkSpaces Aplikasi. Saat Anda menggunakan aplikasi atau skrip yang memerlukan akses ke tindakan atau sumber daya AWS API, tentukan tindakan dan sumber daya spesifik yang diperlukan. Kemudian, buat kebijakan yang memungkinkan aplikasi atau skrip hanya melakukan tindakan tersebut. Untuk informasi lebih lanjut, lihat [Berikan hak istimewa terkecil](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*.
+ Buat peran IAM untuk setiap sumber daya WorkSpaces Aplikasi.

  Membuat peran IAM yang unik untuk setiap sumber daya WorkSpaces Aplikasi adalah praktik yang mengikuti prinsip hak istimewa paling sedikit. Melakukannya juga memungkinkan Anda mengubah izin untuk sumber daya tanpa memengaruhi sumber daya lainnya.
+ Batasi di mana kredensil dapat digunakan.

  Kebijakan IAM memungkinkan Anda menentukan kondisi di mana peran IAM Anda dapat digunakan untuk mengakses sumber daya. Misalnya, Anda dapat menyertakan kondisi untuk menentukan rentang alamat IP tempat permintaan dapat berasal. Melakukannya mencegah kredensyal digunakan di luar lingkungan Anda. Untuk informasi selengkapnya, lihat [Menggunakan Ketentuan Kebijakan untuk Keamanan Ekstra](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) di *Panduan Pengguna IAM*.

# Mengkonfigurasi Peran IAM yang Ada untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

Topik ini menjelaskan cara mengonfigurasi peran IAM yang ada sehingga Anda dapat menggunakannya dengan pembuat gambar dan instance streaming armada.

**Prasyarat**

Peran IAM yang ingin Anda gunakan dengan pembuat gambar WorkSpaces Aplikasi atau instance streaming armada harus memenuhi prasyarat berikut:
+ Peran IAM harus berada di akun Amazon Web Services yang sama dengan instans streaming WorkSpaces Aplikasi.
+ Peran IAM tidak dapat menjadi peran layanan.
+ Kebijakan hubungan kepercayaan yang dilampirkan pada peran IAM harus mencakup layanan WorkSpaces Aplikasi sebagai prinsipal. *Principal* adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan ini mendefinisikan WorkSpaces Aplikasi sebagai entitas tepercaya.

  
+ Jika Anda menerapkan peran IAM ke pembuat gambar, pembuat gambar harus menjalankan versi agen WorkSpaces Aplikasi yang dirilis pada atau setelah 3 September 2019. Jika Anda menerapkan peran IAM ke armada, armada harus menggunakan gambar yang menggunakan versi agen yang dirilis pada atau setelah tanggal yang sama. Untuk informasi selengkapnya, lihat [WorkSpaces Catatan Rilis Agen Aplikasi](agent-software-versions.md). 

**Untuk mengaktifkan prinsipal layanan WorkSpaces Aplikasi untuk mengambil peran IAM yang ada**

Untuk melakukan langkah-langkah berikut, Anda harus masuk ke akun sebagai pengguna IAM yang memiliki izin yang diperlukan untuk membuat daftar dan memperbarui peran IAM. Jika Anda tidak memiliki izin yang diperlukan, minta administrator akun Amazon Web Services Anda untuk melakukan langkah-langkah ini di akun Anda atau memberi Anda izin yang diperlukan.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**. 

1. Dalam daftar peran di akun Anda, pilih nama peran yang ingin Anda ubah.

1. Pilih tab **Hubungan kepercayaan**, dan kemudian pilih**Ubah hubungan kepercayaan**.

1. Di bawah **Dokumen Kebijakan**, verifikasi bahwa kebijakan hubungan kepercayaan mencakup `sts:AssumeRole` tindakan untuk kepala `appstream.amazonaws.com` layanan:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Setelah selesai mengubah kebijakan kepercayaan, pilih **Perbarui Kebijakan Kepercayaan** untuk menyimpan perubahan Anda. 

1. Peran IAM yang Anda pilih akan ditampilkan di konsol WorkSpaces Aplikasi. Peran ini memberikan izin ke aplikasi dan skrip untuk melakukan tindakan API dan tugas manajemen pada instance streaming.

# Cara Membuat Peran IAM untuk Digunakan Dengan Instans Streaming WorkSpaces Aplikasi
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

Topik ini menjelaskan cara membuat peran IAM baru sehingga Anda dapat menggunakannya dengan pembuat gambar dan instance streaming armada.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Untuk **Pilih tipe entitas tepercaya**, pilih **Layanan AWS **.

1. Dari daftar AWS layanan, pilih **WorkSpaces Aplikasi**.

1. Di bawah **Pilih kasus penggunaan Anda**, **WorkSpaces Aplikasi — Memungkinkan instans WorkSpaces Aplikasi untuk memanggil AWS layanan atas nama Anda** sudah dipilih. Pilih **Berikutnya: Izin**.

