本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon WorkSpaces 應用程式的 Identity and Access Management
您的安全登入資料會將您識別為 中的 服務, AWS 並授予您無限使用 AWS 資源,例如 WorkSpaces 應用程式資源。您可以使用 WorkSpaces 應用程式和 AWS Identity and Access Management (IAM) 的功能,允許其他使用者、服務和應用程式使用您的 WorkSpaces 應用程式資源,而無需共用您的安全登入資料。
您可以使用 IAM 來控制其他使用者如何使用 Amazon Web Services 帳戶中的資源,而且您可以使用安全群組來控制對 WorkSpaces 應用程式串流執行個體的存取。您可以允許完全使用或有限地使用 WorkSpaces 應用程式資源。
**Topics**
+ [網路存取您的串流執行個體](network-access-to-streaming-instances.md)
+ [使用 AWS 受管政策和連結角色來管理管理員對 WorkSpaces 應用程式資源的存取](controlling-administrator-access-with-policies-roles.md)
+ [使用 IAM 政策管理對應用程式自動擴展的管理員存取](autoscaling-iam-policy.md)
+ [使用 IAM 政策來管理管理員對主資料夾和應用程式設定持續性之 Amazon S3 儲存貯體的存取權](s3-iam-policy.md)
+ [使用 IAM 角色將許可授予在 WorkSpaces 應用程式串流執行個體上執行的應用程式和指令碼](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [SELinux on Red Hat Enterprise Linux 和 Rocky Linux](selinux.md)
+ [Amazon WorkSpaces 應用程式中以 Cookie 為基礎的身分驗證](cookie-auth.md)
# 網路存取您的串流執行個體
安全群組會做為有狀態的防火牆,來控制可連線至您串流執行個體的流量。當您啟動 WorkSpaces 應用程式串流執行個體時,請將其指派給一或多個安全群組。接著須於每個安全群組新增規則,藉此控制執行個體的流量。您可以隨時修改安全群組的規則。新規則會自動套用至安全群組指派所屬的所有執行個體。
如需詳細資訊,請參閱[Amazon WorkSpaces 應用程式中的安全群組](managing-network-security-groups.md)。
# 使用 AWS 受管政策和連結角色來管理管理員對 WorkSpaces 應用程式資源的存取
根據預設,IAM 使用者沒有建立或修改 WorkSpaces 應用程式資源,或使用 WorkSpaces 應用程式 API 執行任務所需的許可。這表示這些使用者無法在 WorkSpaces 應用程式主控台或使用 WorkSpaces 應用程式 AWS CLI 命令來執行這些動作。如果要讓 IAM 使用者建立或修改資源以及執行任務,請為需要這些許可的 IAM 使用者或群組連接 IAM 政策。
將政策連接到使用者、使用者群組或 IAM 角色時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。
**Topics**
+ [AWS 存取 WorkSpaces 應用程式資源所需的受管政策](managed-policies-required-to-access-appstream-resources.md)
+ [WorkSpaces 應用程式、Application Auto Scaling 和 AWS Certificate Manager Private CA 所需的角色](roles-required-for-appstream.md)
+ [檢查 AmazonAppStreamServiceAccess 服務角色和政策](controlling-access-checking-for-iam-service-access.md)
+ [檢查 ApplicationAutoScalingForAmazonAppStreamAccess 服務角色和政策](controlling-access-checking-for-iam-autoscaling.md)
+ [檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 服務連結角色和政策](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [檢查 AmazonAppStreamPCAAccess 服務角色和政策](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS 存取 WorkSpaces 應用程式資源所需的受管政策
若要提供 WorkSpaces 應用程式的完整管理或唯讀存取權,您必須將下列其中一個 AWS 受管政策連接至需要這些許可的 IAM 使用者或群組。「AWS 受管政策」**為獨立的政策,由 AWS建立並管理。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**注意**
在 中 AWS,IAM 角色用於授予 AWS 服務的許可,使其可以存取 AWS 資源。連接到角色的政策會決定服務可存取哪些 AWS 資源,以及該服務可以如何處理這些資源。對於 WorkSpaces 應用程式,除了擁有 **AmazonAppStreamFullAccess** 政策中定義的許可外,您還必須在 AWS 帳戶中擁有所需的角色。如需詳細資訊,請參閱[WorkSpaces 應用程式、Application Auto Scaling 和 AWS Certificate Manager Private CA 所需的角色](roles-required-for-appstream.md)。
**AmazonAppStreamFullAccess**
此受管政策提供 WorkSpaces 應用程式資源的完整管理存取權。若要透過 AWS 命令列界面 (AWS CLI)、 AWS SDK 或 AWS 管理主控台管理 WorkSpaces 應用程式資源並執行 API 動作,您必須擁有此政策中定義的許可。
