AWS AppStream 2.0 リソースにアクセスするために必要な管理ポリシー - Amazon AppStream 2.0
ポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS AppStream 2.0 リソースにアクセスするために必要な管理ポリシー

AppStream 2.0 への完全な管理アクセスまたは読み取り専用アクセスを提供するには、これらのアクセス許可を必要とする IAM ユーザーまたはグループに、次のいずれか AWS の管理ポリシーをアタッチする必要があります。AWS 管理ポリシーは、 AWSが作成および管理するスタンドアロンポリシーです。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

注記

では AWS、IAM ロールを使用して AWS サービスにアクセス許可を付与し、 AWS リソースにアクセスできるようにします。ロールにアタッチされているポリシーによって、サービスがアクセスできる AWS リソースと、それらのリソースで何ができるかが決まります。AppStream 2.0 では、AmazonAppStreamFullAccess ポリシーで定義されたアクセス許可に加えて、 AWS アカウントに必要なロールも必要です。詳細については、「AppStream 2.0、Application Auto Scaling、および AWS Certificate Manager Private CA に必要なロール」を参照してください。

AmazonAppStreamFullAccess

この管理ポリシーは、AppStream 2.0 リソースへの完全な管理アクセスを提供します。コマンドラインインターフェイス (AWS CLI)、 AWS SDK、または AWS マネジメントコンソールを使用して AppStream 2.0 リソースを管理し、API AWS アクションを実行するには、このポリシーで定義されているアクセス許可が必要です。

IAM ユーザーとして AppStream 2.0 コンソールにサインインする場合は、このポリシーを にアタッチする必要があります AWS アカウント。コンソールのフェデレーションを使用してサインインする場合は、フェデレーションで使用した IAM ロールにこのポリシーをアタッチする必要があります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "appstream:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:RegisterScalableTarget",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:DeleteScheduledAction"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:PutMetricAlarm"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:ListRoles",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::111122223333:role/service-role/ApplicationAutoScalingForAmazonAppStreamAccess",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::111122223333:role/aws-service-role/appstream.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_AppStreamFleet",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "appstream.application-autoscaling.amazonaws.com"
                }
            }
        }
    ]
}
AmazonAppStreamReadOnlyAccess

この管理ポリシーは、AppStream 2.0 リソースへの読み取り専用アクセスを提供します。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "appstream:Get*",
                "appstream:List*",
                "appstream:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AppStream 2.0 コンソールは、CLI または AWS SDK では利用できない機能を提供する 2 AWS つの追加アクションを使用します。AmazonAppStreamFullAccess ポリシーと AmazonAppStreamReadOnlyAccess ポリシーのどちらも、これらのアクションのアクセス権限を提供します。

アクション 説明 アクセスレベル
GetImageBuilders イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 読み取り
GetParametersForThemeAssetUpload カスタムブランドのテーマアセットをアップロードするアクセス許可を付与します。詳細については、「カスタムブランディングを Amazon AppStream 2.0 に追加する」を参照してください。 書き込み
AmazonAppStreamPCAAccess

この管理ポリシーは、証明書ベースの認証のために、 AWS アカウントの Certificate Manager プライベート CA リソースへの AWS 完全な管理アクセスを提供します。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:IssueCertificate",
                "acm-pca:GetCertificate",
                "acm-pca:DescribeCertificateAuthority"
            ],
            "Resource": "arn:*:acm-pca:*:*:*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/euc-private-ca": "*"
                }
            }
        }
    ]
}
AmazonAppStreamServiceAccess

このマネージドポリシーは、AppStream 2.0 サービスロールのデフォルトポリシーです。

このロールのアクセス許可ポリシーにより、AppStream 2.0 は次のアクションを実行できます。

  • AppStream 2.0 フリートのアカウントでサブネットを使用する場合、AppStream 2.0 はサブネット、VPCs、アベイラビリティーゾーンを記述し、それらのサブネット内のフリートインスタンスに関連付けられたすべての Elastic Network Interface のライフサイクルを作成および管理できます。これには、これらのサブネットからこれらの Elastic Network Interface にセキュリティグループと IP アドレスをアタッチできることも含まれます。

  • UPP や HomeFolders などの機能を使用する場合、AppStream 2.0 はアカウントで Amazon S3 バケット、オブジェクトとそのライフサイクル、ポリシー、暗号化設定を作成および管理できます。これらのバケットには、次の命名プレフィックスが含まれます。

    • "arn:aws:s3:::appstream2-36fb080bb8-",

    • "arn:aws:s3:::appstream-app-settings-",

    • "arn:aws:s3:::appstream-logs-"

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:AssociateAddress",
                "ec2:DisassociateAddress",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcEndpoints",
                "s3:ListAllMyBuckets",
                "ds:DescribeDirectories"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion",
                "s3:GetBucketPolicy",
                "s3:PutBucketPolicy",
                "s3:PutEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::appstream2-36fb080bb8-*",
                "arn:aws:s3:::appstream-app-settings-*",
                "arn:aws:s3:::appstream-logs-*"
            ]
        }
    ]
}
ApplicationAutoScalingForAmazonAppStreamAccess

このマネージドポリシーにより、AppStream 2.0 でアプリケーションの自動スケーリングが可能になります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:UpdateFleet",
                "appstream:DescribeFleets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
AWSApplicationAutoscalingAppStreamFleetPolicy

このマネージドポリシーは、AppStream 2.0 と CloudWatch へのアクセス権限を Application Auto Scaling に付与します。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:UpdateFleet",
                "appstream:DescribeFleets",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS 管理ポリシーに対する AppStream 2.0 の更新

このサービスがこれらの変更の追跡を開始してからの AppStream 2.0 の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、Amazon AppStream 2.0 のドキュメント履歴 ページの RSS フィードを購読してください。

変更 説明 日付

AppStream 2.0 が変更の追跡を開始しました

AppStream 2.0 が AWS マネージドポリシーの変更の追跡を開始

 2022 年 10 月 31 日