Configuration d'un rôle IAM existant à utiliser avec des instances de streaming WorkSpaces d'applications - WorkSpaces Applications Amazon

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'un rôle IAM existant à utiliser avec des instances de streaming WorkSpaces d'applications

Cette rubrique décrit comment configurer un rôle IAM existant afin de pouvoir l’utiliser avec des instances Image Builder et des instances de streaming de flotte.

Prérequis

Le rôle IAM que vous souhaitez utiliser avec un générateur d'images d' WorkSpaces applications ou une instance de streaming de flotte doit répondre aux conditions préalables suivantes :

  • Le rôle IAM doit figurer sur le même compte Amazon Web Services que l'instance de streaming WorkSpaces Applications.

  • Le rôle IAM ne peut pas être une fonction du service.

  • La politique de relation de confiance attachée au rôle IAM doit inclure le service WorkSpaces Applications en tant que principal. Un mandant est une entité AWS qui peut effectuer des actions et accéder à des ressources. La stratégie doit également inclure l'action sts:AssumeRole. Cette configuration de politique définit WorkSpaces les applications comme une entité de confiance.

  • Si vous appliquez le rôle IAM à un générateur d'images, celui-ci doit exécuter une version de l'agent d' WorkSpaces applications publiée le 3 septembre 2019 ou après cette date. Si vous appliquez le rôle IAM à une flotte, celle-ci doit utiliser une image qui utilise une version de l'agent publiée à la même date ou après cette date. Pour de plus amples informations, veuillez consulter WorkSpaces Notes de mise à jour des agents d'applications.

Pour permettre au principal du service WorkSpaces Applications d'assumer un rôle IAM existant

Pour effectuer les étapes suivantes, vous devez vous connecter au compte en tant qu’utilisateur IAM disposant des autorisations requises pour répertorier et mettre à jour les rôles IAM. Si vous n’avez pas les autorisations requises, demandez à votre administrateur de compte Amazon Web Services d’effectuer ces étapes dans votre compte ou de vous accorder les autorisations requises.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Dans la liste des rôles de votre compte, choisissez le nom du rôle que vous souhaitez modifier.

  4. Sélectionnez l'onglet Relations d'approbation, puis Modifier la relation d'approbation.

  5. Sous Document de stratégie, vérifiez que la stratégie de relation d’approbation inclut l’action sts:AssumeRole pour le principal du service appstream.amazonaws.com :

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "appstream.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Après avoir modifié votre politique d'approbation, choisissez Mettre à jour la politique de confiance pour enregistrer vos modifications.

  7. Le rôle IAM que vous avez sélectionné s'affichera dans la console WorkSpaces Applications. Ce rôle accorde des autorisations aux applications et aux scripts pour effectuer des actions d'API et des tâches de gestion sur les instances de streaming.