Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de políticas AWS administradas y funciones vinculadas para administrar el acceso de los administradores a WorkSpaces las aplicaciones y los recursos
De forma predeterminada, los usuarios de IAM no tienen los permisos necesarios para crear o modificar los recursos de WorkSpaces las aplicaciones ni para realizar tareas mediante la API de WorkSpaces aplicaciones. Esto significa que estos usuarios no pueden realizar estas acciones en la consola de WorkSpaces aplicaciones ni mediante los comandos AWS CLI de WorkSpaces aplicaciones. Para permitir a los usuarios de IAM crear o modificar recursos y realizar tareas, asocie una política de IAM a los usuarios o grupos de IAM que requieren esos permisos.
Cuando se asocia una política a un usuario, grupo de usuarios o rol de IAM, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.
**Topics**
+ [AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md)
+ [Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio](controlling-access-checking-for-iam-service-access.md)
+ [Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas](controlling-access-checking-for-iam-autoscaling.md)
+ [Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones
Para proporcionar acceso administrativo completo o de solo lectura a WorkSpaces las aplicaciones, debe adjuntar una de las siguientes políticas AWS administradas a los usuarios o grupos de IAM que requieran esos permisos. Una *política administrada por AWS * es una política independiente creada y administrada por AWS. Para más información, consulte[ Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
**nota**
En AWS, las funciones de IAM se utilizan para conceder permisos a un AWS servicio para que pueda acceder a los recursos. AWS Las políticas asociadas a la función determinan a qué AWS recursos puede acceder el servicio y qué puede hacer con esos recursos. En el caso de WorkSpaces las aplicaciones, además de tener los permisos definidos en la **AmazonAppStreamFullAccess**política, también debe tener las funciones necesarias en su AWS cuenta. Para obtener más información, consulte [Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA](roles-required-for-appstream.md).
**AmazonAppStreamFullAccess**
Esta política gestionada proporciona acceso administrativo completo a los recursos de WorkSpaces las aplicaciones. Para administrar los recursos de WorkSpaces las aplicaciones y realizar acciones de API a través de la interfaz de línea de AWS comandos (AWS CLI), el AWS SDK o la consola de AWS administración, debe tener los permisos definidos en esta política.
Si inicia sesión en la consola de WorkSpaces aplicaciones como usuario de IAM, debe adjuntar esta política a la suya Cuenta de AWS. Si inicia sesión a través de la federación de consolas, debe asociar esta política al rol de IAM que se ha utilizado para la federación.
Para ver los permisos de esta política, consulte [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).
**AmazonAppStreamReadOnlyAccess**
Esta política basada en la identidad otorga a los usuarios permisos de solo lectura para ver y monitorear los recursos de WorkSpaces las aplicaciones y las configuraciones de los servicios relacionados. Los usuarios pueden acceder a la consola de WorkSpaces aplicaciones para ver las aplicaciones de streaming, el estado de la flota, los informes de uso y los recursos asociados, pero no pueden realizar ningún cambio. La política también incluye los permisos de lectura necesarios para respaldar servicios como IAM y Application Auto Scaling, y CloudWatch para habilitar capacidades integrales de monitoreo e informes.
Para ver los permisos de esta política, consulte [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).
La consola de WorkSpaces aplicaciones utiliza una acción adicional que proporciona una funcionalidad que no está disponible a través de la AWS CLI o el AWS SDK. **AmazonAppStreamFullAccess**Tanto **AmazonAppStreamReadOnlyAccess**las políticas como las políticas proporcionan permisos para la siguiente acción.
| Action | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| DescribeImageBuilders | Otorga permiso para recuperar una lista que describe uno o más constructores de imágenes especificados, si se proporcionan los nombres de los constructores. De lo contrario, se describen todos los constructores de imágenes de la cuenta. | Lectura |
**AmazonAppStreamPCAAccess**
Esta política administrada proporciona acceso administrativo completo a los recursos de CA Private de AWS Certificate Manager de su AWS cuenta para la autenticación basada en certificados.
Para ver los permisos de esta política, consulte. [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)
**AmazonAppStreamServiceAccess**
Esta política administrada es la política predeterminada para la función de servicio de WorkSpaces aplicaciones.
