翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon WorkSpaces アプリケーションの Identity and Access Management
<a name="controlling-access"></a>

セキュリティ認証情報は、 の サービスを識別 AWS し、WorkSpaces アプリケーション AWS リソースなどの リソースを無制限に使用できるようにします。WorkSpaces アプリケーションおよび AWS Identity and Access Management (IAM) の機能を使用すると、他のユーザー、サービス、アプリケーションがセキュリティ認証情報を共有せずに WorkSpaces アプリケーションリソースを使用できるようになります。

IAM を使用して、他のユーザーが Amazon Web Services アカウントのリソースを使用する方法を制御できます。また、セキュリティグループを使用して WorkSpaces アプリケーションストリーミングインスタンスへのアクセスを制御できます。WorkSpaces アプリケーションリソースのフル使用または制限付き使用を許可できます。

**Topics**
+ [ストリーミングインスタンスへのネットワークアクセス](network-access-to-streaming-instances.md)
+ [AWS マネージドポリシーとリンクされたロールを使用して WorkSpaces アプリケーションリソースへの管理者アクセスを管理する](controlling-administrator-access-with-policies-roles.md)
+ [IAM ポリシーを使用して Application Auto Scaling への管理者アクセスを管理する](autoscaling-iam-policy.md)
+ [IAM ポリシーを使用したホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの管理](s3-iam-policy.md)
+ [IAM ロールを使用して WorkSpaces アプリケーションストリーミングインスタンスで実行されるアプリケーションとスクリプトにアクセス許可を付与する](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Red Hat Enterprise Linux および Rocky Linux の SELinux](selinux.md)
+ [Amazon WorkSpaces アプリケーションでの Cookie ベースの認証](cookie-auth.md)

# ストリーミングインスタンスへのネットワークアクセス
<a name="network-access-to-streaming-instances"></a>

セキュリティグループは、ストリーミングインスタンスに到達できるトラフィックを制御するステートフルなファイアウォールとして機能します。WorkSpaces Applications ストリーミングインスタンスを起動するときは、1 つ以上のセキュリティグループに割り当てます。セキュリティグループのそれぞれに、そのインスタンスへのトラフィックを制御するルールを追加できます。セキュリティグループのルールはいつでも変更できます。新しいルールは、セキュリティグループが割り当てられているすべてのインスタンスに自動的に適用されます。

詳細については、「[Amazon WorkSpaces アプリケーションのセキュリティグループ](managing-network-security-groups.md)」を参照してください。

# AWS マネージドポリシーとリンクされたロールを使用して WorkSpaces アプリケーションリソースへの管理者アクセスを管理する
<a name="controlling-administrator-access-with-policies-roles"></a>

デフォルトでは、IAM ユーザーには WorkSpaces アプリケーションリソースを作成または変更したり、WorkSpaces アプリケーション API を使用してタスクを実行したりするために必要なアクセス許可はありません。つまり、これらのユーザーは WorkSpaces アプリケーションコンソールまたは WorkSpaces アプリケーション AWS CLI コマンドを使用してこれらのアクションを実行できません。IAM ユーザーがリソースを作成または変更し、タスクを実行できるようにするには、それらのアクセス許可を必要とする IAM ユーザーまたはグループに IAM ポリシーをアタッチします。

ポリシーをユーザー、ユーザーのグループ、または IAM ロールにアタッチする場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。

**Topics**
+ [AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー](managed-policies-required-to-access-appstream-resources.md)
+ [WorkSpaces アプリケーション、Application Auto Scaling、および AWS Certificate Manager プライベート CA に必要なロール](roles-required-for-appstream.md)
+ [AmazonAppStreamServiceAccess のサービスロールおよびポリシーを確認する](controlling-access-checking-for-iam-service-access.md)
+ [ApplicationAutoScalingForAmazonAppStreamAccess サービスロールとポリシーの確認](controlling-access-checking-for-iam-autoscaling.md)
+ [`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` サービスにリンクされたロールとポリシーの確認](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [AmazonAppStreamPCAAccess のサービスロールおよびポリシーを確認する](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー
<a name="managed-policies-required-to-access-appstream-resources"></a>

WorkSpaces アプリケーションへの完全な管理アクセスまたは読み取り専用アクセスを提供するには、これらのアクセス許可を必要とする IAM ユーザーまたはグループに、次のいずれか AWS の管理ポリシーをアタッチする必要があります。*AWS 管理ポリシー*は、 AWSが作成および管理するスタンドアロンポリシーです。詳細については、「IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

**注記**  
では AWS、IAM ロールを使用して AWS サービスにアクセス許可を付与し、 AWS リソースにアクセスできるようにします。ロールにアタッチされているポリシーによって、サービスがアクセスできる AWS リソースと、それらのリソースで何ができるかが決まります。WorkSpaces アプリケーションの場合、**AmazonAppStreamFullAccess** ポリシーで定義されたアクセス許可に加えて、 AWS アカウントに必要なロールも必要です。詳細については、「[WorkSpaces アプリケーション、Application Auto Scaling、および AWS Certificate Manager プライベート CA に必要なロール](roles-required-for-appstream.md)」を参照してください。

