Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von AWS verwalteten Richtlinien und verknüpften Rollen zur Verwaltung des Administratorzugriffs auf WorkSpaces Anwendungsressourcen
Standardmäßig verfügen IAM-Benutzer nicht über die erforderlichen Berechtigungen, um WorkSpaces Anwendungsressourcen zu erstellen oder zu ändern oder Aufgaben mithilfe der WorkSpaces Anwendungs-API auszuführen. Das bedeutet, dass diese Benutzer diese Aktionen nicht in der WorkSpaces Anwendungskonsole oder mithilfe von WorkSpaces AWS Anwendungs-CLI-Befehlen ausführen können. Damit IAM-Benutzer Ressourcen erstellen oder ändern und Aufgaben ausführen können, ordnen Sie den IAM-Benutzern oder Gruppen, für die diese Berechtigungen erforderlich sind, eine IAM-Richtlinie zu.
Wenn Sie einem Benutzer, einer Benutzergruppe oder IAM-Rolle eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
**Topics**
+ [AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md)
+ [Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien](controlling-access-checking-for-iam-service-access.md)
+ [Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md)
+ [Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich
Um vollen administrativen oder schreibgeschützten Zugriff auf WorkSpaces Anwendungen zu gewähren, müssen Sie den IAM-Benutzern oder -Gruppen, die diese Berechtigungen benötigen, eine der folgenden AWS verwalteten Richtlinien zuordnen. Bei einer von *AWS verwalteten Richtlinie* handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Anmerkung**
In werden IAM-Rollen verwendet AWS, um einem AWS Dienst Berechtigungen zu erteilen, sodass dieser auf Ressourcen zugreifen kann. AWS Die Richtlinien, die der Rolle zugeordnet sind, bestimmen, auf welche AWS Ressourcen der Dienst zugreifen kann und was er mit diesen Ressourcen machen kann. Für WorkSpaces Anwendungen müssen Sie nicht nur über die in der **AmazonAppStreamFullAccess**Richtlinie definierten Berechtigungen verfügen, sondern auch über die erforderlichen Rollen in Ihrem AWS Konto verfügen. Weitere Informationen finden Sie unter [Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA](roles-required-for-appstream.md).
**AmazonAppStreamFullAccess**
Diese verwaltete Richtlinie bietet vollen Administratorzugriff auf WorkSpaces Anwendungsressourcen. Um WorkSpaces Anwendungsressourcen zu verwalten und API-Aktionen über die AWS Befehlszeilenschnittstelle (AWS CLI), AWS das SDK oder die AWS Managementkonsole auszuführen, müssen Sie über die in dieser Richtlinie definierten Berechtigungen verfügen.
Wenn Sie sich als IAM-Benutzer bei der WorkSpaces Anwendungskonsole anmelden, müssen Sie diese Richtlinie an Ihre AWS-Konto anhängen. Wenn Sie sich über den Konsolenverbund anmelden, müssen Sie diese Richtlinie der IAM-Rolle anfügen, die für den Verbund verwendet wurde.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).
**AmazonAppStreamReadOnlyAccess**
Diese identitätsbasierte Richtlinie gewährt Benutzern nur Leseberechtigungen zum Anzeigen und Überwachen von WorkSpaces Anwendungsressourcen und zugehörigen Dienstkonfigurationen. Benutzer können auf die WorkSpaces Anwendungskonsole zugreifen, um Streaming-Anwendungen, den Flottenstatus, Nutzungsberichte und zugehörige Ressourcen einzusehen, können jedoch keine Änderungen vornehmen. Die Richtlinie umfasst auch die erforderlichen Leseberechtigungen für die Unterstützung von Diensten wie IAM und CloudWatch Application Auto Scaling sowie für umfassende Überwachungs- und Berichtsfunktionen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).
Die WorkSpaces Anwendungskonsole verwendet eine zusätzliche Aktion, die Funktionen bereitstellt, die über die AWS CLI oder das AWS SDK nicht verfügbar sind. Die **AmazonAppStreamReadOnlyAccess**Richtlinien **AmazonAppStreamFullAccess**und beide bieten Berechtigungen für die folgende Aktion.
| Action | Description | Zugriffsebene |
| --- | --- | --- |
| DescribeImageBuilders | Gewährt die Berechtigung zum Abrufen einer Liste, die eine oder mehrere angegebene Image Builder beschreibt, sofern die Namen der Image Builder angegeben werden. Andernfalls werden alle Image-Builder im Konto beschrieben. | Lesen |
**AmazonAppStreamPCAAccess**
Diese verwaltete Richtlinie bietet vollen Administratorzugriff auf AWS Certificate Manager Private CA-Ressourcen in Ihrem AWS Konto für die zertifikatsbasierte Authentifizierung.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter. [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)
**AmazonAppStreamServiceAccess**
Diese verwaltete Richtlinie ist die Standardrichtlinie für die WorkSpaces Anwendungsdienstrolle.
