AWS Amazon Nimble Studio の マネージドポリシー - Amazon Nimble Studio
AWS マネージドポリシー: AmazonNimbleStudio-LaunchProfileWorkerAWS マネージドポリシー: AmazonNimbleStudio-StudioAdminAWS マネージドポリシー: AmazonNimbleStudio-StudioUserNimble Studio での AWS 管理ポリシーの更新

サポート終了通知: 2024 年 10 月 22 日、 AWS は Amazon Nimble Studio のサポートを終了します。2024 年 10 月 22 日以降、Nimble Studio コンソールまたは Nimble Studio リソースにアクセスできなくなります。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon Nimble Studio の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、 AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「IAM ユーザーガイド」の「 AWS 管理ポリシー」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。

さらに、 は、複数のサービスにまたがる職務機能の管理ポリシー AWS をサポートします。例えば、ReadOnlyAccess AWS マネージドポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新しい機能を起動する場合、 AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能ポリシーのリストと説明については、IAM ユーザーガイドジョブ機能のAWS 管理ポリシーを参照してください。

エンドユーザーは主に Nimble Studio ポータルを使用して、Amazon Nimble Studio にアクセスします。StudioBuilder または Nimble Studio コンソールを使用してスタジオを作成する場合、そのスタジオの使用者 (スタジオ管理者とスタジオユーザー) ごとに 1 つの IAM ロールが作成されます。それぞれに IAM 管理ポリシーがアタッチされています。Nimble Studio ポータルからユーザーに提供されるエクスペリエンスでは、アクセス許可を持つリソースのみを一覧表示して使用することができます。

Nimble Studio ポータルのエクスペリエンスでは、ユーザーはアクセス権を付与されたリソースのみを一覧表示し使用できます。また、このポータルは、適切な動作を行うために関係するポリシーの内容に依存します。Nimble Studio のエンドユーザーは、ポータルを使用してクラウドスタジオにアクセスします。そのため、管理者が StudioBuilder を使用してスタジオを作成すると、スタジオにアクセスする必要があるユーザーごとに 1 つの IAM ロールが作成されます。これには、スタジオ管理者とスタジオユーザーが含まれており、それぞれに IAM 管理ポリシーがアタッチされます。

職務機能ポリシーのリストと説明については、IAM ユーザーガイドのAWS 職務機能の管理ポリシーを参照してください。

AWS マネージドポリシー: AmazonNimbleStudio-LaunchProfileWorker

AmazonNimbleStudio-LaunchProfileWorker ポリシーを IAM アイデンティティにアタッチできます。

Nimble Studio Builder で作成された EC2 インスタンスにこのポリシーをアタッチして、Nimble Studio 起動プロファイルワーカーが必要とするリソースへのアクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ds - LaunchProfile ワーカーが、LaunchProfile に関連付けられている AWS Managed Microsoft AD に関する接続情報を検出できるようにします。

  • ec2 - LaunchProfile ワーカーが、LaunchProfile に接続するためのセキュリティグループとサブネット情報を検出できるようにします。

  • fsx - LaunchProfile ワーカーが、LaunchProfile に関連付けられている Amazon FSx ボリュームへの接続情報を検出できるようにします。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeSecurityGroups",
        "fsx:DescribeFileSystems",
        "ds:DescribeDirectories"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "nimble.amazonaws.com"
        }
      },
      "Sid": "GetLaunchProfileInitializationDependencies"
    }
  ],
  "Version": "2012-10-17"
}

AWS マネージドポリシー: AmazonNimbleStudio-StudioAdmin

AmazonNimbleStudio-StudioAdmin ポリシーを IAM アイデンティティにアタッチできます。

このポリシーを、スタジオに関連付けられた管理者ロールにアタッチして、スタジオ管理者に関連付けられた Amazon Nimble Studio リソースおよびその他のサービスの関連するスタジオリソースへのアクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • nimble - StudioAdmins によって委任された Nimble リソースに Studio ユーザーのアクセスを許可します。

