翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon AppStream 2.0 のアクション、リソース、および条件キー
Amazon AppStream 2.0 (サービスプレフィックス: appstream) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon AppStream 2.0 で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
Actions テーブルのアクセスレベル列は、アクションの分類方法 (List、Read、Permissions Management、Tagging) を示しています。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、ポリシー概要の「アクセスレベル」を参照してください。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
Actions テーブルの Dependent Actions 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AssociateAppBlockBuilderAppBlock | 指定された App Block ビルダー を App Block に関連付けるアクセス許可を付与します | 書き込み | |||
| AssociateApplicationFleet | 指定しアプリケーションをフリートに関連付けるアクセス許可を付与します。 | 書き込み | |||
| AssociateApplicationToEntitlement | 指定したアプリケーションを指定した使用権限管理に関連付ける許可を付与 | 書き込み | |||
| AssociateFleet | 指定したフリートを指定したスタックに関連付けるアクセス許可を付与します。 | Write | |||
| BatchAssociateUserStack | 指定したユーザーを指定したスタックに関連付けるアクセス許可を付与します。ユーザープール内のユーザーは、Active Directory ドメインに参加しているフリートを持つスタックに割り当てることはできません。 | Write | |||
| BatchDisassociateUserStack | 指定したスタックから指定したユーザーの関連付けを解除する許可を付与。 | 書き込み | |||
| CopyImage | 同じリージョン内の指定されたイメージ、または同じリージョン内の新しいリージョンにコピーするアクセス許可を付与します AWS アカウント | 書き込み | |||
| CreateAppBlock | App Block を作成する権限を付与します。アプリケーションブロック は、S3 バケット内のアプリケーションのファイルを含む仮想ハードディスクに関する詳細を格納します。また、仮想ハードディスクのマウント方法に関する詳細を含むセットアップスクリプトも格納されます。アプリケーションブロックは Elastic フリートでのみサポートされます。 | 書き込み | |||
| CreateAppBlockBuilder | App Block ビルダーを作成するアクセス許可を付与します。App Block ビルダーは、App Block の作成に使用される仮想マシンです | 書き込み | |||
| CreateAppBlockBuilderStreamingURL | App Block ビルダーストリーミングセッションを開始するための URL を作成するアクセス許可を付与します | 書き込み | |||
| CreateApplication | カスタマーアカウント内でアプリケーションを作成するアクセス許可を付与します。アプリケーションには、ストリーミングインスタンスでアプリケーションを起動する方法の詳細が保存されます。これは Elastic フリートでのみサポートされています。 | 書き込み | |||
| CreateDirectoryConfig | AppStream 2.0 で Directory Config オブジェクトを作成する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 | 書き込み | |||
| CreateEntitlement | ユーザー属性に基づいてアプリケーションへのアクセスを制御する使用権限管理を作成する許可を付与 | 書き込み | |||
| CreateFleet | フリートを作成する許可を付与。フリートはストリーミングインスタンスのグループで、ここからアプリケーションが実行され、ユーザーにストリーミングされます。 | Write | |||
| CreateImageBuilder | Image Builder を作成する許可を付与。Image Builder は、イメージの作成に使用される仮想マシンです。 | Write | |||
| CreateImageBuilderStreamingURL | イメージビルダーストリーミングセッションを開始するための URL を作成する許可を付与。 | Write | |||
| CreateStack | ユーザーに対してストリーミングアプリケーションを開始するためのスタックを作成する許可を付与。スタックは、関連付けられたフリート、ユーザーアクセスポリシー、ストレージ設定で構成されます。 | Write | |||
| CreateStreamingURL | 指定したユーザーに対して AppStream 2.0 ストリーミングセッションを開始するための一時的な URL を作成する許可を付与。ストリーミング URL により、ユーザーのセットアップなしでアプリケーションのストリーミングをテストすることができます。 | 書き込み | |||
| CreateThemeForStack | ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドを含むカスタムブランドテーマを作成する許可を付与する | 書き込み | |||
| CreateUpdatedImage | カスタマーアカウント内の既存のイメージを更新する許可を付与 | 書き込み | |||
| CreateUsageReportSubscription | 使用状況レポートのサブスクリプションを作成する許可を付与。使用状況レポートは毎日生成されます。 | Write | |||
| CreateUser | ユーザープールに新しいユーザーを作成する許可を付与。 | 書き込み | |||
| DeleteAppBlock | 指定された App Block を削除する許可を付与します。 | 書き込み | |||
| DeleteAppBlockBuilder | 指定された App Block ビルダーとリリース容量を削除するアクセス許可を付与します | 書き込み | |||
| DeleteApplication | 指定されたアプリケーションを削除する許可を付与 | 書き込み | |||
| DeleteDirectoryConfig | 指定した Directory Config オブジェクトを AppStream 2.0 から削除する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 | 書き込み | |||