如果您以 IAM 使用者身分登入 WorkSpaces 應用程式主控台,您必須將此政策連接至您的 AWS 帳戶。如果您是透過主控台聯合登入,則必須將此政策連接至用於聯合的 IAM 角色。
若要檢視此政策的許可,請參閱 [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html)。
**AmazonAppStreamReadOnlyAccess**
此身分型政策授予使用者唯讀許可,以檢視和監控 WorkSpaces 應用程式資源和相關服務組態。使用者可以存取 WorkSpaces 應用程式主控台來檢視串流應用程式、機群狀態、用量報告和相關聯的資源,但無法進行任何變更。此政策也包含支援 IAM、Application Auto Scaling 和 CloudWatch 等服務所需的讀取許可,以啟用全面的監控和報告功能。
若要檢視此政策的許可,請參閱 [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html)。
WorkSpaces 應用程式主控台使用額外的動作,提供無法透過 CLI 或 AWS SDK AWS 使用的功能。**AmazonAppStreamFullAccess** 和 **AmazonAppStreamReadOnlyAccess** 政策都提供下列動作的許可。
| Action | Description | 存取層級 |
| --- | --- | --- |
| DescribeImageBuilders | 如果提供了映像建置器名稱,則會准許擷取說明一或多個指定的映像建置器清單。否則,帳戶中的所有映像建置器都會予以說明。 | 讀取 |
**AmazonAppStreamPCAAccess**
此受管政策提供 AWS 對帳戶中 Certificate Manager Private CA 資源的完整管理存取權, AWS 以進行憑證型身分驗證。
若要檢視此政策的許可,請參閱 [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)。
**AmazonAppStreamServiceAccess**
此受管政策是 WorkSpaces 應用程式服務角色的預設政策。
此角色許可政策允許 WorkSpaces 應用程式完成下列動作:
+ 在 WorkSpaces 應用程式機群的帳戶中使用子網路時,WorkSpaces 應用程式可以描述子網路、VPCs 和可用區域,以及建立和管理與這些子網路中機群執行個體相關聯的所有彈性網路介面的生命週期。這也包括能夠將安全群組和 IP 地址從這些子網路連接到這些彈性網路介面。
+ 使用 UPP 和 HomeFolders 等功能時,WorkSpaces 應用程式能夠在帳戶中建立和管理 Amazon S3 儲存貯體、物件及其生命週期、政策和加密組態。這些儲存貯體包含下列命名字首:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
若要檢視此政策的許可,請參閱 [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)。
**ApplicationAutoScalingForAmazonAppStreamAccess**
此受管政策可啟用 WorkSpaces 應用程式的應用程式自動擴展。
若要檢視此政策的許可,請參閱 [ApplicationAutoScalingForAmazonAppStreamAccess。 ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html)
**AWSApplicationAutoscalingAppStreamFleetPolicy**
此受管政策授予 Application Auto Scaling 存取 WorkSpaces 應用程式和 CloudWatch 的許可。
若要檢視此政策的許可,請參閱 [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html)。
## WorkSpaces 應用程式更新受 AWS 管政策
檢視自此服務開始追蹤這些變更以來,WorkSpaces 應用程式 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [Amazon WorkSpaces 應用程式的文件歷史記錄](doc-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AmazonAppStreamServiceAccess – 變更 | 將 `"ec2:DescribeImages"`的允許許可新增至政策 JSON 政策文件 | 2025 年 11 月 17 日 |
| AmazonAppStreamReadOnlyAccess – 變更 | `"appstream:Get*",` 從 JSON 政策文件移除 | 2025 年 10 月 22 日 |
| WorkSpaces 應用程式開始追蹤變更 | WorkSpaces 應用程式開始追蹤其 AWS 受管政策的變更 | 2022 年 10 月 31 日 |
# WorkSpaces 應用程式、Application Auto Scaling 和 AWS Certificate Manager Private CA 所需的角色
在 中 AWS,IAM 角色用於授予 AWS 服務的許可,使其可以存取 AWS 資源。連接到角色的政策會決定服務可存取哪些 AWS 資源,以及該服務可以如何處理這些資源。對於 WorkSpaces 應用程式,除了擁有 **AmazonAppStreamFullAccess** 政策中定義的許可外,您還必須在 AWS 帳戶中擁有下列角色。
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
此角色是在 AWS 區域中開始使用 WorkSpaces 應用程式時自動為您建立的服務角色。如需 服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
建立 WorkSpaces 應用程式資源時,WorkSpaces 應用程式服務會擔任此角色 AWS ,代表您對其他服務進行 API 呼叫。若要建立機群,您的帳戶中必須具備此角色。如果此角色不在 AWS 您的帳戶中,且未連接必要的 IAM 許可和信任關係政策,則您無法建立 WorkSpaces 應用程式機群。