  • sso - スタジオユーザーに、スタジオ内の他のユーザー名の表示を許可します。

  • identitystore - スタジオユーザーに、スタジオ内の他のユーザー名の表示を許可します。

  • ds - Nimble Studio がスタジオ AWS Managed Microsoft AD に関連付けられた に仮想ワークステーションを追加できるようにします。

  • ec2 - Nimble Studio で、設定された VPC への仮想ワークステーションのアタッチを許可します。

  • fsx - Nimble Studio で、設定された Amazon FSx ボリュームへの仮想ワークステーションの接続を許可します。

  • cloudwatch - Nimble Studio で、CloudWatch メトリクスの取得を許可します。

{
  "Statement": [
    {
      "Sid": "StudioAdminFullAccess",
      "Effect": "Allow",
      "Action": [
        "nimble:CreateStreamingSession",
        "nimble:GetStreamingSession",
        "nimble:StartStreamingSession",
        "nimble:StopStreamingSession",
        "nimble:CreateStreamingSessionStream",
        "nimble:GetStreamingSessionStream",
        "nimble:DeleteStreamingSession",
        "nimble:ListStreamingSessionBackups",
        "nimble:GetStreamingSessionBackup",
        "nimble:ListEulas",
        "nimble:ListEulaAcceptances",
        "nimble:GetEula",
        "nimble:AcceptEulas",
        "nimble:ListStudioMembers",
        "nimble:GetStudioMember",
        "nimble:ListStreamingSessions",
        "nimble:GetStreamingImage",
        "nimble:ListStreamingImages",
        "nimble:GetLaunchProfileInitialization",
        "nimble:GetLaunchProfileDetails",
        "nimble:GetFeatureMap",
        "nimble:PutStudioLogEvents",
        "nimble:ListLaunchProfiles",
        "nimble:GetLaunchProfile",
        "nimble:GetLaunchProfileMember",
        "nimble:ListLaunchProfileMembers",
        "nimble:PutLaunchProfileMembers",
        "nimble:UpdateLaunchProfileMember",
        "nimble:DeleteLaunchProfileMember"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "sso-directory:DescribeUsers",
        "sso-directory:SearchUsers",
        "identitystore:DescribeUser",
        "identitystore:ListUsers"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ds:CreateComputer",
        "ds:DescribeDirectories",
        "ec2:DescribeSubnets",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeSecurityGroups",
        "fsx:DescribeFileSystems"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "nimble.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "cloudwatch:GetMetricData",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloudwatch:namespace": "AWS/NimbleStudio"
        }
      }
    }
  ],
  "Version": "2012-10-17"
}

AWS マネージドポリシー: AmazonNimbleStudio-StudioUser

AmazonNimbleStudio-StudioUser ポリシーを IAM アイデンティティにアタッチできます。

このポリシーをスタジオに関連付けられたユーザーロールにアタッチして、スタジオユーザーに関連付けられた Amazon Nimble Studio リソースおよびその他のサービスの関連するスタジオリソースへのアクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • nimble - StudioAdmins によって委任された Nimble リソースに Studio ユーザーのアクセスを許可します。

  • sso - スタジオユーザーに、スタジオ内の他のユーザー名の表示を許可します。

  • identitystore - スタジオユーザーに、スタジオ内の他のユーザー名の表示を許可します。

  • ds - Nimble Studio がスタジオ AWS Managed Microsoft AD に関連付けられた に仮想ワークステーションを追加できるようにします。