Mit dieser Richtlinie für Rollenberechtigungen können WorkSpaces Anwendungen die folgenden Aktionen ausführen:
+ Wenn Sie Subnetze in Ihrem Konto für Ihre WorkSpaces Anwendungsflotten verwenden, ist WorkSpaces Applications in der Lage VPCs, Subnetze und Verfügbarkeitszonen zu beschreiben sowie den Lebenszyklus aller Elastic Network-Schnittstellen zu erstellen und zu verwalten, die mit den Flotteninstanzen in diesen Subnetzen verknüpft sind. Dazu gehört auch, dass Sie Sicherheitsgruppen und IP-Adressen aus diesen Subnetzen an diese elastischen Netzwerkschnittstellen anhängen können.
+ Bei Verwendung von Funktionen wie UPP und HomeFolders kann WorkSpaces Applications Amazon S3 S3-Buckets, Objekte und deren Lebenszyklen, Richtlinien und Verschlüsselungskonfigurationen im Konto erstellen und verwalten. Diese Buckets enthalten die folgenden Namenspräfixe:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter. [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)
**ApplicationAutoScalingForAmazonAppStreamAccess**
Diese verwaltete Richtlinie ermöglicht die automatische Skalierung von WorkSpaces Anwendungen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).
**AWSApplicationAutoscalingAppStreamFleetPolicy**
Diese verwaltete Richtlinie gewährt Application Auto Scaling Berechtigungen für den Zugriff auf WorkSpaces Anwendungen und CloudWatch .
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).
## WorkSpaces Aktualisierungen AWS verwalteter Richtlinien durch Anwendungen
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für WorkSpaces Anwendungen, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für WorkSpaces Amazon-Anwendungen](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AmazonAppStreamServiceAccess — Änderung | Dem JSON-Richtliniendokument `"ec2:DescribeImages"` zur Richtlinie wurden Genehmigungsberechtigungen für hinzugefügt | 17. November 2025 |
| AmazonAppStreamReadOnlyAccess — Veränderung | `"appstream:Get*",`Aus dem JSON-Richtliniendokument entfernt | 22. Oktober 2025 |
| WorkSpaces Anwendungen haben begonnen, Änderungen zu verfolgen | WorkSpaces Die Anwendungen begannen, Änderungen für die von ihnen AWS verwalteten Richtlinien nachzuverfolgen | 31. Oktober 2022 |
# Erforderliche Rollen für WorkSpaces Anwendungen, Application Auto Scaling und AWS Certificate Manager Private CA
In werden IAM-Rollen verwendet AWS, um einem AWS Dienst Berechtigungen zu erteilen, sodass dieser auf AWS Ressourcen zugreifen kann. Die Richtlinien, die der Rolle zugeordnet sind, bestimmen, auf welche AWS Ressourcen der Dienst zugreifen kann und was er mit diesen Ressourcen machen kann. Für WorkSpaces Anwendungen müssen Sie nicht nur über die in der **AmazonAppStreamFullAccess**Richtlinie definierten Berechtigungen verfügen, sondern auch über die folgenden Rollen in Ihrem AWS Konto verfügen.
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Während WorkSpaces Anwendungsressourcen erstellt werden, führt der WorkSpaces Applications-Service in Ihrem Namen API-Aufrufe an andere AWS Dienste durch, indem er diese Rolle übernimmt. Um Flotten zu erstellen, müssen Sie diese Rolle in Ihrem Konto haben. Wenn diese Rolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie keine WorkSpaces Anwendungsflotten erstellen.
Weitere Informationen finden Sie unter [Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien](controlling-access-checking-for-iam-service-access.md) So überprüfen Sie, ob die **AmazonAppStreamServiceAccess**Servicerolle vorhanden ist und ob sie mit den richtigen Richtlinien verknüpft ist.