如需詳細資訊,請參閱 [檢查 AmazonAppStreamServiceAccess 服務角色和政策](controlling-access-checking-for-iam-service-access.md) 以檢查 **AmazonAppStreamServiceAccess** 服務角色是否存在,並已連接正確的政策。
**注意**
此服務角色可以具有與開始使用 WorkSpaces 應用程式的第一個使用者不同的許可。如需此角色許可的詳細資訊,請參閱 中的「AmazonAppStreamServiceAccess」[AWS 存取 WorkSpaces 應用程式資源所需的受管政策](managed-policies-required-to-access-appstream-resources.md)。
## ApplicationAutoScalingForAmazonAppStreamAccess
此角色是在 AWS 區域中開始使用 WorkSpaces 應用程式時自動為您建立的服務角色。如需 服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
自動擴展是 WorkSpaces 應用程式機群的一項功能。若要設定擴展政策,您必須在 AWS 帳戶中擁有此服務角色。如果此服務角色不在 AWS 您的帳戶中,且未連接必要的 IAM 許可和信任關係政策,則您無法擴展 WorkSpaces 應用程式機群。
如需詳細資訊,請參閱[檢查 ApplicationAutoScalingForAmazonAppStreamAccess 服務角色和政策](controlling-access-checking-for-iam-autoscaling.md)。
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
此角色是自動為您建立的服務連結角色。如需詳細資訊,請參閱《應用程式自動擴展使用者指南》**中的[服務連結角色](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html)。
應用程式自動擴展會使用服務連結角色代表您執行自動擴展。*服務連結角色*是直接連結至 AWS 服務的 IAM 角色。此角色包含服務代表您呼叫其他 AWS 服務所需的所有許可。
如需詳細資訊,請參閱[檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 服務連結角色和政策](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)。
## AmazonAppStreamPCAAccess
此角色是在 AWS 區域中開始使用 WorkSpaces 應用程式時自動為您建立的服務角色。如需 服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
憑證型身分驗證是加入 Microsoft Active Directory 網域的 WorkSpaces 應用程式機群的一項功能。若要啟用和使用憑證型身分驗證,您必須在 AWS 帳戶中擁有此服務角色。如果此服務角色不在 AWS 您的帳戶中,且未連接必要的 IAM 許可和信任關係政策,則您無法啟用或停用憑證型身分驗證。
如需詳細資訊,請參閱[檢查 AmazonAppStreamPCAAccess 服務角色和政策](controlling-access-checking-for-AppStreamPCAAccess.md)。
# 檢查 AmazonAppStreamServiceAccess 服務角色和政策
請完成本節中的步驟,檢查是否具備 **AmazonAppStreamServiceAccess** 服務角色並連接正確的政策。如果此角色不在您的帳戶中且必須建立,則您或具有必要許可的管理員必須執行這些步驟,才能在 Amazon Web Services 帳戶中開始使用 WorkSpaces 應用程式。
**檢查 AmazonAppStreamServiceAccess IAM 服務角色是否存在**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在搜尋方塊中,輸入 **amazonappstreamservice**,縮小要選取的角色清單範圍,然後選擇 **AmazonAppStreamServiceAccess**。如果此角色已列出,請選取它以檢視角色 **Summary (摘要)** 頁面。
1. 在 **Permissions (許可)** 標籤中,確認是否已連接 **AmazonAppStreamServiceAccess** 許可政策。
1. 返回角色 **Summary (摘要)** 頁面。
1. 在 **Trust relationships (信任關係)** 標籤上,選擇 **Show policy document (顯示政策文件)**,然後確認是否已連接 **AmazonAppStreamServiceAccess** 信任關係政策並遵循正確的格式。若是如此,即已正確設定信任關係。選擇**取消**並關閉 IAM 主控台。
## AmazonAppStreamServiceAccess 信任關係政策
**AmazonAppStreamServiceAccess** 信任關係政策必須包含 WorkSpaces 應用程式服務作為委託人。*委託*人是 中的實體 AWS ,可執行動作和存取資源。此政策也必須包含 `sts:AssumeRole` 動作。下列政策組態將 WorkSpaces 應用程式定義為信任的實體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 檢查 ApplicationAutoScalingForAmazonAppStreamAccess 服務角色和政策
請完成本節中的步驟,檢查 **ApplicationAutoScalingForAmazonAppStreamAccess** 服務角色是否存在並已連接正確的政策。如果此角色不在您的帳戶中且必須建立,則您或具有必要許可的管理員必須執行這些步驟,才能在 Amazon Web Services 帳戶中開始使用 WorkSpaces 應用程式。