**AmazonAppStreamFullAccess**  
この管理ポリシーは、WorkSpaces アプリケーションリソースへの完全な管理アクセスを提供します。WorkSpaces アプリケーションリソースを管理し、コマンドラインインターフェイス (AWS CLI)、 AWS SDK、または AWS マネジメントコンソールを使用して API AWS アクションを実行するには、このポリシーで定義されているアクセス許可が必要です。  
IAM ユーザーとして WorkSpaces アプリケーションコンソールにサインインする場合は、このポリシーを にアタッチする必要があります AWS アカウント。コンソールのフェデレーションを使用してサインインする場合は、フェデレーションで使用した IAM ロールにこのポリシーをアタッチする必要があります。  
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html)」を参照してください。

**AmazonAppStreamReadOnlyAccess**  
このアイデンティティベースのポリシーは、WorkSpaces アプリケーションリソースおよび関連するサービス設定を表示およびモニタリングするための読み取り専用アクセス許可をユーザーに付与します。ユーザーは WorkSpaces アプリケーションコンソールにアクセスして、ストリーミングアプリケーション、フリートステータス、使用状況レポート、および関連リソースを表示できますが、変更を加えることはできません。このポリシーには、包括的なモニタリングとレポート機能を有効にするために、IAM、Application 自動スケーリング、CloudWatch などのサービスをサポートするために必要な読み取りアクセス許可も含まれています。  
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)」を参照してください。

WorkSpaces アプリケーションコンソールは、CLI または AWS SDK AWS では利用できない機能を提供する追加のアクションを使用します。**AmazonAppStreamFullAccess** ポリシーと **AmazonAppStreamReadOnlyAccess** ポリシーのどちらも、次のアクションのアクセス許可を提供します。


| アクション | 説明 | アクセスレベル | 
| --- | --- | --- | 
| DescribeImageBuilders | イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 | 読み取り | 

**AmazonAppStreamPCAAccess**  
この管理ポリシーは、証明書ベースの認証のために、 AWS アカウントの Certificate Manager プライベート CA リソースへの AWS 完全な管理アクセスを提供します。  
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)」を参照してください。

**AmazonAppStreamServiceAccess**  
この管理ポリシーは、WorkSpaces アプリケーションサービスロールのデフォルトポリシーです。  
このロールのアクセス許可ポリシーにより、WorkSpaces アプリケーションは次のアクションを実行できます。  
+ WorkSpaces アプリケーションフリートのアカウントでサブネットを使用する場合、WorkSpaces アプリケーションはサブネット、VPCs、アベイラビリティーゾーンを記述し、それらのサブネット内のフリートインスタンスに関連付けられたすべての Elastic Network Interface のライフサイクルを作成および管理できます。これには、サブネットからそれらの Elastic Network Interface にセキュリティグループと IP アドレスをアタッチする機能も含まれます。
+ UPP や HomeFolders などの機能を使用する場合、WorkSpaces アプリケーションはアカウントで Amazon S3 バケット、オブジェクトとそのライフサイクル、ポリシー、暗号化設定を作成および管理できます。これらのバケットには、次の命名プレフィックスが含まれます。
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
このポリシーのアクセス許可を表示する方法については、「[AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)」を参照してください。

**ApplicationAutoScalingForAmazonAppStreamAccess**  
この管理ポリシーは、WorkSpaces アプリケーションのアプリケーションの自動スケーリングを有効にします。  
このポリシーのアクセス許可を表示する方法については、「[「ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)」を参照してください。

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
この管理ポリシーは、Application Auto Scaling が WorkSpaces アプリケーションと CloudWatch にアクセスするためのアクセス許可を付与します。  
このポリシーのアクセス許可を表示する方法については、「[AWSApplicationAutoscalingAppStreamFleetPolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)」を参照してください。

## AWS マネージドポリシーへの WorkSpaces アプリケーションの更新
<a name="security-iam-awsmanpol-updates"></a>



このサービスがこれらの変更の追跡を開始してからの WorkSpaces アプリケーションの AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、[Amazon WorkSpaces アプリケーションのドキュメント履歴](doc-history.md) ページの RSS フィードを購読してください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess – 変更  |   ポリシー JSON ポリシードキュメント`"ec2:DescribeImages"`に の許可アクセス許可を追加  | 2025 年 11 月 17 日 | 
|  AmazonAppStreamReadOnlyAccess – 変更  |   JSON ポリシードキュメントから `"appstream:Get*",` を削除しました  | 2025 年 10 月 22 日 | 
|  WorkSpaces アプリケーションが変更の追跡を開始しました  |  WorkSpaces アプリケーションが AWS 管理ポリシーの変更の追跡を開始  | 2022 年 10 月 31 日 | 

# WorkSpaces アプリケーション、Application Auto Scaling、および AWS Certificate Manager プライベート CA に必要なロール
<a name="roles-required-for-appstream"></a>

では AWS、IAM ロールを使用して AWS サービスにアクセス許可を付与し、 AWS リソースにアクセスできるようにします。ロールにアタッチされているポリシーによって、サービスがアクセスできる AWS リソースと、それらのリソースで何ができるかが決まります。WorkSpaces アプリケーションの場合、**AmazonAppStreamFullAccess** ポリシーで定義されたアクセス許可に加えて、 AWS アカウントに次のロールも必要です。

