AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー - Amazon WorkSpaces アプリケーション
ポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー

WorkSpaces アプリケーションへの完全な管理アクセスまたは読み取り専用アクセスを提供するには、これらのアクセス許可を必要とする IAM ユーザーまたはグループに、次のいずれか AWS の管理ポリシーをアタッチする必要があります。AWS 管理ポリシーは、 AWSが作成および管理するスタンドアロンポリシーです。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

注記

では AWS、IAM ロールを使用して AWS サービスにアクセス許可を付与し、 AWS リソースにアクセスできるようにします。ロールにアタッチされているポリシーによって、サービスがアクセスできる AWS リソースと、それらのリソースで何ができるかが決まります。WorkSpaces アプリケーションの場合、AmazonAppStreamFullAccess ポリシーで定義されたアクセス許可に加えて、 AWS アカウントに必要なロールも必要です。詳細については、「WorkSpaces アプリケーション、Application Auto Scaling、および AWS Certificate Manager プライベート CA に必要なロール」を参照してください。

AmazonAppStreamFullAccess

この管理ポリシーは、WorkSpaces アプリケーションリソースへの完全な管理アクセスを提供します。WorkSpaces アプリケーションリソースを管理し、コマンドラインインターフェイス (AWS CLI)、 AWS SDK、または AWS マネジメントコンソールを使用して API AWS アクションを実行するには、このポリシーで定義されているアクセス許可が必要です。

IAM ユーザーとして WorkSpaces アプリケーションコンソールにサインインする場合は、このポリシーを にアタッチする必要があります AWS アカウント。コンソールのフェデレーションを使用してサインインする場合は、フェデレーションで使用した IAM ロールにこのポリシーをアタッチする必要があります。

このポリシーのアクセス許可を確認するには、「AmazonAppStreamFullAccess」を参照してください。

AmazonAppStreamReadOnlyAccess

このアイデンティティベースのポリシーは、WorkSpaces アプリケーションリソースおよび関連するサービス設定を表示およびモニタリングするための読み取り専用アクセス許可をユーザーに付与します。ユーザーは WorkSpaces アプリケーションコンソールにアクセスして、ストリーミングアプリケーション、フリートステータス、使用状況レポート、および関連するリソースを表示できますが、変更を加えることはできません。このポリシーには、包括的なモニタリングとレポート機能を実現するために、IAM、Application Auto Scaling、CloudWatch などのサービスをサポートするために必要な読み取りアクセス許可も含まれています。

このポリシーのアクセス許可を表示するには、「AmazonAppStreamReadOnlyAccess」を参照してください。

WorkSpaces アプリケーションコンソールは、CLI または AWS SDK AWS では利用できない機能を提供する追加のアクションを使用します。AmazonAppStreamFullAccess ポリシーと AmazonAppStreamReadOnlyAccess ポリシーはどちらも、次のアクションのアクセス許可を提供します。

アクション 説明 アクセスレベル
DescribeImageBuilders イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 読み取り
AmazonAppStreamPCAAccess

この管理ポリシーは、証明書ベースの認証のために、 AWS アカウントの Certificate Manager プライベート CA リソースへの AWS 完全な管理アクセスを提供します。

このポリシーのアクセス許可を確認するには、「AmazonAppStreamPCAAccess」を参照してください。

AmazonAppStreamServiceAccess

この管理ポリシーは、WorkSpaces アプリケーションサービスロールのデフォルトポリシーです。

このロールのアクセス許可ポリシーにより、WorkSpaces アプリケーションは次のアクションを実行できます。

  • WorkSpaces アプリケーションフリートのアカウントでサブネットを使用する場合、WorkSpaces アプリケーションはサブネット、VPCs、アベイラビリティーゾーンを記述し、それらのサブネット内のフリートインスタンスに関連付けられたすべての Elastic Network Interface のライフサイクルを作成および管理できます。これには、それらのサブネットからそれらの Elastic Network Interface にセキュリティグループと IP アドレスをアタッチできることも含まれます。

  • UPP や HomeFolders などの機能を使用する場合、WorkSpaces アプリケーションはアカウントで Amazon S3 バケット、オブジェクトとそのライフサイクル、ポリシー、暗号化設定を作成および管理できます。これらのバケットには、次の命名プレフィックスが含まれます。

    • "arn:aws:s3:::appstream2-36fb080bb8-",

    • "arn:aws:s3:::appstream-app-settings-",

    • "arn:aws:s3:::appstream-logs-"

このポリシーのアクセス許可を表示するには、「AmazonAppStreamServiceAccess」を参照してください。

ApplicationAutoScalingForAmazonAppStreamAccess

この管理ポリシーは、WorkSpaces アプリケーションのアプリケーションの自動スケーリングを有効にします。

このポリシーのアクセス許可を確認するには、「ApplicationAutoScalingForAmazonAppStreamAccess」を参照してください。

AWSApplicationAutoscalingAppStreamFleetPolicy

この管理ポリシーは、Application Auto Scaling が WorkSpaces アプリケーションと CloudWatch にアクセスするためのアクセス許可を付与します。

このポリシーのアクセス許可を確認するには、「AWSApplicationAutoscalingAppStreamFleetPolicy」を参照してください。

AWS マネージドポリシーへの WorkSpaces アプリケーションの更新

このサービスがこれらの変更の追跡を開始してからの WorkSpaces アプリケーションの AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、Amazon WorkSpaces アプリケーションのドキュメント履歴 ページの RSS フィードを購読してください。

変更 説明 日付

AmazonAppStreamReadOnlyAccess – 変更

JSON ポリシードキュメント"appstream:Get*",から削除

 2025 年 10 月 22 日

WorkSpaces アプリケーションが変更の追跡を開始しました

WorkSpaces アプリケーションが AWS 管理ポリシーの変更の追跡を開始しました

 2022 年 10 月 31 日