翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSWorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー
WorkSpaces アプリケーションへの完全な管理アクセスまたは読み取り専用アクセスを提供するには、これらのアクセス許可を必要とする IAM ユーザーまたはグループに、次のいずれかAWSの管理ポリシーをアタッチする必要があります。AWS 管理ポリシーは、AWS が作成および管理するスタンドアロンポリシーです。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
注記
ではAWS、IAM ロールを使用して AWSサービスにアクセス許可を付与し、 AWSリソースにアクセスできるようにします。ロールにアタッチされているポリシーによって、サービスがアクセスできるAWSリソースと、それらのリソースで何ができるかが決まります。WorkSpaces アプリケーションの場合、AmazonAppStreamFullAccess ポリシーで定義されたアクセス許可に加えて、AWSアカウントに必要なロールも必要です。詳細については、「WorkSpaces アプリケーション、Application Auto Scaling、および AWSCertificate Manager プライベート CA に必要なロール」を参照してください。
- AmazonAppStreamFullAccess
-
この管理ポリシーは、WorkSpaces アプリケーションリソースへの完全な管理アクセスを提供します。WorkSpaces アプリケーションリソースを管理し、コマンドラインインターフェイス (AWSCLI)、AWSSDK、またはAWS マネジメントコンソールを使用して API AWSアクションを実行するには、このポリシーで定義されているアクセス許可が必要です。
IAM ユーザーとして WorkSpaces アプリケーションコンソールにサインインする場合は、このポリシーを にアタッチする必要がありますAWS アカウント。コンソールのフェデレーションを使用してサインインする場合は、フェデレーションで使用した IAM ロールにこのポリシーをアタッチする必要があります。
このポリシーのアクセス許可を確認する方法については、「AmazonAppStreamFullAccess」を参照してください。
- AmazonAppStreamReadOnlyAccess
-
このアイデンティティベースのポリシーは、WorkSpaces アプリケーションリソースおよび関連するサービス設定を表示およびモニタリングするための読み取り専用アクセス許可をユーザーに付与します。ユーザーは WorkSpaces アプリケーションコンソールにアクセスして、ストリーミングアプリケーション、フリートステータス、使用状況レポート、および関連するリソースを表示できますが、変更を加えることはできません。このポリシーには、包括的なモニタリングとレポート機能を有効にするために、IAM、Application 自動スケーリング、CloudWatch などのサービスをサポートするために必要な読み取りアクセス許可も含まれています。
このポリシーのアクセス許可を確認する方法については、「AmazonAppStreamReadOnlyAccess」を参照してください。
WorkSpaces アプリケーションコンソールは、CLI または AWSSDK AWSでは利用できない機能を提供する追加のアクションを使用します。AmazonAppStreamFullAccess ポリシーと AmazonAppStreamReadOnlyAccess ポリシーのどちらも、次のアクションのアクセス許可を提供します。
| アクション | 説明 | アクセスレベル |
|---|---|---|
DescribeImageBuilders |
イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 | 読み取り |
- AmazonAppStreamPCAAccess
-
この管理ポリシーは、証明書ベースの認証のために、AWSアカウントの Certificate Manager プライベート CA リソースへのAWS完全な管理アクセスを提供します。
このポリシーのアクセス許可を確認する方法については、「AmazonAppStreamPCAAccess」を参照してください。
- AmazonAppStreamServiceAccess
-
この管理ポリシーは、WorkSpaces アプリケーションサービスロールのデフォルトポリシーです。
このロールのアクセス許可ポリシーにより、WorkSpaces アプリケーションは次のアクションを実行できます。
-
WorkSpaces アプリケーションフリートのアカウントでサブネットを使用する場合、WorkSpaces アプリケーションはサブネット、VPCs、アベイラビリティーゾーンを記述し、それらのサブネット内のフリートインスタンスに関連付けられたすべての Elastic Network Interface のライフサイクルを作成および管理できます。これには、サブネットからそれらの Elastic Network Interface にセキュリティグループと IP アドレスをアタッチする機能も含まれます。
-
UPP や HomeFolders などの機能を使用する場合、WorkSpaces アプリケーションはアカウントで Amazon S3 バケット、オブジェクトとそのライフサイクル、ポリシー、暗号化設定を作成および管理できます。これらのバケットには、次の命名プレフィックスが含まれます。
-
"arn:aws:s3:::appstream2-36fb080bb8-", -
"arn:aws:s3:::appstream-app-settings-", -
"arn:aws:s3:::appstream-logs-"
-
このポリシーのアクセス許可を表示する方法については、「AmazonAppStreamServiceAccess」を参照してください。
-
- ApplicationAutoScalingForAmazonAppStreamAccess
-
この管理ポリシーは、WorkSpaces アプリケーションのアプリケーションの自動スケーリングを有効にします。
このポリシーのアクセス許可を表示する方法については、「「ApplicationAutoScalingForAmazonAppStreamAccess」を参照してください。
- AWSApplicationAutoscalingAppStreamFleetPolicy
-
この管理ポリシーは、Application Auto Scaling が WorkSpaces アプリケーションと CloudWatch にアクセスするためのアクセス許可を付与します。
このポリシーのアクセス許可を表示する方法については、「AWSApplicationAutoscalingAppStreamFleetPolicy 」を参照してください。
AWSマネージドポリシーへの WorkSpaces アプリケーションの更新
このサービスがこれらの変更の追跡を開始してからの WorkSpaces アプリケーションの AWSマネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、Amazon WorkSpaces アプリケーションのドキュメント履歴 ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonAppStreamServiceAccess – 変更 |
ポリシー JSON ポリシードキュメント |
2025 年 11 月 17 日 |
|
AmazonAppStreamReadOnlyAccess – 変更 |
JSON ポリシードキュメントから |
2025 年 10 月 22 日 |
|
WorkSpaces アプリケーションが変更の追跡を開始しました |
WorkSpaces アプリケーションが AWS管理ポリシーの変更の追跡を開始 |
2022 年 10 月 31 日 |