**檢查 ApplicationAutoScalingForAmazonAppStreamAccess IAM 服務角色是否存在**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在搜尋方塊中,輸入 **applicationautoscaling** 縮小要選取的角色清單範圍,然後選擇 **ApplicationAutoScalingForAmazonAppStreamAccess**。如果此角色已列出,請選取它以檢視角色 **Summary (摘要)** 頁面。
1. 在**許可**索引標籤中,確認是否已連接 **ApplicationAutoScalingForAmazonAppStreamAccess** 許可政策。
1. 返回角色 **Summary (摘要)** 頁面。
1. 在**信任關係**索引標籤上,選擇**顯示政策文件**,然後確認是否已連接 **ApplicationAutoScalingForAmazonAppStreamAccess** 信任關係政策並遵循正確的格式。若是如此,即已正確設定信任關係。選擇**取消**並關閉 IAM 主控台。
## ApplicationAutoScalingForAmazonAppStreamAccess 信任關係政策
**ApplicationAutoScalingForAmazonAppStreamAccess** 信任關係政策必須包含應用程式自動擴展服務作為主體。此政策也必須包含 `sts:AssumeRole` 動作。下列政策組態會將應用程式自動擴展定義為信任的實體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 服務連結角色和政策
請完成本節中的步驟,檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 服務連結角色是否存在並已連接正確的政策。如果此角色不在您的帳戶中且必須建立,則您或具有必要許可的管理員必須執行這些步驟,才能在 Amazon Web Services 帳戶中開始使用 WorkSpaces 應用程式。
**檢查 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` IAM 服務連結角色是否存在**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在搜尋方塊中,輸入 **applicationautoscaling** 縮小要選取的角色清單範圍,然後選擇 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`。如果此角色已列出,請選取它以檢視角色 **Summary (摘要)** 頁面。
1. 在**許可**索引標籤中,確認是否已連接 `AWSApplicationAutoscalingAppStreamFleetPolicy` 許可政策。
1. 返回角色 **Summary (摘要)** 頁面。
1. 在**信任關係**索引標籤上,選擇**顯示政策文件**,然後確認是否已連接 `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 信任關係政策並遵循正確的格式。若是如此,即已正確設定信任關係。選擇**取消**並關閉 IAM 主控台。
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet 信任關係政策
`AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` 信任關係政策必須包含 **appstream.application-autoscaling.amazonaws.com** 作為主體。此政策也必須包含 `sts:AssumeRole` 動作。以下政策組態將 **appstream.application-autoscaling.amazonaws.com** 定義為信任實體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 檢查 AmazonAppStreamPCAAccess 服務角色和政策
請完成本節中的步驟,檢查 **AmazonAppStreamPCAAccess** 服務角色是否存在並已連接正確的政策。如果此角色不在您的帳戶中且必須建立,則您或具有必要許可的管理員必須執行這些步驟,才能在 Amazon Web Services 帳戶中開始使用 WorkSpaces 應用程式。
**檢查 AmazonAppStreamPCAAccess IAM 服務角色是否存在**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在搜尋方塊中,輸入 **appstreampca** 縮小要選取的角色清單範圍,然後選擇 **AmazonAppStreamPCAAccess**。如果此角色已列出,請選取它以檢視角色 **Summary (摘要)** 頁面。
1. 在**許可**索引標籤中,確認是否已連接 **AmazonAppStreamPCAAccess** 許可政策。
1. 返回角色 **Summary (摘要)** 頁面。
1. 在**信任關係**索引標籤上,選擇**顯示政策文件**,然後確認是否已連接 **AmazonAppStreamPCAAccess** 信任關係政策並遵循正確的格式。若是如此,即已正確設定信任關係。選擇**取消**並關閉 IAM 主控台。
## AmazonAppStreamPCAAccess 信任關係政策
**AmazonAppStreamPCAAccess** 信任關係政策必須包含 prod.euc.ecm.amazonaws.com 作為主體。此政策也必須包含 `sts:AssumeRole` 動作。下列政策組態會將 ECM 定義為信任的實體。
**使用 CLI 建立 AmazonAppStreamPCAAccess AWS 信任關係政策**
1. 使用以下文字建立名為 `AmazonAppStreamPCAAccess.json` 的 JSON 檔案。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. 視需要調整`AmazonAppStreamPCAAccess.json`路徑並執行下列 AWS CLI 命令,以建立信任關係政策並連接 AmazonAppStreamPCAAccess 受管政策。如需受管政策的更多相關資訊,請參閱[AWS 存取 WorkSpaces 應用程式資源所需的受管政策](managed-policies-required-to-access-appstream-resources.md)。
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```