| DeleteEntitlement | 指定した使用権限管理を削除する許可を付与 | 書き込み | |||
| DeleteFleet | 指定したフリートを削除する許可を付与。 | Write | |||
| DeleteImage | 指定したイメージを削除する許可を付与。イメージは、使用中の場合は削除できません。 | Write | |||
| DeleteImageBuilder | 指定した Image Builder を削除して容量を解放するアクセス権限を付与します。 | Write | |||
| DeleteImagePermissions | 指定したプライベートイメージのアクセス許可を削除する許可を付与。 | Write | |||
| DeleteStack | 指定したスタックを削除する許可を付与。スタックの削除後、ユーザーは、スタックによって提供されたアプリケーションストリーミング環境を利用できなくなります。また、スタックのアプリケーションストリーミングセッションに行われたすべての予約も解放されます。 | 書き込み | |||
| DeleteThemeForStack | ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドを含むカスタムブランドテーマを削除する許可を付与する | 書き込み | |||
| DeleteUsageReportSubscription | 使用状況レポートの生成を無効にする許可を付与。 | Write | |||
| DeleteUser | ユーザープールからユーザーを削除する許可を付与。 | 書き込み | |||
| DescribeAppBlockBuilderAppBlockAssociations | 指定された App Block ビルダーもしくは App Block に関連付けられている関連付けを取得するアクセス許可を付与します | リスト | |||
| DescribeAppBlockBuilders | App Block ビルダー名が設定されている場合、1 つ以上の指定された App Block ビルダーを記述するリストを取得するアクセス許可を付与します。それ以外の場合は、アカウントのすべての App Block ビルダーが記述されます | リスト | |||
| DescribeAppBlocks | App Block が設定されている場合、1 つ以上の指定した App Block を記述するリストを取得する許可を付与します。それ以外の場合は、アカウントのすべてのアプリケーションブロックが記述されます。 | リスト | |||
| DescribeApplicationFleetAssociations | 指定されたアプリケーションもしくはフリートに関連付けられている関連付けを取得するアクセス許可を付与します。 | リスト | |||
| DescribeApplications | アプリケーション ARN が設定されている場合、1 つ以上の指定したイメージを記述するリストを取得する許可を付与します。それ以外の場合は、アカウントのすべてのAccountingが記述されます。 | リスト | |||
| DescribeDirectoryConfigs | AppStream 2.0 の 1 つ以上の指定した Directory Config オブジェクトの名前が設定されている場合、それらのオブジェクトを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべての Directory Config オブジェクトが記述されます。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 | リスト | |||
| DescribeEntitlements | 指定したスタックの 1 つまたはすべての使用権限管理を取得する許可を付与 | リスト | |||
| DescribeFleets | フリート名が設定されている場合、1 つ以上の指定したフリートを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのフリートが記述されます。 | リスト | |||
| DescribeImageBuilders | イメージビルダー名が設定されている場合、1 つ以上の指定したイメージビルダーを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージビルダーが記述されます。 | リスト | |||
| DescribeImagePermissions | 所有するプライベートイメージ上の AWS アカウント IDsのアクセス許可を記述するリストを取得するアクセス許可を付与します | 読み取り | |||
| DescribeImages | イメージ名またはイメージ ARN が設定されている場合、1 つ以上の指定したイメージを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのイメージが記述されます。 | リスト | |||
| DescribeSessions | 指定したスタックおよびフリートのストリーミングセッションを記述するリストを取得する許可を付与。スタックとフリートに対してユーザー ID が設定されている場合は、そのユーザーのストリーミングセッションのみが記述されます。 | リスト | |||
| DescribeStacks | スタック名が設定されている場合、1 つ以上の指定したスタックを記述するリストを取得する許可を付与。それ以外の場合は、アカウントのすべてのスタックが記述されます。 | リスト | |||
| DescribeThemeForStack | ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドなど、カスタムブランドテーマ情報を取得する許可を付与する | 読み取り | |||
| DescribeUsageReportSubscriptions | 1 つ以上の使用状況レポートのサブスクリプションを記述するリストを取得する許可を付与。 | リスト | |||
| DescribeUserStackAssociations | UserStackAssociation オブジェクトを記述するリストを取得する許可を付与。 | リスト | |||
| DescribeUsers | ユーザープール内のユーザーを記述するリストを取得する許可を付与。 | リスト | |||
| DisableUser | ユーザープールで指定したユーザーを無効にする許可を付与。このアクションによりユーザーは削除されません。 | 書き込み | |||
| DisassociateAppBlockBuilderAppBlock | 指定された App Block ビルダーと App Block の関連付けを解除するアクセス許可を付与します | 書き込み | |||
| DisassociateApplicationFleet | 指定したフリートから指定したアプリケーションの関連付けを解除する許可を付与します。 | 書き込み | |||