1. Jika memungkinkan, pilih kebijakan yang akan digunakan untuk kebijakan izin atau pilih **Buat kebijakan** untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat langkah 4 dalam prosedur [Membuat Kebijakan IAM (Konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) di *Panduan Pengguna IAM*.

   Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang ingin dimiliki WorkSpaces Aplikasi.

1. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan. Untuk informasi selengkapnya, lihat [Batas Izin untuk Entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) di Panduan Pengguna *IAM*.

1. Pilih **Berikutnya: Tanda**. Anda dapat secara opsional melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya, lihat [Menandai Pengguna dan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna *IAM*.

1. Pilih **Berikutnya: Tinjauan**.

1. Untuk **nama Peran**, ketikkan nama peran yang unik dalam akun Amazon Web Services Anda. Karena AWS sumber daya lain mungkin mereferensikan peran, Anda tidak dapat mengedit nama peran setelah dibuat.

1. Untuk **deskripsi Peran**, simpan deskripsi peran default atau ketik yang baru.

1. Tinjau peran lalu pilih **Buat peran**.

# Cara Menggunakan Peran IAM Dengan Instans Streaming WorkSpaces Aplikasi
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Setelah membuat peran IAM, Anda dapat menerapkannya ke pembuat gambar atau instance streaming armada saat meluncurkan pembuat gambar atau membuat armada. Anda juga dapat menerapkan peran IAM ke armada yang ada. Untuk informasi tentang cara menerapkan peran IAM saat Anda meluncurkan pembuat gambar, lihat[Luncurkan Image Builder untuk Menginstal dan Mengkonfigurasi Aplikasi Streaming](tutorial-image-builder-create.md). Untuk informasi tentang cara menerapkan peran IAM saat Anda membuat armada, lihat[Buat Armada di WorkSpaces Aplikasi Amazon](set-up-stacks-fleets-create.md).

Saat Anda menerapkan peran IAM ke pembuat gambar atau instance streaming armada, WorkSpaces Aplikasi mengambil kredensi sementara dan membuat profil kredensi **appstream\$1machine\$1role** pada instance. Kredensyal sementara berlaku selama 1 jam, dan kredensyal baru diambil setiap jam. Kredensyal sebelumnya tidak kedaluwarsa, sehingga Anda dapat menggunakannya selama valid. Anda dapat menggunakan profil kredensi untuk memanggil AWS layanan secara terprogram dengan menggunakan AWS Command Line Interface (AWS CLI), AWS Tools for PowerShell, atau AWS SDK dengan bahasa pilihan Anda.

Saat Anda melakukan panggilan API, tentukan **appstream\$1machine\$1role** sebagai profil kredensyal. Jika tidak, operasi gagal karena izin yang tidak mencukupi.

WorkSpaces Aplikasi mengasumsikan peran yang ditentukan saat instance streaming disediakan. Karena WorkSpaces Aplikasi menggunakan elastic network interface yang terpasang ke VPC Anda untuk panggilan AWS API, aplikasi atau skrip Anda harus menunggu elastis network interface tersedia sebelum melakukan panggilan AWS API. Jika panggilan API dilakukan sebelum elastic network interface tersedia, panggilan akan gagal.

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan profil kredenal **appstream\$1machine\$1role** untuk menggambarkan instans streaming (instans EC2) dan untuk membuat klien Boto. Boto adalah Amazon Web Services (AWS) SDK untuk Python. 

**Jelaskan Instans Streaming (instans EC2) dengan Menggunakan CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Jelaskan Instans Streaming (instans EC2) dengan Menggunakan Alat untuk AWS PowerShell**

Anda harus menggunakan AWS Tools untuk PowerShell versi 3.3.563.1 atau yang lebih baru, dengan Amazon Web Services SDK for .NET versi 3.3.103.22 atau yang lebih baru. Anda dapat mengunduh penginstal AWS Alat untuk Windows, yang mencakup AWS Alat untuk PowerShell dan Amazon Web Services SDK untuk.NET, dari [AWS Tools PowerShell](https://aws.amazon.com/powershell/) for website.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Membuat Klien Boto dengan Menggunakan AWS SDK untuk Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux di Red Hat Enterprise Linux dan Rocky Linux
<a name="selinux"></a>

Secara default, Security Enhanced Linux (SELinux) diatur `enabled` ke `enforcing` mode untuk pembuat gambar WorkSpaces Aplikasi dan instans streaming yang didukung oleh Red Hat Enterprise Linux dan Rocky Linux. Dalam `enforcing` mode, penolakan izin diberlakukan. SELinux adalah kumpulan fitur kernel dan utilitas untuk menyediakan arsitektur kontrol akses (MAC) yang kuat, fleksibel, wajib ke subsistem utama kernel.