**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

このロールは、 AWS リージョンで WorkSpaces アプリケーションの使用を開始すると自動的に作成されるサービスロールです。サービスロールの詳細については、*IAM ユーザーガイド*の[「 AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。

WorkSpaces Applications リソースの作成中に、WorkSpaces Applications サービスは、このロールを引き受けることで、ユーザーに代わって他の AWS のサービスへの API コールを行います。フリートを作成するには、アカウントにこのロールが必要です。このロールが AWS アカウントになく、必要な IAM アクセス許可と信頼関係ポリシーがアタッチされていない場合、WorkSpaces アプリケーションフリートを作成することはできません。

詳細については、「[AmazonAppStreamServiceAccess のサービスロールおよびポリシーを確認する](controlling-access-checking-for-iam-service-access.md)」を参照して、**AmazonAppStreamServiceAccess** サービスロールの有無と、適切なポリシーがアタッチされているかどうかを確認してください。

**注記**  
このサービスロールには、WorkSpaces アプリケーションの使用を開始する最初のユーザーとは異なるアクセス許可を持つことができます。このロールのアクセス許可の詳細については、「[AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー](managed-policies-required-to-access-appstream-resources.md)」の「AmazonAppStreamServiceAccess」を参照してください。

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

このロールは、 AWS リージョンで WorkSpaces アプリケーションの使用を開始すると自動的に作成されるサービスロールです。サービスロールの詳細については、*IAM ユーザーガイド*の[「 AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。

自動スケーリングは、WorkSpaces Applications フリートの機能です。スケーリングポリシーを設定するには、 AWS アカウントにこのサービスロールが必要です。このサービスロールが AWS アカウントになく、必要な IAM アクセス許可と信頼関係ポリシーがアタッチされていない場合、WorkSpaces アプリケーションフリートをスケールすることはできません。

詳細については、「[ApplicationAutoScalingForAmazonAppStreamAccess サービスロールとポリシーの確認](controlling-access-checking-for-iam-autoscaling.md)」を参照してください。

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

このロールは、自動的に作成されるサービスにリンクされたロールです。詳細については、*アプリケーション Auto Scaling ユーザーガイド*の「[サービスにリンクされたロール](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)」を参照してください。

Application Auto Scaling は、サービスにリンクされたロールを使用して、ユーザーに代わって自動スケーリングを実行します。*サービスにリンクされたロール*は、 AWS サービスに直接リンクされた IAM ロールです。このロールには、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。

詳細については、「[`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` サービスにリンクされたロールとポリシーの確認](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)」を参照してください。

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

このロールは、 AWS リージョンで WorkSpaces アプリケーションの使用を開始すると自動的に作成されるサービスロールです。サービスロールの詳細については、*IAM ユーザーガイド*の[「 AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。

証明書ベースの認証は、Microsoft Active Directory ドメインに結合された WorkSpaces アプリケーションフリートの機能です。証明書ベースの認証を有効にして使用するには、 AWS アカウントにこのサービスロールが必要です。このサービスロールが AWS アカウントになく、必要な IAM アクセス許可と信頼関係ポリシーがアタッチされていない場合、証明書ベースの認証を有効化または使用することはできません。

詳細については、「[AmazonAppStreamPCAAccess のサービスロールおよびポリシーを確認する](controlling-access-checking-for-AppStreamPCAAccess.md)」を参照してください。

# AmazonAppStreamServiceAccess のサービスロールおよびポリシーを確認する
<a name="controlling-access-checking-for-iam-service-access"></a>

**AmazonAppStreamServiceAccess** サービスロールの有無と、適切なポリシーがアタッチされているかどうかを確認するには、このセクションのステップを実行します。このロールがアカウントになく、作成する必要がある場合、ユーザーまたは必要なアクセス許可を持つ管理者は、Amazon Web Services アカウントの WorkSpaces アプリケーションの使用を開始するステップを実行する必要があります。

**AmazonAppStreamServiceAccess の IAM サービスロールの有無を確認するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで **Roles (ロール) ** を選択してください。

1. 検索ボックスに **amazonappstreamservice** と入力して、選択するロールのリストを絞り込み、[**AmazonAppStreamServiceAccess**] を選択します。表示されたら、このロールを選択して、ロールの [**概要**] ページを表示します。

1. [**アクセス許可**] タブで、**AmazonAppStreamServiceAccess** アクセス許可ポリシーがアタッチされているかどうかを確認します。

1. ロールの [**概要**] ページに戻ります。

1. [**信頼関係**] タブで、[**Show policy document (ポリシードキュメントの表示)**] を選択して、**AmazonAppStreamServiceAccess** 信頼関係ポリシーがアタッチされていて、適切な形式に従っているかどうかを確認します。アタッチされている場合、信頼関係は正しく設定されています。[**Cancel (キャンセル)**] を選択して、IAM コンソールを閉じます。