# 使用 IAM 政策管理對應用程式自動擴展的管理員存取
透過結合 WorkSpaces 應用程式、Amazon CloudWatch 和 Application Auto Scaling APIs 來實現機群的自動擴展。WorkSpaces 應用程式機群是使用 WorkSpaces 應用程式建立,警示是使用 CloudWatch 建立,擴展政策是使用 Application Auto Scaling 建立。
除了在 [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md) 政策中定義許可之外,存取機群擴展設定的 IAM 使用者也必須擁有支援動態擴展之服務的必要許可。IAM 使用者必須具備使用以下範例政策中各項動作的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appstream:*",
"application-autoscaling:*",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DisableAlarmActions",
"cloudwatch:DescribeAlarms",
"cloudwatch:EnableAlarmActions",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
您也可以建立自己的 IAM 政策,以對應用程式自動擴展 API 呼叫設定更具體的許可。如需詳細資訊,請參閱*Application Auto Scaling使用者指南*中的身分[身分驗證與存取控制](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html)。
# 使用 IAM 政策來管理管理員對主資料夾和應用程式設定持續性之 Amazon S3 儲存貯體的存取權
以下範例示範如何使用 IAM 政策來管理主資料夾和應用程式設定持續性之 Amazon S3 儲存貯體的存取權。
**Topics**
+ [刪除用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體](s3-iam-policy-delete.md)
+ [限制管理員存取用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體](s3-iam-policy-restricted-access.md)
# 刪除用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體
WorkSpaces 應用程式會將 Amazon S3 儲存貯體政策新增至其建立的儲存貯體,以防止意外刪除。若要刪除 S3 儲存貯體,您必須先刪除 S3 儲存貯體政策。以下是您必須針對主資料夾和應用程式設定持續性刪除的儲存貯體政策。
**主資料夾政策**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventAccidentalDeletionOfBucket",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteBucket",
"Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
}
]
}
```
------
**應用程式設定持續性政策**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventAccidentalDeletionOfBucket",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteBucket",
"Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
}
]
}
```
------
如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》**中的[刪除或清空儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html)。
# 限制管理員存取用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體
根據預設,可存取 WorkSpaces 應用程式建立的 Amazon S3 儲存貯體的管理員可以檢視和修改屬於使用者主資料夾和持久性應用程式設定的內容。若要限制管理員存取含有使用者檔案的 S3 儲存貯體,建議您依據以下範本套用 S3 儲存貯體存取政策:
```
{
"Sid": "RestrictedAccess",
"Effect": "Deny",
"NotPrincipal":
{
"AWS": [
"arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
"arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
"arn:aws:iam::account:user/IAM-user-name"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
}
]
}
```
此政策僅允許 S3 儲存貯體存取指定的使用者和 WorkSpaces 應用程式服務。針對每個應具備存取權的 IAM 使用者,複寫以下這一行:
```
"arn:aws:iam::account:user/IAM-user-name"
```
在下列範例中,政策會將主資料夾 S3 儲存貯體的存取權限制為 IAM 使用者 johnstiles 和 marymajor 以外的所有人。它還允許存取美國西部 (奧勒岡) AWS 區域的 WorkSpaces 應用程式服務,帳戶 ID 為 123456789012。
```
{
"Sid": "RestrictedAccess",
"Effect": "Deny",
"NotPrincipal":
{
"AWS": [
"arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
"arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
"arn:aws:iam::123456789012:user/marymajor",
