配置现有 IAM 角色以与 AppStream 2.0 流实例一起使用 - Amazon AppStream 2.0

配置现有 IAM 角色以与 AppStream 2.0 流实例一起使用

本主题介绍如何配置现有 IAM 角色,以便您可以将其与映像生成器和实例集流实例一起使用。

先决条件

要与 AppStream 2.0 映像生成器或实例集流实例一起使用的 IAM 角色必须满足以下先决条件:

  • IAM 角色必须与 AppStream 2.0 流实例位于同一个 Amazon Web Services 账户中。

  • IAM 角色不能是服务角色。

  • 附加到 IAM 角色的信任关系策略必须包含 AppStream 2.0 服务作为主体。主体 是 AWS 中可执行操作并访问资源的实体。该策略还必须包括 sts:AssumeRole 操作。此策略配置将 AppStream 2.0 定义为可信实体。

  • 如果要将 IAM 角色应用于映像生成器,则映像生成器必须运行在 2019 年 9 月 3 日或之后发布的 AppStream 2.0 代理版本 如果要将 IAM 角色应用于一个实例集,则该实例集必须使用一个映像,该映像使用在同一日期或之后发布的代理版本。有关更多信息,请参阅 AppStream 2.0 代理发布说明

允许 AppStream 2.0 服务主体代入现有 IAM 角色

要执行以下步骤,您必须以具有列出和更新 IAM 角色所需权限的 IAM 用户身份登录账户。如果您没有所需的权限,则要求您的 Amazon Web Services 账户管理员在您的账户中执行这些步骤或授予您所需权限。

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色

  3. 在您的账户的角色列表中,选择要修改的角色的名称。

  4. 选择 信任关系 选项卡,然后选择 编辑信任关系

  5. 策略文档下,验证信任关系策略是否包含 appstream.amazonaws.com 服务主体的 sts:AssumeRole 操作:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "appstream.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. 在编辑完信任策略后,请选择更新信任策略以保存所做更改。

  7. 您选择的 IAM 角色将显示在 AppStream 2.0 控制台中。此角色授予对应用程序和脚本的权限,以便在流实例上执行 API 操作和管理任务。