## AmazonAppStreamServiceAccess 信頼関係ポリシー
<a name="controlling-access-service-access-trust-policy"></a>

**AmazonAppStreamServiceAccess** 信頼関係ポリシーには、WorkSpaces アプリケーションサービスをプリンシパルとして含める必要があります。*プリンシパル*は、 AWS アクションを実行し、リソースにアクセスできる のエンティティです。このポリシーには `sts:AssumeRole` アクションも含める必要があります。次のポリシー設定では、WorkSpaces アプリケーションを信頼されたエンティティとして定義します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# ApplicationAutoScalingForAmazonAppStreamAccess サービスロールとポリシーの確認
<a name="controlling-access-checking-for-iam-autoscaling"></a>

**ApplicationAutoScalingForAmazonAppStreamAccess** サービスロールの有無と、適切なポリシーがアタッチされているかどうかを確認するには、このセクションのステップを実行します。このロールがアカウントになく、作成する必要がある場合、ユーザーまたは必要なアクセス許可を持つ管理者は、Amazon Web Services アカウントの WorkSpaces アプリケーションの使用を開始するステップを実行する必要があります。

**ApplicationAutoScalingForAmazonAppStreamAccess IAM サービスロールが存在するかどうかを確認するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで **Roles (ロール) ** を選択してください。

1. 検索ボックスに「**applicationautoscaling**」と入力して、選択するロールのリストを絞り込み、**[ApplicationAutoScalingForAmazonAppStreamAccess]** を選択します。表示されたら、このロールを選択して、ロールの [**概要**] ページを表示します。

1. **[アクセス許可]** タブで、**[ApplicationAutoScalingForAmazonAppStreamAccess]** アクセス許可ポリシーがアタッチされているかどうかを確認します。

1. ロールの [**概要**] ページに戻ります。

1. **[信頼関係]** タブで、**[ポリシードキュメントの表示]** を選択して、**[ApplicationAutoScalingForAmazonAppStreamAccess]** 信頼関係ポリシーがアタッチされていて、適切な形式に従っているかどうかを確認します。アタッチされている場合、信頼関係は正しく設定されています。[**Cancel (キャンセル)**] を選択して、IAM コンソールを閉じます。

## ApplicationAutoScalingForAmazonAppStreamAccess 信頼関係ポリシー
<a name="controlling-access-autoscaling-trust-policy"></a>

**ApplicationAutoScalingForAmazonAppStreamAccess** 信頼関係ポリシーには、Application Auto Scaling サービスをプリンシパルとして含める必要があります。このポリシーには `sts:AssumeRole` アクションも含める必要があります。次のポリシー設定では、Application Auto Scaling を信頼されたエンティティとして定義しています。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` サービスにリンクされたロールとポリシーの確認
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` サービスにリンクされたロールの有無と、適切なポリシーがアタッチされているかどうかを確認するには、このセクションのステップを実行します。このロールがアカウントになく、作成する必要がある場合、ユーザーまたは必要なアクセス許可を持つ管理者は、Amazon Web Services アカウントの WorkSpaces アプリケーションの使用を開始するステップを実行する必要があります。

**`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` IAM サービスにリンクされたロールが存在するかどうかを確認するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで **Roles (ロール) ** を選択してください。

1. 検索ボックスに **applicationautoscaling** と入力して、選択するロールのリストを絞り込み、`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` を選択します。表示されたら、このロールを選択して、ロールの [**概要**] ページを表示します。

1. **[Permissions]** (アクセス許可) タブで、`AWSApplicationAutoscalingAppStreamFleetPolicy` アクセス許可ポリシーがアタッチされているかどうかを確認します。

1. [**ロール**] の概要ページに戻ります。

1. **[信頼関係]** タブで、**[ポリシードキュメントの表示]** を選択して、`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`[] 信頼関係ポリシーがアタッチされていて、適切な形式に従っているかどうかを確認します。アタッチされている場合、信頼関係は正しく設定されています。[**Cancel (キャンセル)**] を選択して、IAM コンソールを閉じます。

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet 信頼関係ポリシー
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 信頼関係ポリシーには、プリンシパルとして **appstream.application-autoscaling.amazonaws.com** を含める必要があります。このポリシーには `sts:AssumeRole` アクションも含める必要があります。次のポリシー設定では、**appstream.application-autoscaling.amazonaws.com** を信頼されたエンティティとして定義しています。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# AmazonAppStreamPCAAccess のサービスロールおよびポリシーを確認する
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

**AmazonAppStreamPCAAccess** サービスロールの有無と、適切なポリシーがアタッチされているかどうかを確認するには、このセクションのステップを実行します。このロールがアカウントになく、作成する必要がある場合、ユーザーまたは必要なアクセス許可を持つ管理者は、Amazon Web Services アカウントの WorkSpaces アプリケーションの使用を開始するステップを実行する必要があります。

**AmazonAppStreamPCAAccess の IAM サービスロールの有無を確認するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで **Roles (ロール) ** を選択してください。

1. 検索ボックスに「**appstreampca**」と入力して、選択するロールのリストを絞り込み、[**AmazonAppStreamPCAAccess**] を選択します。表示されたら、このロールを選択して、ロールの [**概要**] ページを表示します。

