翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS WorkSpaces アプリケーションリソースにアクセスするために必要な管理ポリシー
<a name="managed-policies-required-to-access-appstream-resources"></a>

WorkSpaces アプリケーションへの完全な管理アクセスまたは読み取り専用アクセスを提供するには、これらのアクセス許可を必要とする IAM ユーザーまたはグループに、次のいずれか AWS の管理ポリシーをアタッチする必要があります。*AWS 管理ポリシー*は、 AWSが作成および管理するスタンドアロンポリシーです。詳細については、「IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

**注記**  
では AWS、IAM ロールを使用して AWS サービスにアクセス許可を付与し、 AWS リソースにアクセスできるようにします。ロールにアタッチされているポリシーによって、サービスがアクセスできる AWS リソースと、それらのリソースで何ができるかが決まります。WorkSpaces アプリケーションの場合、**AmazonAppStreamFullAccess** ポリシーで定義されたアクセス許可に加えて、 AWS アカウントに必要なロールも必要です。詳細については、「[WorkSpaces アプリケーション、Application Auto Scaling、および AWS Certificate Manager プライベート CA に必要なロール](roles-required-for-appstream.md)」を参照してください。

**AmazonAppStreamFullAccess**  
この管理ポリシーは、WorkSpaces アプリケーションリソースへの完全な管理アクセスを提供します。WorkSpaces アプリケーションリソースを管理し、コマンドラインインターフェイス (AWS CLI)、 AWS SDK、または AWS マネジメントコンソールを使用して API AWS アクションを実行するには、このポリシーで定義されているアクセス許可が必要です。  
IAM ユーザーとして WorkSpaces アプリケーションコンソールにサインインする場合は、このポリシーを にアタッチする必要があります AWS アカウント。コンソールのフェデレーションを使用してサインインする場合は、フェデレーションで使用した IAM ロールにこのポリシーをアタッチする必要があります。  
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html)」を参照してください。

**AmazonAppStreamReadOnlyAccess**  
このアイデンティティベースのポリシーは、WorkSpaces アプリケーションリソースおよび関連するサービス設定を表示およびモニタリングするための読み取り専用アクセス許可をユーザーに付与します。ユーザーは WorkSpaces アプリケーションコンソールにアクセスして、ストリーミングアプリケーション、フリートステータス、使用状況レポート、および関連リソースを表示できますが、変更を加えることはできません。このポリシーには、包括的なモニタリングとレポート機能を有効にするために、IAM、Application 自動スケーリング、CloudWatch などのサービスをサポートするために必要な読み取りアクセス許可も含まれています。  
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)」を参照してください。

WorkSpaces アプリケーションコンソールは、CLI または AWS SDK AWS では利用できない機能を提供する追加のアクションを使用します。**AmazonAppStreamFullAccess** ポリシーと **AmazonAppStreamReadOnlyAccess** ポリシーのどちらも、次のアクションのアクセス許可を提供します。


| アクション | 説明 | アクセスレベル | 
| --- | --- | --- | 
| DescribeImageBuilders | イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 | 読み取り | 

**AmazonAppStreamPCAAccess**  
この管理ポリシーは、証明書ベースの認証のために、 AWS アカウントの Certificate Manager プライベート CA リソースへの AWS 完全な管理アクセスを提供します。  
このポリシーのアクセス許可を確認する方法については、「[AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)」を参照してください。

**AmazonAppStreamServiceAccess**  
この管理ポリシーは、WorkSpaces アプリケーションサービスロールのデフォルトポリシーです。  
このロールのアクセス許可ポリシーにより、WorkSpaces アプリケーションは次のアクションを実行できます。  
+ WorkSpaces アプリケーションフリートのアカウントでサブネットを使用する場合、WorkSpaces アプリケーションはサブネット、VPCs、アベイラビリティーゾーンを記述し、それらのサブネット内のフリートインスタンスに関連付けられたすべての Elastic Network Interface のライフサイクルを作成および管理できます。これには、サブネットからそれらの Elastic Network Interface にセキュリティグループと IP アドレスをアタッチする機能も含まれます。
+ UPP や HomeFolders などの機能を使用する場合、WorkSpaces アプリケーションはアカウントで Amazon S3 バケット、オブジェクトとそのライフサイクル、ポリシー、暗号化設定を作成および管理できます。これらのバケットには、次の命名プレフィックスが含まれます。
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
このポリシーのアクセス許可を表示する方法については、「[AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)」を参照してください。

**ApplicationAutoScalingForAmazonAppStreamAccess**  
この管理ポリシーは、WorkSpaces アプリケーションのアプリケーションの自動スケーリングを有効にします。  
このポリシーのアクセス許可を表示する方法については、「[「ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)」を参照してください。

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
この管理ポリシーは、Application Auto Scaling が WorkSpaces アプリケーションと CloudWatch にアクセスするためのアクセス許可を付与します。  
このポリシーのアクセス許可を表示する方法については、「[AWSApplicationAutoscalingAppStreamFleetPolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)」を参照してください。

## AWS マネージドポリシーへの WorkSpaces アプリケーションの更新
<a name="security-iam-awsmanpol-updates"></a>



このサービスがこれらの変更の追跡を開始してからの WorkSpaces アプリケーションの AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、[Amazon WorkSpaces アプリケーションのドキュメント履歴](doc-history.md) ページの RSS フィードを購読してください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| AmazonAppStreamServiceAccess – 変更 |  ポリシー JSON ポリシードキュメント`"ec2:DescribeImages"`に の許可アクセス許可を追加 | 2025 年 11 月 17 日 | 
| AmazonAppStreamReadOnlyAccess – 変更 |  JSON ポリシードキュメントから `"appstream:Get*",` を削除しました | 2025 年 10 月 22 日 | 
| WorkSpaces アプリケーションが変更の追跡を開始しました | WorkSpaces アプリケーションが AWS 管理ポリシーの変更の追跡を開始 | 2022 年 10 月 31 日 |