Esta política de permisos de roles permite a WorkSpaces las aplicaciones realizar las siguientes acciones:
+ Al usar subredes en su cuenta para sus flotas de WorkSpaces WorkSpaces aplicaciones, Applications puede describir las subredes y las zonas de disponibilidad VPCs, así como crear y administrar el ciclo de vida de todas las interfaces de red elásticas asociadas a las instancias de la flota en esas subredes. Esto también incluye la posibilidad de asociar grupos de seguridad y direcciones IP desde esas subredes a esas interfaces de red elásticas.
+ Al utilizar funciones como UPP y HomeFolders, WorkSpaces Applications puede crear y gestionar buckets y objetos de Amazon S3 y sus ciclos de vida, políticas y configuración de cifrado en la cuenta. Estos buckets incluyen los siguientes prefijos de nomenclatura:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
Para ver los permisos de esta política, consulte. [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)
**ApplicationAutoScalingForAmazonAppStreamAccess**
Esta política gestionada permite el escalado automático de las WorkSpaces aplicaciones.
Para ver los permisos de esta política, consulte [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).
**AWSApplicationAutoscalingAppStreamFleetPolicy**
Esta política administrada otorga permisos para que Application Auto Scaling acceda a WorkSpaces las aplicaciones y CloudWatch .
Para ver los permisos de esta política, consulte [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).
## WorkSpaces Actualizaciones de las aplicaciones a las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para WorkSpaces las aplicaciones desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos para WorkSpaces aplicaciones de Amazon](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| AmazonAppStreamServiceAccess — Cambiar | Se agregó la autorización de permisos `"ec2:DescribeImages"` a la política (documento de política JSON) | 17 de noviembre de 2025 |
| AmazonAppStreamReadOnlyAccess — Cambio | Se ha eliminado `"appstream:Get*",` del documento de política de JSON | 22 de octubre de 2025 |
| WorkSpaces Las aplicaciones comenzaron a rastrear los cambios | WorkSpaces Las aplicaciones empezaron a rastrear los cambios de sus políticas AWS gestionadas | 31 de octubre de 2022 |
# Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA
En AWS, las funciones de IAM se utilizan para conceder permisos a un AWS servicio para que pueda acceder a AWS los recursos. Las políticas asociadas a la función determinan a qué AWS recursos puede acceder el servicio y qué puede hacer con esos recursos. En el caso de WorkSpaces las aplicaciones, además de tener los permisos definidos en la **AmazonAppStreamFullAccess**política, también debe tener las siguientes funciones en su AWS cuenta.
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
Mientras se crean los recursos de WorkSpaces aplicaciones, el servicio de WorkSpaces aplicaciones realiza llamadas a la API a otros AWS servicios en su nombre al asumir esta función. Para crear flotas, debe tener este rol en su cuenta. Si esta función no está en su AWS cuenta y no están adjuntas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá crear flotas de WorkSpaces aplicaciones.
Para obtener más información, consulte [Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio](controlling-access-checking-for-iam-service-access.md) para comprobar si el rol de **AmazonAppStreamServiceAccess**servicio está presente y tiene adjuntas las políticas correctas.
**nota**
Este rol de servicio puede tener permisos diferentes a los del primer usuario que comienza a usar las WorkSpaces aplicaciones. Para obtener más información sobre los permisos de este rol, consulte «AmazonAppStreamServiceAccess» en[AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md).
## ApplicationAutoScalingForAmazonAppStreamAccess
Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
El escalado automático es una función de WorkSpaces las flotas de aplicaciones. Para configurar las políticas de escalado, debe tener este rol de servicio en su AWS cuenta. Si esta función de servicio no está en su AWS cuenta y no están asociadas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá escalar WorkSpaces las flotas de aplicaciones.
Para obtener más información, consulte [Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas](controlling-access-checking-for-iam-autoscaling.md).
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
Este rol es un rol vinculado a servicios que se crea automáticamente en su nombre. Para obtener más información, consulte [Roles vinculados a servicios](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) en la *Guía del usuario de Auto Scaling de aplicaciones*.
El Auto Scaling de aplicaciones utiliza un rol vinculado a servicios para realizar el escalado automático en su nombre. Un *rol vinculado a un servicio es un rol* de IAM que está vinculado directamente a un servicio. AWS Esta función incluye todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Para obtener más información, consulte [Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).
## AmazonAppStreamPCAAccess
Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
La autenticación basada en certificados es una función de WorkSpaces las flotas de aplicaciones unidas a los dominios de Microsoft Active Directory. Para habilitar y usar la autenticación basada en certificados, debe tener este rol de servicio en su cuenta. AWS Si esta función de servicio no está en su AWS cuenta y no están adjuntas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá habilitar ni utilizar la autenticación basada en certificados.