1. [**アクセス許可**] タブで、**AmazonAppStreamPCAAccess** アクセス権限ポリシーがアタッチされているかどうかを確認します。

1. [**ロール**] の概要ページに戻ります。

1. [**信頼関係**] タブで、[**Show policy document**] (ポリシードキュメントの表示) を選択して、**AmazonAppStreamPCAAccess** 信頼関係ポリシーがアタッチされていて、適切な形式に従っているかどうかを確認します。アタッチされている場合、信頼関係は正しく設定されています。[**Cancel (キャンセル)**] を選択して、IAM コンソールを閉じます。

## AmazonAppStreamPCAAccess 信頼関係ポリシー
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

**AmazonAppStreamPCAAccess** 信頼関係ポリシーには、prod.euc.ecm.amazonaws.com をプリンシパルとして含める必要があります。このポリシーには `sts:AssumeRole` アクションも含める必要があります。次のポリシー設定は、ECM を信頼されたエンティティとして定義します。

**CLI を使用して AmazonAppStreamPCAAccess AWS 信頼関係ポリシーを作成するには**

1. `AmazonAppStreamPCAAccess.json` という名前の JSON ファイルを次の内容で作成します。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. 必要に応じて`AmazonAppStreamPCAAccess.json`パスを調整し、次の AWS CLI コマンドを実行して信頼関係ポリシーを作成し、AmazonAppStreamPCAAccess 管理ポリシーをアタッチします。管理ポリシーの詳細については、「[AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー](managed-policies-required-to-access-appstream-resources.md)」を参照してください。

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# IAM ポリシーを使用して Application Auto Scaling への管理者アクセスを管理する
<a name="autoscaling-iam-policy"></a>

フリートの自動スケーリングは、WorkSpaces アプリケーション、Amazon CloudWatch、および Application Auto Scaling APIs。WorkSpaces アプリケーションフリートは WorkSpaces アプリケーションを使用して作成され、アラームは CloudWatch を使用して作成され、スケーリングポリシーは Application Auto Scaling を使用して作成されます。

[AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md) ポリシーで定義されたアクセス許可に加えて、フリートスケーリング設定にアクセスする IAM ユーザーには、動的スケーリングをサポートするサービスに必要なアクセス許可が必要です。IAM ユーザーには、次のポリシー例に示すアクションを使用するためのアクセス許可が必要です。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

独自の IAM ポリシーを作成して、Application Auto Scaling API への呼び出しに対してより具体的なアクセス許可を設定することもできます。詳細については、アプリケーションの Auto Scaling ユーザーガイドの「認証とアクセスコントロール」を参照してください。[https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html)**

# IAM ポリシーを使用したホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの管理
<a name="s3-iam-policy"></a>

次の例では、IAM ポリシーを使用して、ホームフォルダとアプリケーション設定の永続化のために Amazon S3 バケットへのアクセスを管理する方法を示します。

**Topics**
+ [ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットの削除](s3-iam-policy-delete.md)
+ [ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの制限](s3-iam-policy-restricted-access.md)

# ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットの削除
<a name="s3-iam-policy-delete"></a>

WorkSpaces Applications は、作成するバケットに Amazon S3 バケットポリシーを追加して、誤って削除されないようにします。S3 バケットを削除するには、最初に S3 バケットポリシーを削除する必要があります。ホームフォルダおよびアプリケーション設定の永続化用のバケットポリシーとして削除するものは、以下のとおりです。

**ホームフォルダポリシー**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**アプリケーション設定の永続化ポリシー**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[Deleting or Emptying a Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html)」を参照してください。

# ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの制限
<a name="s3-iam-policy-restricted-access"></a>

デフォルトでは、WorkSpaces アプリケーションによって作成された Amazon S3 バケットにアクセスできる管理者は、ユーザーのホームフォルダおよび永続的なアプリケーション設定の一部であるコンテンツを表示および変更できます。ユーザーファイルが含まれている S3 バケットへの管理者アクセスを制限するには、次のテンプレートに基づく S3 バケットアクセスポリシーを適用することをお勧めします。

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

このポリシーは、指定されたユーザーと WorkSpaces アプリケーションサービスへの S3 バケットアクセスのみを許可します。アクセス権が必要な IAM ユーザーごとに、次の行をレプリケートします。

```
"arn:aws:iam::account:user/IAM-user-name"
```

次のポリシー例では、marymajor と johnstiles を除くすべての IAM ユーザーに対して、ホームフォルダの S3 バケットへのアクセスを制限します。また、アカウント ID 123456789012 の米国西部 (オレゴン) AWS リージョンの WorkSpaces アプリケーションサービスへのアクセスも許可します。

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# IAM ロールを使用して WorkSpaces アプリケーションストリーミングインスタンスで実行されるアプリケーションとスクリプトにアクセス許可を付与する
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

WorkSpaces アプリケーションストリーミングインスタンスで実行されるアプリケーションとスクリプトには、 AWS API リクエストに AWS 認証情報を含める必要があります。IAM ロールを作成して、これらの認証情報を管理できます。IAM ロールは、 AWS リソースへのアクセスに使用できる一連のアクセス許可を指定します。ただし、このロールは 1 人のユーザーに一意に関連付けられるわけではありません。代わりに、それを必要とするすべてのユーザーが引き受けることができます。