"arn:aws:iam::123456789012:user/johnstiles"
]
},
"Action": "s3:*",
"Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
}
]
}
```
# 使用 IAM 角色將許可授予在 WorkSpaces 應用程式串流執行個體上執行的應用程式和指令碼
在 WorkSpaces 應用程式串流執行個體上執行的應用程式和指令碼,必須在其 AWS API 請求中包含 AWS 登入資料。您可以建立 IAM 角色來管理這些憑證。IAM 角色會指定一組可用於存取 AWS 資源的許可。不過,此角色並非與某個人單獨關聯。反之,任何需要此角色的任何人都可以擔任此角色。
您可以將 IAM 角色套用至 WorkSpaces 應用程式串流執行個體。當串流執行個體切換為 (擔任) 該角色時,該角色會提供暫時安全登入資料。您的應用程式或指令碼會使用這些憑證,在串流執行個體上執行 API 動作和管理任務。WorkSpaces 應用程式會為您管理臨時登入資料切換。
**Topics**
+ [搭配 WorkSpaces 應用程式串流執行個體使用 IAM 角色的最佳實務](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [設定現有的 IAM 角色以搭配 WorkSpaces 應用程式串流執行個體使用](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [如何建立 IAM 角色以搭配 WorkSpaces 應用程式串流執行個體使用](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [如何使用 IAM 角色搭配 WorkSpaces 應用程式串流執行個體](how-to-use-iam-role-with-streaming-instances.md)
# 搭配 WorkSpaces 應用程式串流執行個體使用 IAM 角色的最佳實務
當您搭配 WorkSpaces 應用程式串流執行個體使用 IAM 角色時,建議您遵循下列實務:
+ 限制您授予 AWS API 動作和資源的許可。
當您建立 IAM 政策並將其連接至與 WorkSpaces 應用程式串流執行個體相關聯的 IAM 角色時,請遵循最低權限原則。當您使用需要存取 AWS API 動作或資源的應用程式或指令碼時,請判斷所需的特定動作和資源。然後,建立允許應用程式或指令碼僅執行那些動作的政策。如需詳細資訊,請參閱*《IAM 使用者指南》*中的[授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
+ 為每個 WorkSpaces 應用程式資源建立 IAM 角色。
為每個 WorkSpaces 應用程式資源建立唯一的 IAM 角色是遵循最低權限原則的做法。這樣做也可讓您修改資源的許可,而不會影響其他資源。
+ 限制可使用登入資料的位置。
IAM 政策可讓您定義可使用 IAM 角色來存取資源的條件。例如,您可以包含條件,以指定請求可能來自的 IP 地址範圍。這樣做可防止登入資料在您的環境外遭到使用。如需詳細資訊,請參閱《IAM 使用者指南》**中的[使用政策條件提供額外的安全性](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions)。
# 設定現有的 IAM 角色以搭配 WorkSpaces 應用程式串流執行個體使用
本主題說明如何設定現有的 IAM 角色,以便您可以將其與映像建置器和機群串流執行個體搭配使用。
**先決條件**
您想要與 WorkSpaces 應用程式映像建置器或機群串流執行個體搭配使用的 IAM 角色必須符合下列先決條件:
+ IAM 角色必須與 WorkSpaces 應用程式串流執行個體位於相同的 Amazon Web Services 帳戶中。
+ IAM 角色不能是服務角色。
+ 連接至 IAM 角色的信任關係政策必須包含 WorkSpaces 應用程式服務做為委託人。*委託*人是 中的實體 AWS ,可執行動作和存取資源。政策也必須包含 `sts:AssumeRole` 動作。此政策組態將 WorkSpaces 應用程式定義為信任的實體。
+ 如果您要將 IAM 角色套用至映像建置器,映像建置器必須執行 2019 年 9 月 3 日當天或之後發行的 WorkSpaces 應用程式代理程式版本。如果您要將 IAM 角色套用至機群,機群必須使用使用相同日期當天或之後發行之代理程式版本的映像。如需詳細資訊,請參閱[WorkSpaces 應用程式代理程式版本備註](agent-software-versions.md)。
**讓 WorkSpaces 應用程式服務主體擔任現有的 IAM 角色**
若要執行以下步驟,您必須以有權列出和更新 IAM 角色的 IAM 使用者身分登入帳戶。如果您沒有所需許可,可請 Amazon Web Services 帳戶管理員在您的帳戶中執行這些步驟,或授予您必要的許可。
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**。
1. 在您帳戶的角色清單中,選擇您想要修改的角色名稱。
1. 選擇 **Trust Relationships (信任關係)** 標籤,然後選擇 **Edit Trust Relationship (編輯信任關係)**。
1. 在 **Policy Document (政策文件)** 下,確認信任關係政策包含適用於 `appstream.amazonaws.com` 服務委託人的 `sts:AssumeRole` 動作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"appstream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 當您完成編輯您的信任政策,請選擇 **Update Trust Policy (更新信任政策)** 來儲存您的變更。
1. 您選取的 IAM 角色會顯示在 WorkSpaces 應用程式主控台中。此角色會將許可授予應用程式和指令碼,來在串流執行個體上執行 API 動作和管理任務。
# 如何建立 IAM 角色以搭配 WorkSpaces 應用程式串流執行個體使用
本主題說明如何建立新的 IAM 角色,以便搭配映像建置器和機群串流執行個體使用。