Para obtener más información, consulte [Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio](controlling-access-checking-for-AppStreamPCAAccess.md).
# Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio
Complete los pasos de esta sección para comprobar si el rol de servicio **AmazonAppStreamServiceAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.
**Para comprobar si el rol de servicio de AmazonAppStreamServiceAccess IAM está presente**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, escriba **amazonappstreamservice** para reducir la lista de funciones que desea seleccionar y, a continuación, elija. **AmazonAppStreamServiceAccess** Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol.
1. En la pestaña **Permisos**, confirme si la política de permisos **AmazonAppStreamServiceAccess** está asociada.
1. Vuelva a la página **Summary (Resumen)** del rol.
1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **AmazonAppStreamServiceAccess** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM.
## AmazonAppStreamServiceAccess política de relaciones de confianza
La política de relaciones de **AmazonAppStreamServiceAccess**confianza debe incluir el servicio de WorkSpaces Aplicaciones como principal. Un *principal* es una entidad AWS que puede realizar acciones y acceder a los recursos. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de políticas define a WorkSpaces las aplicaciones como una entidad de confianza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas
Complete los pasos de esta sección para comprobar si el rol de servicio **ApplicationAutoScalingForAmazonAppStreamAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.
**Para comprobar si existe el rol de servicio de IAM ApplicationAutoScalingForAmazonAppStreamAccess**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, escriba **applicationautoscaling** para reducir la lista de roles que aparecen y elija **ApplicationAutoScalingForAmazonAppStreamAccess**. Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol.
1. En la pestaña **Permisos**, confirme si la política de permisos **ApplicationAutoScalingForAmazonAppStreamAccess** está asociada.
1. Vuelva a la página **Summary (Resumen)** del rol.
1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **ApplicationAutoScalingForAmazonAppStreamAccess** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM.
## Política de relación de confianza ApplicationAutoScalingForAmazonAppStreamAccess
La política de relación de confianza **ApplicationAutoScalingForAmazonAppStreamAccess** debe incluir el servicio de Auto Scaling de aplicaciones como entidad principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de política define Auto Scaling de aplicaciones como una entidad de confianza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas
Complete los pasos de esta sección para comprobar si el rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.
**Para comprobar si existe el rol vinculado a servicios de IAM `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, escriba **applicationautoscaling** para reducir la lista de roles que aparecen y elija `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol.
1. En la pestaña **Permisos**, confirme si la política de permisos `AWSApplicationAutoscalingAppStreamFleetPolicy` está asociada.
1. Vuelva a la página de resumen del **Role (Rol)**.
1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM.
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet política de relaciones de confianza
La política de relación de confianza `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` debe incluir **appstream.application-autoscaling.amazonaws.com** como entidad principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de políticas define **appstream.application-autoscaling.amazonaws.com** como una entidad de confianza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio
Complete los pasos de esta sección para comprobar si el rol de servicio **AmazonAppStreamPCAAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.
**Para comprobar si el rol de servicio de AmazonAppStream PCAAccess IAM está presente**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En el cuadro de búsqueda, escriba **appstreampca** para reducir la lista de funciones que desea seleccionar y, a continuación, elija. **AmazonAppStreamPCAAccess** Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol.
1. En la pestaña **Permisos**, confirme si la política de permisos **AmazonAppStreamPCAAccess ** está asociada.
1. Vuelva a la página de resumen del **Role (Rol)**.
1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **AmazonAppStreamPCAAccess ** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM.
## AmazonAppStreamPCAAccess política de relaciones de confianza
La política de relaciones de **AmazonAppStreamPCAAccess**confianza debe incluir prod.euc.ecm.amazonaws.com como principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de política define ECM como una entidad de confianza.
**Para crear la política de relación de AmazonAppStream PCAAccess confianza mediante la AWS CLI**
1. Cree un archivo JSON llamado `AmazonAppStreamPCAAccess.json` con el siguiente texto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Ajuste la `AmazonAppStreamPCAAccess.json` ruta según sea necesario y ejecute los siguientes comandos de AWS CLI para crear la política de relación de confianza y adjuntar la política AmazonAppStream PCAAccess administrada. Para obtener más información sobre la política administrada, consulte [AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md).
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```