**Anmerkung**
Diese Servicerolle kann andere Berechtigungen haben als die des ersten Benutzers, der mit WorkSpaces Applications anfängt. Einzelheiten zu den Berechtigungen dieser Rolle finden Sie unter „AmazonAppStreamServiceAccess“ in[AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md).
## ApplicationAutoScalingForAmazonAppStreamAccess
Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Die automatische Skalierung ist eine Funktion von WorkSpaces Applications Fleets. Um Skalierungsrichtlinien zu konfigurieren, müssen Sie diese Servicerolle in Ihrem AWS Konto haben. Wenn diese Servicerolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie WorkSpaces Anwendungsflotten nicht skalieren.
Weitere Informationen finden Sie unter [Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess](controlling-access-checking-for-iam-autoscaling.md).
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
Bei dieser Rolle handelt es sich um eine serviceverknüpfte Rolle, die automatisch für Sie erstellt wird. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) im *Application Auto Scaling-Benutzerhandbuch*.
Application Auto Scaling verwendet eine serviceverknüpfte Rolle, um die automatische Skalierung in Ihrem Namen durchzuführen. Eine *dienstverknüpfte Rolle* ist eine IAM-Rolle, die direkt mit einem Dienst verknüpft ist. AWS Diese Rolle umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Weitere Informationen finden Sie unter [Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).
## AmazonAppStreamPCAAccess
Bei dieser Rolle handelt es sich um eine Servicerolle, die automatisch für Sie erstellt wird, wenn Sie mit WorkSpaces Anwendungen in einer AWS Region beginnen. Weitere Informationen zu Servicerollen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Die zertifikatsbasierte Authentifizierung ist eine Funktion von WorkSpaces Anwendungsflotten, die Microsoft Active Directory-Domänen angehören. Um die zertifikatsbasierte Authentifizierung zu aktivieren und zu verwenden, müssen Sie diese Servicerolle in Ihrem Konto haben. AWS Wenn diese Servicerolle nicht in Ihrem AWS Konto enthalten ist und die erforderlichen IAM-Berechtigungen und Vertrauensstellungsrichtlinien nicht angehängt sind, können Sie die zertifikatsbasierte Authentifizierung nicht aktivieren oder verwenden.
Weitere Informationen finden Sie unter [Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien](controlling-access-checking-for-AppStreamPCAAccess.md).
# Suchen Sie nach der AmazonAppStreamServiceAccess Servicerolle und den Richtlinien
Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **AmazonAppStreamServiceAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.
**Um zu überprüfen, ob die AmazonAppStreamServiceAccess IAM-Servicerolle vorhanden ist**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Geben Sie im Suchfeld **amazonappstreamservice** ein, um die Liste der auszuwählenden Rollen einzugrenzen, und wählen Sie dann aus. **AmazonAppStreamServiceAccess** Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen.
1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **AmazonAppStreamServiceAccess**-Berechtigungsrichtlinie angefügt ist.
1. Kehren Sie zur Seite **Summary (Zusammenfassung)** der Rolle zurück.
1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **AmazonAppStreamServiceAccess** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole.
## AmazonAppStreamServiceAccess Richtlinie für Vertrauensbeziehungen
Die **AmazonAppStreamServiceAccess**Vertrauensbeziehungsrichtlinie muss den WorkSpaces Anwendungsdienst als Prinzipal beinhalten. Ein *Principal* ist eine Entität AWS , die Aktionen ausführen und auf Ressourcen zugreifen kann. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert WorkSpaces Anwendungen als vertrauenswürdige Entität.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Suchen nach der Servicerolle und den Richtlinien für ApplicationAutoScalingForAmazonAppStreamAccess
Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **ApplicationAutoScalingForAmazonAppStreamAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.
**So überprüfen Sie, ob die ApplicationAutoScalingForAmazonAppStreamAccess-IAM-Servicerolle vorhanden ist**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Geben Sie in das Suchfeld **applicationautoscaling** ein, um die Liste der auszuwählenden Rollen einzuschränken, und wählen Sie dann **ApplicationAutoScalingForAmazonAppStreamAccess** aus. Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen.
1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **ApplicationAutoScalingForAmazonAppStreamAccess**-Berechtigungsrichtlinie angefügt ist.
1. Kehren Sie zur Seite **Summary (Zusammenfassung)** der Rolle zurück.
1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **ApplicationAutoScalingForAmazonAppStreamAccess** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole.