| DisassociateApplicationFromEntitlement | 指定した使用権限管理から指定したアプリケーションの関連付けを解除する許可を付与 | 書き込み | |||
| DisassociateFleet | 指定したスタックから指定したフリートの関連付けを解除する許可を付与。 | Write | |||
| EnableUser | ユーザープールのユーザーを有効にする許可を付与。 | Write | |||
| ExpireSession | 指定したストリーミングセッションをすぐに停止する許可を付与。 | Write | |||
| ListAssociatedFleets | 指定したスタックに関連付けられているフリートの名前を取得する許可を付与。 | Read | |||
| ListAssociatedStacks | 指定したフリートが関連付けられているスタックの名前を取得する許可を付与。 | 読み取り | |||
| ListEntitledApplications | 指定した使用権限管理に関連付けられているアプリケーションを取得する許可を付与 | リスト | |||
| ListTagsForResource | 指定した AppStream 2.0 リソースのすべてのタグのリストを取得するアクセス権限を付与します。イメージビルダー、イメージ、フリート、およびスタックのリソースをタグ付けすることができます。 | 読み取り | |||
| StartAppBlockBuilder | 指定された App Block ビルダーを開始するアクセス許可を付与します | 書き込み | |||
| StartFleet | 指定されたフリートを開始する許可を付与。 | Write | |||
| StartImageBuilder | 指定したイメージビルダーを開始する許可を付与。 | 書き込み | |||
| StopAppBlockBuilder | 指定された App Block ビルダーを中止するアクセス許可を付与します | 書き込み | |||
| StopFleet | 指定したフリートを停止する許可を付与。 | Write | |||
| StopImageBuilder | 指定したイメージビルダーを停止するアクセス権限を付与します。 | Write | |||
| Stream | 指定したスタックから既存の認証情報およびストリームアプリケーションを使用してサインインするアクセス許可をフェデレーティッドユーザーに付与します。 | Write | |||
| TagResource | 指定した AppStream 2.0 リソースの 1 つ以上のタグを追加または上書きする許可を付与。以下のリソースがタグ付けされます:イメージビルダー、イメージ、フリート、スタック、アプリケーションブロックおよびアプリケーション。 | Tagging | |||
| UntagResource | 指定した AppStream 2.0 リソースから 1 つ以上のタグの関連付けを解除する許可を付与。 | Tagging | |||
| UpdateAppBlockBuilder | 指定された App Block ビルダーを更新するアクセス許可を付与します。App Block ビルダーは、App Block の作成に使用される仮想マシンです | 書き込み | |||
| UpdateApplication | 指定したアプリケーションに対して指定したフィールドを更新する許可を付与します。 | 書き込み | |||
| UpdateDirectoryConfig | AppStream 2.0 で指定した Directory Config オブジェクトを更新する許可を付与。このオブジェクトには、フリートおよび Image Builder を Microsoft Active Directory ドメインに参加させるために必要な設定情報が含まれます。 | 書き込み | |||
| UpdateEntitlement | 指定した使用権限管理の指定したフィールドを更新する許可を付与 | 書き込み | |||
| UpdateFleet | 指定したフリートを更新する許可を付与。フリートが停止状態である場合、フリート名を除くすべての属性を更新することができます。 | Write | |||
| UpdateImagePermissions | 指定したプライベートイメージのアクセス許可を追加または更新する許可を付与。 | Write | |||
| UpdateStack | 指定したスタックに対して指定したフィールドを更新する許可を付与。 | 書き込み | |||
| UpdateThemeForStack | ユーザーに表示するカスタムロゴ、ウェブサイトリンク、その他のブランドなど、カスタムブランドテーマ情報を更新する許可を付与する | 書き込み |
Amazon AppStream 2.0 で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| fleet |
arn:${Partition}:appstream:${Region}:${Account}:fleet/${FleetName}
|
|
| image |
arn:${Partition}:appstream:${Region}:${Account}:image/${ImageName}
|
|
| image-builder |
arn:${Partition}:appstream:${Region}:${Account}:image-builder/${ImageBuilderName}
|
|
| stack |
arn:${Partition}:appstream:${Region}:${Account}:stack/${StackName}
|
|
| app-block |
arn:${Partition}:appstream:${Region}:${Account}:app-block/${AppBlockName}
|
|
| application |
arn:${Partition}:appstream:${Region}:${Account}:application/${ApplicationName}
|
|
| app-block-builder |
arn:${Partition}:appstream:${Region}:${Account}:app-block-builder/${AppBlockBuilderName}
|
Amazon AppStream 2.0 の条件キー
Amazon AppStream 2.0 では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを表示するには、AWS 「グローバル条件コンテキストキー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| appstream:userId | AppStream 2.0 ユーザーの ID によってアクセスをフィルタリングします。 | 文字列 |
| aws:RequestTag/${TagKey} | リクエスト内のタグキーおよび値のペアのプレゼンスによってアクションをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします | ArrayOfString |