SELinux menyediakan mekanisme yang disempurnakan untuk menegakkan pemisahan informasi berdasarkan persyaratan kerahasiaan dan integritas. Pemisahan informasi ini mengurangi ancaman gangguan dan melewati mekanisme keamanan aplikasi. Ini juga membatasi kerusakan yang dapat disebabkan oleh aplikasi berbahaya atau cacat.

SELinux mencakup serangkaian contoh file konfigurasi kebijakan keamanan yang dirancang untuk memenuhi tujuan keamanan sehari-hari. Untuk informasi selengkapnya tentang SELinux fitur dan fungsionalitas, lihat [Apa itu SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?

# Otentikasi Berbasis Cookie di Aplikasi Amazon WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Aplikasi menggunakan cookie browser untuk mengautentikasi sesi streaming dan memungkinkan pengguna untuk menyambung kembali ke sesi aktif tanpa memasukkan kembali kredensi masuk mereka setiap saat. Token otentikasi disimpan dalam cookie browser untuk setiap skenario otentikasi. Meskipun cookie diperlukan untuk banyak layanan online, mereka berpotensi rentan terhadap serangan pencurian cookie. Kami sangat menyarankan agar Anda mengambil tindakan proaktif untuk mencegah pencurian cookie, seperti menerapkan solusi perlindungan titik akhir yang kuat untuk perangkat pengguna Anda. Selain itu, untuk mengurangi dampak potensial jika terjadi pencurian cookie, kami menyarankan Anda untuk mempertimbangkan tindakan berikut:
+ **Menerapkan batas sesi tunggal**: Untuk gambar Windows WorkSpaces Aplikasi Anda, buat kunci registri di bawah `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` dengan nama **max-concurrent-clients**disetel ke 1 untuk hanya mengizinkan satu koneksi pada satu waktu. Ini membatasi jumlah sesi bersamaan menjadi satu, dan memblokir pencerminan sesi aktif. Untuk informasi selengkapnya, lihat [Parameter manajemen sesi](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Menegakkan kedaluwarsa sesi dan otentikasi ulang**
  + Kurangi SessionDuration nilainya sehingga token otentikasi kedaluwarsa setelah pengguna berhasil memulai sesi streaming. Menggunakan kembali cookie otentikasi setelah SessionDuration berakhir mengharuskan pengguna untuk mengautentikasi ulang diri mereka sendiri. SessionDuration menentukan jumlah waktu maksimum sesi streaming federasi untuk pengguna dapat tetap aktif sebelum otentikasi ulang diperlukan. Nilai default adalah 60 menit. Untuk informasi selengkapnya, lihat [Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAMP](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Untuk membantu memaksimalkan keamanan, pengguna harus mengakhiri sesi dengan benar dengan bilah alat (mengakhiri sesi), alih-alih menutup jendela streaming. Mengakhiri sesi melalui toolbar mengakhiri sesi pengguna dan instance streaming. Ini memerlukan autentikasi ulang untuk akses future, mencegah penyalahgunaan cookie. Jika pengguna menutup jendela streaming tanpa mengakhiri sesi, sesi dan instance tetap aktif untuk periode batas waktu pemutusan yang dapat dikonfigurasi (dalam menit). Batas waktu pemutusan harus berupa angka antara 1 dan 5760, dengan nilai default 15 menit. Untuk mencegah penyalahgunaan sesi tidak aktif, sebaiknya atur batas waktu pemutusan singkat. Untuk informasi selengkapnya, lihat [Buat Armada di WorkSpaces Aplikasi Amazon](set-up-stacks-fleets-create.md).
+ **Batasi akses untuk mengalirkan WorkSpaces aplikasi Aplikasi ke rentang IP Anda**: Kami menyarankan Anda menerapkan kebijakan IAM berbasis IP. Ini memastikan bahwa sesi WorkSpaces Aplikasi hanya dapat diakses dari klien yang alamat IP-nya termasuk dalam rentang IP resmi. Semua upaya koneksi yang dimulai oleh pengguna yang alamat IP kliennya berada di luar jangkauan resmi akan ditolak, bahkan jika mereka menyajikan cookie otentikasi yang valid (berpotensi dicuri dari pengguna). Untuk informasi selengkapnya, lihat [Batasi akses untuk mengalirkan aplikasi Amazon AppStream 2.0 ke rentang IP Anda](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Tambahkan autentikasi tambahan**: Untuk meluncurkan instans streaming yang bergabung dengan domain, Anda dapat menggabungkan armada Windows dan pembuat gambar WorkSpaces Aplikasi Selalu Aktif dan Sesuai Permintaan ke domain di Microsoft Active Directory, dan menggunakan domain Active Directory yang ada, baik berbasis cloud maupun lokal. Setelah autentikasi berbasis SAML awal, pengguna Anda akan diminta untuk memberikan kredensi domain mereka untuk otentikasi tambahan terhadap domain organisasi. Untuk informasi selengkapnya, lihat [Menggunakan Active Directory dengan WorkSpaces Aplikasi](active-directory.md).

 Jika Anda memiliki masalah atau membutuhkan bantuan, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/).