  • ec2 - Nimble Studio で、設定された VPC への仮想ワークステーションのアタッチを許可します。

  • fsx - Nimble Studio で、設定された Amazon FSx ボリュームへの仮想ワークステーションの接続を許可します。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ds:CreateComputer",
        "ec2:DescribeSubnets",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DeleteNetworkInterface",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeSecurityGroups",
        "fsx:DescribeFileSystems",
        "ds:DescribeDirectories"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:CalledViaLast": "nimble.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "sso-directory:DescribeUsers",
        "sso-directory:SearchUsers",
        "identitystore:DescribeUser",
        "identitystore:ListUsers"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "nimble:ListLaunchProfiles"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "nimble:requesterPrincipalId": "${nimble:principalId}"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "nimble:ListStudioMembers",
        "nimble:GetStudioMember",
        "nimble:ListEulas",
        "nimble:ListEulaAcceptances",
        "nimble:GetFeatureMap",
        "nimble:PutStudioLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "nimble:StartStreamingSession",
        "nimble:StopStreamingSession",
        "nimble:DeleteStreamingSession",
        "nimble:GetStreamingSession",
        "nimble:CreateStreamingSessionStream",
        "nimble:GetStreamingSessionStream",
        "nimble:ListStreamingSessions"
        "nimble:ListStreamingSessionBackups",
        "nimble:GetStreamingSessionBackup"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "nimble:ownedBy": "${nimble:requesterPrincipalId}"
        }
      }
    }
  ],
  "Version": "2012-10-17"
}

Nimble Studio での AWS 管理ポリシーの更新

Amazon Nimble Studio の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。

変更 説明 日付

AWS マネージドポリシー: AmazonNimbleStudio-StudioUser – ポリシーを更新

Amazon Nimble Studio は、ID Store サービスの最新バージョンを使用するようにポリシーを更新しました。

2023 年 9 月 22 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioAdmin – ポリシーを更新

Amazon Nimble Studio は、ID Store サービスの最新バージョンを使用するようにポリシーを更新しました。

2023 年 9 月 22 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioUser – ポリシーを更新

Amazon Nimble Studio は、スタジオユーザーがワークステーションのバックアップを表示できるようにポリシーを更新しました。

2022 年 12 月 20 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioAdmin – ポリシーを更新

Amazon Nimble Studio は、スタジオ管理者がワークステーションのバックアップを表示できるようにポリシーを更新しました。

2022 年 12 月 20 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioUser – Updated policy

Amazon Nimble Studio は、スタジオ管理者が CloudWatch メトリクスを取得できるようにポリシーを更新しました。

2021 年 11 月 11 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioUser – Updated policy

Amazon Nimble Studio は、スタジオユーザーがワークステーションを起動および停止できるようにポリシーを更新しました。

2021 年 11 月 1 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioAdmin – Updated policy

Amazon Nimble Studio は、スタジオ管理者がワークステーションを起動および停止できるようにポリシーを更新しました。

2021 年 11 月 1 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioUser – Updated policy

Amazon Nimble Studio は、nimble:createdBy の代わりに nimble:ownedBy に基づいて、ストリーミングセッションリソースへのアクセスを条件付きで許可するようにポリシーを更新しました。

2021 年 8 月 16 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioUser - 新しいポリシー

Amazon Nimble Studio は、スタジオユーザーに関連付けられたリソースと、他のサービスの関連するスタジオリソースへのアクセスを許可する新しいポリシーを追加しました。

2021 年 4 月 28 日

AWS マネージドポリシー: AmazonNimbleStudio-StudioAdmin – 新しいポリシー

Amazon Nimble Studio は、他のサービスのスタジオ管理者に関連付けられたリソースと、他のリソースの関連付けられたリソースへのアクセスを許可する新しいポリシーを追加しました。

2021 年 4 月 28 日

AWS マネージドポリシー: AmazonNimbleStudio-LaunchProfileWorker - 新しいポリシー

Amazon Nimble Studio は、Nimble Studio 起動プロファイルワーカーが必要とするリソースへのアクセスを許可する新しいポリシーを追加しました。

2021 年 4 月 28 日

Amazon Nimble Studio が変更の追跡を開始

Amazon Nimble Studio が AWS マネージドポリシーの変更の追跡を開始しました。

2021 年 4 月 28 日