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Select type of trusted entity (選取信任的實體類型)**,選擇 **AWS service ( 服務)**。
1. 從 AWS 服務清單中,選擇 **WorkSpaces 應用程式**。
1. 在**選取您的使用案例**下,已選取 **WorkSpaces 應用程式 — 允許 WorkSpaces 應用程式執行個體代表您呼叫 AWS 服務**。選擇**下一步:許可**。
1. 可以的話,請選取用於許可政策的政策,或者選擇 **Create policy (建立政策)** 以開啟新的瀏覽器標籤,並從頭建立新的政策。如需詳細資訊,請參閱《IAM 使用者指南》**中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) 程序的步驟 4。
在您建立政策後,關閉該標籤並返回您的原始標籤。選取您希望 WorkSpaces 應用程式擁有的許可政策旁的核取方塊。
1. (選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
1. 選擇下**一步:標籤**。您可以選擇將標籤附加為金鑰值配對。如需詳細資訊,請參閱《IAM 使用者指南》**中的[標記 IAM 使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 選擇下**一步:檢閱**。
1. 在**角色名稱**中,輸入您 Amazon Web Services 帳戶中的唯一角色名稱。由於其他 AWS 資源可能會參考角色,因此您無法在建立角色之後編輯角色的名稱。
1. 在 **Role description** (角色描述) 中,保留預設角色描述或輸入新的角色描述。
1. 檢閱角色,然後選擇 **Create role** (建立角色)。
# 如何使用 IAM 角色搭配 WorkSpaces 應用程式串流執行個體
在建立 IAM 角色後,您就可以在啟動映像建置器或建立機群時,將該角色套用到映像建置器或機群串流執行個體。您也可以將 IAM 角色套用到現有的機群。如需如何在啟動映像建置器時套用 IAM 角色的相關資訊,請參閱 [啟動映像建置器以安裝和設定串流應用程式](tutorial-image-builder-create.md)。如需如何在建立機群時套用 IAM 角色的相關資訊,請參閱 [在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)。
當您將 IAM 角色套用至映像建置器或機群串流執行個體時,WorkSpaces 應用程式會擷取臨時登入資料,並在執行個體上建立 **appstream\$1machine\$1role** 登入資料設定檔。臨時憑證的有效期為 1 小時,而且每小時都會擷取新的憑證。之前的登入資料不會過期,因此您可以在有效期間進行使用。您可以使用登入資料設定檔,使用 AWS Command Line Interface (AWS CLI)、 AWS Tools for PowerShell 或軟體 AWS 開發套件搭配您選擇的語言,以程式設計方式呼叫 AWS 服務。
當您發出 API 呼叫時,請指定 **appstream\$1machine\$1role** 做為登入資料描述檔。否則,此操作會因許可不足而失敗。
佈建串流執行個體時,WorkSpaces 應用程式會擔任指定的角色。由於 WorkSpaces 應用程式使用連接到 VPC 的彈性網路界面進行 AWS API 呼叫,因此您的應用程式或指令碼必須等待彈性網路界面變成可用,才能進行 AWS API 呼叫。如果在彈性網路界面變成可用前已進行 API 呼叫,則呼叫會失敗。
以下範例說明您可以如何使用 ** appstream\$1machine\$1role** 登入資料描述檔,來描述串流執行個體 (EC2 執行個體) 以及建立 Boto 用戶端。Boto 是適用於 Python 的 Amazon Web Services (AWS) SDK。
**使用 CLI 描述串流執行個體 (EC2 AWS 執行個體)**
```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```
**使用 AWS Tools for PowerShell 描述串流執行個體 (EC2 執行個體)**
您必須使用 AWS Tools for PowerShell 3.3.563.1 版或更新版本,搭配 Amazon Web Services SDK for .NET 3.3.103.22 版或更新版本。您可以從 Tools for PowerShell 網站下載 AWS Tools for Windows 安裝程式,其中包括 AWS Tools for [AWS PowerShell 和 Amazon Web Services SDK for ](https://aws.amazon.com/powershell/).NET。
```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```
**使用適用於 Python 的 AWS SDK 建立 Boto 用戶端**
```
session = boto3.Session(profile_name='appstream_machine_role')
```
# SELinux on Red Hat Enterprise Linux 和 Rocky Linux
根據預設,Security Enhanced Linux (SELinux) 會針對 WorkSpaces 應用程式映像建置器和採用 Red Hat Enterprise Linux `enabled`和 Rocky Linux 技術的串流執行個體,設定為 `enforcing` 模式。在 `enforcing`模式中,會強制執行許可拒絕。SELinux 是核心功能和公用程式的集合,為核心的主要子系統提供了強大、靈活且強制的存取控制 (MAC) 架構。
SELinux 提供增強的機制,可以根據機密性和完整性需求強制執行資訊分離。這種資訊分離可減少竄改和略過應用程式安全機制的威脅。另外還限制惡意或有缺陷的應用程式可能造成的損壞。
SELinux 包含一組樣本安全政策組態檔案,旨在滿足日常安全目標。如需 SELinux 功能的詳細資訊,請參閱[什麼是 SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?