WorkSpaces アプリケーションストリーミングインスタンスに IAM ロールを適用できます。ストリーミングインスタンスがロールに切り替える (引き受ける) と、ロールは一時的なセキュリティ認証情報を提供します。アプリケーションまたはスクリプトはこれらの認証情報を使用して、ストリーミングインスタンスで API アクションおよび管理タスクを実行します。WorkSpaces アプリケーションは、一時的な認証情報スイッチを管理します。

**Topics**
+ [WorkSpaces アプリケーションストリーミングインスタンスで IAM ロールを使用するためのベストプラクティス](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [WorkSpaces アプリケーションストリーミングインスタンスで使用する既存の IAM ロールの設定](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [WorkSpaces アプリケーションストリーミングインスタンスで使用する IAM ロールを作成する方法](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [WorkSpaces アプリケーションストリーミングインスタンスで IAM ロールを使用する方法](how-to-use-iam-role-with-streaming-instances.md)

# WorkSpaces アプリケーションストリーミングインスタンスで IAM ロールを使用するためのベストプラクティス
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

WorkSpaces アプリケーションストリーミングインスタンスで IAM ロールを使用する場合は、次のプラクティスに従うことをお勧めします。
+  AWS API アクションとリソースに付与するアクセス許可を制限します。

  WorkSpaces アプリケーションストリーミングインスタンスに関連付けられた IAM ロールに IAM ポリシーを作成してアタッチするときは、最小特権の原則に従います。 AWS API アクションまたはリソースへのアクセスを必要とするアプリケーションまたはスクリプトを使用する場合は、必要な特定のアクションとリソースを決定します。次に、アプリケーションまたはスクリプトがこれらのアクションのみを実行できるようにするポリシーを作成します。詳細については、*「IAM ユーザーガイド」*の[「Grant Least Privilege」](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)(最小権限を付与する) を参照してください。
+ WorkSpaces Applications リソースごとに IAM ロールを作成します。

  WorkSpaces Applications リソースごとに一意の IAM ロールを作成することは、最小特権の原則に従うプラクティスです。これにより、他のリソースに影響を与えることなく、リソースのアクセス許可を変更することもできます。
+ 認証情報を使用できる場所を制限します。

  IAM ポリシーでは、IAM ロールを使用してリソースにアクセスするための条件を定義できます。たとえば、リクエスト元の IP アドレスの範囲を指定する条件を含めることができます。これにより、認証情報が環境外で使用されなくなります。詳細については、*IAM ユーザーガイド*の「[追加セキュリティに対するポリシー条件を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions)」を参照してください。

# WorkSpaces アプリケーションストリーミングインスタンスで使用する既存の IAM ロールの設定
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

このトピックでは、Image Builder およびフリートストリーミングインスタンスで使用できるように、既存の IAM ロールを設定する方法について説明します。

**前提条件**

WorkSpaces Applications Image Builder またはフリートストリーミングインスタンスで使用する IAM ロールは、次の前提条件を満たす必要があります。
+ IAM ロールは、WorkSpaces アプリケーションストリーミングインスタンスと同じ Amazon Web Services アカウントに存在する必要があります。
+ IAM ロールをサービスロールにすることはできません。
+ IAM ロールにアタッチされている信頼関係ポリシーには、WorkSpaces アプリケーションサービスをプリンシパルとして含める必要があります。*プリンシパル*は、アクションを実行し AWS 、リソースにアクセスできる のエンティティです。ポリシーには `sts:AssumeRole` アクションも含める必要があります。このポリシー設定では、WorkSpaces アプリケーションを信頼されたエンティティとして定義します。

  
+ Image Builder に IAM ロールを適用する場合、Image Builder は 2019 年 9 月 3 日以降にリリースされたバージョンの WorkSpaces Applications エージェントを実行する必要があります。フリートに IAM ロールを適用する場合、フリートは同じ日付以降にリリースされたバージョンのエージェントを使用するイメージを使用する必要があります。詳細については、「[WorkSpaces アプリケーションエージェントのリリースノート](agent-software-versions.md)」を参照してください。

**WorkSpaces Applications サービスプリンシパルが既存の IAM ロールを引き受けるようにするには**

以下のステップを実行するには、IAM ロールを一覧表示および更新するために必要なアクセス許可を持つ IAM ユーザーとしてアカウントにサインインする必要があります。必要なアクセス許可がない場合は、お客様の Amazon Web Services アカウント管理者に対し、アカウントでこれらのステップを実行するか、必要なアクセス許可をお客様に付与するかのどちらかを依頼します。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで **Roles (ロール) ** を選択してください。

1. アカウントのロールの一覧で、変更するロールの名前を選択します。

1. [**Trust relationships**] タブを選択し、続いて [**Edit trust relationship**] を選択します。

1. [**Policy Document (ポリシードキュメント)**]で、信頼関係ポリシーに `appstream.amazonaws.com` サービスプリンシパルの `sts:AssumeRole` アクションが含まれていることを確認します。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 信頼ポリシーの編集を完了したら、[**信頼ポリシーの更新**] を選択して変更を保存します。

