Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan Kebijakan AWS Terkelola dan Peran Tertaut untuk Mengelola Akses Administrator ke Sumber Daya WorkSpaces Aplikasi
Secara default, pengguna IAM tidak memiliki izin yang diperlukan untuk membuat atau memodifikasi sumber daya WorkSpaces Aplikasi, atau melakukan tugas dengan menggunakan WorkSpaces Applications API. Ini berarti bahwa pengguna ini tidak dapat melakukan tindakan ini di konsol WorkSpaces Aplikasi atau dengan menggunakan perintah WorkSpaces Applications AWS CLI. Untuk memungkinkan pengguna IAM membuat atau memodifikasi sumber daya dan melakukan tugas, lampirkan kebijakan IAM ke pengguna IAM atau grup yang memerlukan izin tersebut.
Saat Anda melampirkan kebijakan ke pengguna, grup pengguna, atau peran IAM, kebijakan tersebut mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.
**Topics**
+ [AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md)
+ [Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan](controlling-access-checking-for-iam-service-access.md)
+ [Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan](controlling-access-checking-for-iam-autoscaling.md)
+ [Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan](controlling-access-checking-for-AppStreamPCAAccess.md)
# AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi
Untuk menyediakan akses administratif atau hanya-baca penuh ke WorkSpaces Aplikasi, Anda harus melampirkan salah satu kebijakan AWS terkelola berikut ke pengguna IAM atau grup yang memerlukan izin tersebut. *Kebijakan terkelola AWS * adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
**catatan**
Di AWS, peran IAM digunakan untuk memberikan izin ke AWS layanan sehingga dapat mengakses AWS sumber daya. Kebijakan yang melekat pada peran menentukan AWS sumber daya mana yang dapat diakses oleh layanan dan apa yang dapat dilakukannya dengan sumber daya tersebut. Untuk WorkSpaces Aplikasi, selain memiliki izin yang ditentukan dalam **AmazonAppStreamFullAccess**kebijakan, Anda juga harus memiliki peran yang diperlukan di AWS akun Anda. Untuk informasi selengkapnya, lihat [Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA](roles-required-for-appstream.md).
**AmazonAppStreamFullAccess**
Kebijakan terkelola ini menyediakan akses administratif penuh ke sumber daya WorkSpaces Aplikasi. Untuk mengelola sumber daya WorkSpaces Aplikasi dan melakukan tindakan API melalui Antarmuka Baris AWS Perintah (AWS CLI), AWS SDK, atau Konsol AWS Manajemen, Anda harus memiliki izin yang ditentukan dalam kebijakan ini.
Jika Anda masuk ke konsol WorkSpaces Aplikasi sebagai pengguna IAM, Anda harus melampirkan kebijakan ini ke aplikasi Anda Akun AWS. Jika Anda masuk melalui federasi konsol, Anda harus melampirkan kebijakan ini ke peran IAM yang digunakan untuk federasi.
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).
**AmazonAppStreamReadOnlyAccess**
Kebijakan berbasis identitas ini memberi pengguna izin hanya-baca untuk melihat dan memantau WorkSpaces sumber daya Aplikasi dan konfigurasi layanan terkait. Pengguna dapat mengakses konsol WorkSpaces Aplikasi untuk melihat aplikasi streaming, status armada, laporan penggunaan, dan sumber daya terkait, tetapi tidak dapat membuat perubahan apa pun. Kebijakan ini juga mencakup izin baca yang diperlukan untuk mendukung layanan seperti IAM, Application Auto Scaling, CloudWatch dan untuk memungkinkan kemampuan pemantauan dan pelaporan yang komprehensif.
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).