# Amazon WorkSpaces 應用程式中以 Cookie 為基礎的身分驗證
WorkSpaces 應用程式使用瀏覽器 Cookie 來驗證串流工作階段,並允許使用者重新連線至作用中工作階段,而不必每次都重新輸入登入資料。每個身分驗證案例的身分驗證字符都存放在瀏覽器 Cookie 中。雖然許多線上服務都需要 Cookie,但它們可能容易遭受 Cookie 盜竊攻擊。我們強烈建議您採取主動措施來防止 Cookie 遭竊,例如為使用者的裝置實作強大的端點保護解決方案。此外,為了減輕 Cookie 遭竊時的潛在影響,我們建議您考慮下列動作:
+ **強制執行單一工作階段限制**:針對 WorkSpaces 應用程式 Windows 映像,在 下建立登錄機碼`HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management`,名稱 **max-concurrent-clients** 設定為 1,一次僅允許一個連線。這會將並行工作階段的數量限制為一個,並封鎖作用中工作階段的鏡像。如需詳細資訊,請參閱[工作階段管理參數](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)。
+ **強制執行工作階段過期和重新驗證**
+ 減少 SessionDuration 值,讓身分驗證字符在使用者成功啟動串流工作階段後過期。在 sessionDuration 過期後重複使用身分驗證 Cookie 需要使用者自行重新驗證身分。SessionDuration 會指定使用者聯合串流工作階段在需要重新驗證之前可保持作用中狀態的時間上限。預設值為 60 分鐘。如需詳細資訊,請參閱[步驟 5:建立 SAML 身分驗證回應聲明](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。
+ 為了協助最大化安全性,使用者應該使用工具列正確結束工作階段 (終止工作階段),而不是關閉串流視窗。透過工具列結束工作階段會同時終止使用者工作階段和串流執行個體。這需要重新驗證以供未來存取,以防止 Cookie 濫用。如果使用者關閉串流視窗而不結束工作階段,工作階段和執行個體會在可設定的中斷連線逾時期間 (以分鐘為單位) 保持作用中狀態。中斷連線逾時必須是介於 1 到 5760 之間的數字,預設值為 15 分鐘。為避免誤用非作用中工作階段,建議您設定短暫中斷連線逾時。如需詳細資訊,請參閱[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)。
+ **限制將 WorkSpaces 應用程式串流至 IP 範圍的存取**:我們建議您實作 IP 型 IAM 政策。這可確保只能從 IP 地址屬於授權 IP 範圍的用戶端存取 WorkSpaces 應用程式工作階段。用戶端 IP 地址超出授權範圍的使用者所啟動的所有連線嘗試都會遭到拒絕,即使他們呈現的是有效的身分驗證 Cookie (可能遭竊的使用者)。如需詳細資訊,請參閱[限制將 Amazon AppStream 2.0 應用程式串流至 IP 範圍的存取](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/)。
+ **新增其他身分驗證**:若要啟動加入網域的串流執行個體,您可以將 WorkSpaces 應用程式 Always-On 和 On-Demand Windows 機群和映像建置器加入 Microsoft Active Directory 中的網域,並使用現有的 Active Directory 網域,無論是雲端或內部部署。在初始 SAML 型身分驗證之後,系統會提示您的使用者提供其網域登入資料,以針對組織網域進行其他身分驗證。如需詳細資訊,請參閱[搭配 WorkSpaces 應用程式使用 Active Directory](active-directory.md)。
如果您有任何疑慮或需要協助,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。