1. 選択した IAM ロールが WorkSpaces アプリケーションコンソールに表示されます。このロールは、ストリーミングインスタンスで API アクションおよび管理タスクを実行するアクセス許可をアプリケーションとスクリプトに付与します。

# WorkSpaces アプリケーションストリーミングインスタンスで使用する IAM ロールを作成する方法
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

このトピックでは、Image Builder およびフリートストリーミングインスタンスで使用できるように、新しい IAM ロールを作成する方法について説明します。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで **[Roles]** (ロール) を選択してから、**[Create role]** (ロールを作成する) を選択します。

1. **信頼できるエンティティの種類の選択** で、**AWS サービス** を選択します。

1.  AWS サービスのリストから、**WorkSpaces アプリケーション**を選択します。

1. **「ユースケースの選択**」で、**WorkSpaces アプリケーション — WorkSpaces アプリケーションインスタンスがユーザーに代わって AWS サービスを呼び出すことを**許可はすでに選択されています。**[Next: Permissions]** (次のステップ: 許可) を選択します。

1. 可能な場合は、アクセス許可ポリシーとして使用するポリシーを選択するか、[**ポリシーの作成**] を選択して新しいブラウザタブを開き、新しいポリシーをゼロから作成します。詳細については、*IAM ユーザーガイド*の「[IAM ポリシーの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)」のステップ 4 を参照してください。

   ポリシーを作成したら、そのタブを閉じて元のタブに戻ります。WorkSpaces アプリケーションに付与するアクセス許可ポリシーの横にあるチェックボックスをオンにします。

1. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。詳細については、*IAM ユーザーガイド*の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。

1. **[Next: Tags]** (次へ: タグ) を選択します。オプションで、タグをキーと値のペアとしてアタッチできます。詳細については、*IAM ユーザーガイド*の「[IAM リソースのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。

1. **[次へ: レビュー]** を選択します。

1. [**Role name**] (ロール名) に、Amazon Web Services アカウント内で一意のロール名を入力します。他の AWS リソースはロールを参照する可能性があるため、作成後にロールの名前を編集することはできません。

1. [**ロールの説明**] に、デフォルトのロールの説明をそのまま使用するか、新しいロールの説明を入力します。

1. ロールを確認したら、**[ロールを作成]** を選択します。

# WorkSpaces アプリケーションストリーミングインスタンスで IAM ロールを使用する方法
<a name="how-to-use-iam-role-with-streaming-instances"></a>

IAM ロールを作成したら、Image Builder を起動するとき、またはフリートを作成するときに、そのロールを Image Builder またはフリートストリーミングインスタンスに適用できます。既存のフリートに IAM ロールを適用することもできます。Image Builder を起動するときに IAM ロールを適用する方法については、[Image Builder を起動し、ストリーミングアプリケーションをインストールして設定する](tutorial-image-builder-create.md) を参照してください。フリートを作成するときに IAM ロールを適用する方法については、[Amazon WorkSpaces アプリケーションでフリートを作成する](set-up-stacks-fleets-create.md) を参照してください。

Image Builder またはフリートストリーミングインスタンスに IAM ロールを適用すると、WorkSpaces Applications は一時的な認証情報を取得し、インスタンスに **appstream\$1machine\$1role** 認証情報プロファイルを作成します。一時的な認証情報は 1 時間有効で、新しい認証情報は 1 時間ごとに取得されます。以前の認証情報は失効しないため、有効である限り使用できます。認証情報プロファイルを使用して、選択した言語で コマンドラインインターフェイス (AWS CLI)、 AWS Tools for PowerShell、または AWS SDK AWS を使用してプログラムで AWS サービスを呼び出すことができます。

API コールを行う場合、認証情報プロファイルとして **appstream\$1machine\$1role** を指定します。それ以外の場合、アクセス許可が不十分なため、オペレーションは失敗します。

WorkSpaces アプリケーションは、ストリーミングインスタンスのプロビジョニング中に指定されたロールを引き受けます。WorkSpaces Applications は VPC にアタッチされている Elastic Network Interface を AWS API コールに使用するため、アプリケーションまたはスクリプトは、Elastic Network Interface が使用可能になるまで待ってから AWS API コールを行う必要があります。Elastic Network Interface が使用可能になる前に API 呼び出しが行われると、呼び出しは失敗します。

以下の例では、**appstream\$1machine\$1role** 認証情報プロファイルを使用して、ストリーミングインスタンス (EC2 インスタンス) を記述し、Boto クライアントを作成する方法を示します。Boto は、Amazon Web Services (AWS) SDK for Python です。

**CLI を使用してストリーミングインスタンス (EC2 インスタンス) AWS を記述する**

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

** AWS Tools for PowerShell を使用してストリーミングインスタンス (EC2 インスタンス) を記述する**

 AWS Tools for PowerShell バージョン 3.3.563.1 以降、Amazon Web Services SDK for .NET バージョン 3.3.103.22 以降を使用する必要があります。 AWS Tools for PowerShell と Amazon Web Services SDK for .NET を含む AWS Tools for Windows インストーラは、[AWS Tools for PowerShell](https://aws.amazon.com/powershell/) ウェブサイトからダウンロードできます。

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

** AWS SDK for Python を使用した Boto クライアントの作成**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# Red Hat Enterprise Linux および Rocky Linux の SELinux
<a name="selinux"></a>

