本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 检查 AmazonAppStreamPCAAccess 服务角色和策略
完成此节中的步骤以检查 **AmazonAppStreamPCAAccess** 服务角色是否存在以及是否附加了正确的策略。如果此角色不在您的账户中且必须创建,则您或具有所需权限的管理员必须执行相应步骤才能开始使用您的 Amazon Web Services 账户中的 WorkSpaces 应用程序。
**检查 IA AmazonAppStream PCAAccess M 服务角色是否存在**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**角色**。
1. 在搜索框中,键入 **appstreampca** 以缩小要选择的角色列表范围,然后选择。**AmazonAppStreamPCAAccess**如果此角色已列出,请选择它以查看角色 **Summary (摘要)** 页面。
1. 在**权限**选项卡上,确认 **AmazonAppStreamPCAAccess ** 权限策略是否已附加。
1. 返回 **Role (角色)** 摘要页面。
1. 在**信任关系**选项卡上,选择**显示策略文档**,然后确认 **AmazonAppStreamPCAAccess ** 信任关系策略是否已附加并遵循正确的格式。如果是这样的话,则信任关系配置正确。选择**取消**并关闭 IAM 控制台。
## AmazonAppStreamPCAAccess 信任关系政策
**AmazonAppStreamPCAAccess**信任关系政策必须将 prod.euc.ecm.amazonaws.com 列为委托人。此策略还必须包括 `sts:AssumeRole` 操作。以下策略配置将 ECM 定义为可信实体。
**使用 AWS CLI 创建 AmazonAppStreamPCAAccess 信任关系策略**
1. 使用以下文本创建名为 `AmazonAppStreamPCAAccess.json` 的 JSON 文件。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. 根据需要调整`AmazonAppStreamPCAAccess.json`路径并运行以下 AWS CLI 命令来创建信任关系策略并附加 AmazonAppStreamPCAAccess 托管策略。有关托管策略的更多信息,请参阅 [AWS 访问 WorkSpaces 应用程序资源所需的托管策略](managed-policies-required-to-access-appstream-resources.md)。
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```