## ApplicationAutoScalingForAmazonAppStreamAccess-Vertrauensstellungsrichtlinie
Die Vertrauensstellungsrichtlinie **ApplicationAutoScalingForAmazonAppStreamAccess** muss den Application-Auto-Scaling-Service als Prinzipal enthalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert Application Auto Scaling als vertrauenswürdige Entität.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Suchen nach der serviceverknüpften Rolle und den Richtlinien für `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`
Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die serviceverknüpfte `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`-Rolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.
**So überprüfen Sie, ob die serviceverknüpfte `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`-IAM-Rolle vorhanden ist**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Geben Sie in das Suchfeld **applicationautoscaling** ein, um die Liste der auszuwählenden Rollen einzuschränken, und wählen Sie dann `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` aus. Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen.
1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die `AWSApplicationAutoscalingAppStreamFleetPolicy`-Berechtigungsrichtlinie angefügt ist.
1. Kehren Sie zur Übersichtsseite **Role (Rolle)** zurück.
1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole.
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet Richtlinie für Vertrauensbeziehungen
Die Vertrauensstellungsrichtlinie `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` muss **appstream.application-autoscaling.amazonaws.com** als Prinzipal enthalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert **appstream.application-autoscaling.amazonaws.com** als vertrauenswürdige Entität.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Suchen Sie nach der AmazonAppStream PCAAccess Servicerolle und den Richtlinien
Befolgen Sie die Schritte in diesem Abschnitt, um zu überprüfen, ob die **AmazonAppStreamPCAAccess**-Servicerolle vorhanden ist und der Rolle die richtigen Richtlinien angefügt sind. Wenn diese Rolle nicht in Ihrem Konto enthalten ist und erstellt werden muss, müssen Sie oder ein Administrator mit den erforderlichen Berechtigungen die Schritte ausführen, um mit WorkSpaces Anwendungen in Ihrem Amazon Web Services Services-Konto zu beginnen.
**Um zu überprüfen, ob die AmazonAppStream PCAAccess IAM-Servicerolle vorhanden ist**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Geben Sie in das Suchfeld **appstreampca** ein, um die Liste der auszuwählenden Rollen einzugrenzen, und wählen Sie dann aus. **AmazonAppStreamPCAAccess** Wenn diese Rolle aufgeführt ist, wählen Sie sie aus, um die Seite **Summary (Zusammenfassung)** für die Rolle anzuzeigen.
1. Prüfen Sie auf der Registerkarte **Berechtigungen**, ob die **AmazonAppStreamPCAAccess **-Berechtigungsrichtlinie angefügt ist.
1. Kehren Sie zur Übersichtsseite **Role (Rolle)** zurück.
1. Klicken Sie auf der Registerkarte **Vertrauensstellungen** auf **Richtliniendokument anzeigen** und prüfen Sie, ob die Vertrauensstellungsrichtlinie **AmazonAppStreamPCAAccess ** angefügt ist und das richtige Format hat. Wenn dies der Fall ist, wurde die Vertrauensstellung ordnungsgemäß konfiguriert. Klicken Sie auf **Abbrechen** und schließen Sie die IAM-Konsole.
## AmazonAppStreamPCAAccess Richtlinie für Vertrauensbeziehungen
Die Richtlinie für **AmazonAppStreamPCAAccess**Vertrauensbeziehungen muss prod.euc.ecm.amazonaws.com als Prinzipal beinhalten. Diese Richtlinie muss auch die Aktion `sts:AssumeRole` enthalten. Die folgende Richtlinienkonfiguration definiert ECM als vertrauenswürdige Entität.
**So erstellen Sie die AmazonAppStream PCAAccess Vertrauensbeziehungsrichtlinie mit der AWS CLI**
1. Erstellen Sie eine JSON-Datei namens `AmazonAppStreamPCAAccess.json` mit dem folgenden Text.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Passen Sie den `AmazonAppStreamPCAAccess.json` Pfad nach Bedarf an und führen Sie die folgenden AWS CLI-Befehle aus, um die Vertrauensbeziehungsrichtlinie zu erstellen und die AmazonAppStream PCAAccess verwaltete Richtlinie anzuhängen. Für weitere Informationen über die verwaltete Richtlinie siehe [AWS Für den Zugriff auf WorkSpaces Anwendungsressourcen sind verwaltete Richtlinien erforderlich](managed-policies-required-to-access-appstream-resources.md).
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```