デフォルトでは、Security Enhanced Linux (SELinux) は で、Red Hat Enterprise Linux `enabled` と Rocky Linux を搭載した WorkSpaces Applications Image Builder とストリーミングインスタンスの `enforcing` モードに設定されています。`enforcing` モードでは、アクセスの拒否が強制されます。SELinux は、カーネルの主要なサブシステムに強力で柔軟性のある強制アクセス制御 (MAC) アーキテクチャを提供するためのカーネル機能とユーティリティの集まりです。

SELinux は、機密性と完全性の要件に基づいて情報を分離するように強化されたメカニズムを備えています。このように情報を分離することで、アプリケーションのセキュリティメカニズムの改ざんやバイパスの脅威が軽減されます。また、悪意のあるアプリケーションや欠陥のあるアプリケーションによって引き起こされる可能性のあるダメージも回避できます。

SELinux には、日々のセキュリティの目標を満たすように設計されたサンプルセキュリティポリシー設定ファイルのセットが含まれています。SELinux の機能と機能の詳細については、「[SELinux とは](https://www.redhat.com/en/topics/linux/what-is-selinux)」を参照してください。

# Amazon WorkSpaces アプリケーションでの Cookie ベースの認証
<a name="cookie-auth"></a>

WorkSpaces Applications はブラウザ Cookie を使用してストリーミングセッションを認証し、ユーザーがサインイン認証情報を毎回再入力することなく、アクティブなセッションに再接続できるようにします。認証トークンは、すべての認証シナリオについてブラウザ Cookie に保存されます。Cookie は多くのオンラインサービスに必要ですが、Cookie 盗難攻撃に対して脆弱である可能性があります。ユーザーのデバイスに堅牢なエンドポイント保護ソリューションを実装するなど、Cookie の盗難を防ぐための予防的な対策を講じることを強くお勧めします。さらに、Cookie の盗難による潜在的な影響を軽減するために、以下のアクションを検討することをお勧めします。
+ **シングルセッション制限を適用する**: WorkSpaces Applications Windows イメージの場合、一度に 1 つの接続のみを許可するように、**max-concurrent-clients** という名前`HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management`を 1 に設定して にレジストリキーを作成します。これにより、同時セッションの数が 1 に制限され、アクティブなセッションのミラーリングがブロックされます。詳細については、「[session-management パラメータ](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)」を参照してください。
+ **セッションの有効期限と再認証を強制する**
  + ユーザーがストリーミングセッションを正常に開始した後に認証トークンの有効期限が切れるように、SessionDuration 値を小さくします。sessionDuration の有効期限が切れた後に認証 Cookie を再利用するには、ユーザーが自身を再認証する必要があります。SessionDuration は、再認証が必要となるまでに、ユーザーのフェデレーティッドストリーミングセッションをアクティブにしておくことができる最大時間を指定します。デフォルト値は 60 分です。詳細については、「[ステップ 5: SAML 認証レスポンスのアサーションを作成する](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)」を参照してください。
  + セキュリティを最大化するために、ユーザーはストリーミングウィンドウを閉じるのではなく、ツールバー (セッションを終了) でセッションを適切に終了する必要があります。ツールバーを使用してセッションを終了すると、ユーザーセッションとストリーミングインスタンスの両方が終了します。そのためには、今後のアクセスのために再認証が必要であり、Cookie の誤用を防ぎます。ユーザーがセッションを終了せずにストリーミングウィンドウを閉じると、セッションとインスタンスは設定可能な切断タイムアウト期間 (分単位) の間アクティブのままになります。切断タイムアウトは 1～5760 の数値で、デフォルト値は 15 分である必要があります。非アクティブなセッションの誤用を防ぐため、短い切断タイムアウトを設定することをお勧めします。詳細については、「[Amazon WorkSpaces アプリケーションでフリートを作成する](set-up-stacks-fleets-create.md)」を参照してください。
+ **WorkSpaces アプリケーションのストリーミングへのアクセスを IP 範囲に制限する**: IP ベースの IAM ポリシーを実装することをお勧めします。これにより、IP アドレスが承認された IP 範囲に属するクライアントからのみ WorkSpaces アプリケーションセッションにアクセスできます。クライアントの IP アドレスが認可範囲外であるユーザーが開始した接続試行はすべて、それ以外の有効な認証 Cookie (ユーザーから盗まれた可能性がある) を提示している場合でも拒否されます。詳細については、「[Limit access to stream Amazon AppStream 2.0 applications to your IP ranges](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/)」を参照してください。
+ **追加の認証を追加する**: ドメイン結合ストリーミングインスタンスを起動するには、WorkSpaces Applications Always-On およびオンデマンドの Windows フリートと Image Builder を Microsoft Active Directory のドメインに結合し、クラウドベースのドメインまたはオンプレミスの既存の Active Directory ドメインを使用できます。最初の SAML ベースの認証後、ユーザーは組織ドメインに対する追加の認証のためにドメイン認証情報を提供するように求められます。詳細については、「[Using Active Directory with WorkSpaces Applications](active-directory.md)」を参照してください。

 心配なことやサポートが必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。