Konsol WorkSpaces Aplikasi menggunakan tindakan tambahan yang menyediakan fungsionalitas yang tidak tersedia melalui AWS CLI atau AWS SDK. **AmazonAppStreamReadOnlyAccess**Kebijakan **AmazonAppStreamFullAccess**dan kebijakan keduanya memberikan izin untuk tindakan berikut.
| Tindakan | Deskripsi | Tingkat Akses |
| --- | --- | --- |
| DescribeImageBuilders | Memberikan izin untuk mengambil daftar yang menjelaskan satu atau beberapa pembuat gambar tertentu, jika nama pembuat gambar disediakan. Jika tidak, semua pembuat gambar di akun dijelaskan. | Baca |
**AmazonAppStreamPCAAccess**
Kebijakan terkelola ini menyediakan akses administratif penuh ke sumber daya AWS Certificate Manager Private CA di AWS akun Anda untuk otentikasi berbasis sertifikat.
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html).
**AmazonAppStreamServiceAccess**
Kebijakan terkelola ini adalah kebijakan default untuk peran layanan WorkSpaces Aplikasi.
Kebijakan izin peran ini memungkinkan WorkSpaces Aplikasi untuk menyelesaikan tindakan berikut:
+ Saat menggunakan subnet di akun Anda untuk armada WorkSpaces Aplikasi Anda, WorkSpaces Aplikasi dapat mendeskripsikan subnet VPCs, dan zona ketersediaan, serta membuat dan mengelola siklus hidup semua antarmuka jaringan elastis yang terkait dengan instance armada di subnet tersebut. Ini juga termasuk dapat melampirkan Grup Keamanan dan alamat IP dari subnet tersebut ke antarmuka jaringan elastis tersebut.
+ Saat menggunakan fitur seperti UPP dan HomeFolders, WorkSpaces Aplikasi dapat membuat dan mengelola bucket Amazon S3, objek dan siklus hidup, kebijakan, dan konfigurasi enkripsi di akun. Ember ini mencakup awalan penamaan berikut:
+ `"arn:aws:s3:::appstream2-36fb080bb8-",`
+ `"arn:aws:s3:::appstream-app-settings-",`
+ `"arn:aws:s3:::appstream-logs-"`
Untuk melihat izin kebijakan ini, lihat [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html).
**ApplicationAutoScalingForAmazonAppStreamAccess**
Kebijakan terkelola ini memungkinkan penskalaan otomatis aplikasi untuk Aplikasi. WorkSpaces
Untuk melihat izin kebijakan ini, lihat [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).
**AWSApplicationAutoscalingAppStreamFleetPolicy**
Kebijakan terkelola ini memberikan izin untuk Application Auto Scaling untuk WorkSpaces mengakses Aplikasi dan. CloudWatch
Untuk melihat izin kebijakan ini, lihat [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).
## WorkSpaces Pembaruan aplikasi ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk WorkSpaces Aplikasi sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat Dokumen untuk WorkSpaces Aplikasi Amazon](doc-history.md).
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| AmazonAppStreamServiceAccess — Ubah | Menambahkan izin izin `"ec2:DescribeImages"` untuk dokumen kebijakan JSON kebijakan | November 17, 2025 |
| AmazonAppStreamReadOnlyAccess — Ubah | Dihapus `"appstream:Get*",` dari dokumen kebijakan JSON | Oktober 22, 2025 |
| WorkSpaces Aplikasi mulai melacak perubahan | WorkSpaces Aplikasi mulai melacak perubahan untuk kebijakan yang AWS dikelola | 31 Oktober 2022 |
# Peran yang Diperlukan untuk WorkSpaces Aplikasi, Application Auto Scaling, dan AWS Certificate Manager Private CA
Di AWS, peran IAM digunakan untuk memberikan izin ke AWS layanan sehingga dapat mengakses AWS sumber daya. Kebijakan yang melekat pada peran menentukan AWS sumber daya mana yang dapat diakses oleh layanan dan apa yang dapat dilakukannya dengan sumber daya tersebut. Untuk WorkSpaces Aplikasi, selain memiliki izin yang ditentukan dalam **AmazonAppStreamFullAccess**kebijakan, Anda juga harus memiliki peran berikut di AWS akun Anda.
**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)
## AmazonAppStreamServiceAccess
Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.
Saat sumber daya WorkSpaces Aplikasi sedang dibuat, layanan WorkSpaces Aplikasi membuat panggilan API ke AWS layanan lain atas nama Anda dengan mengambil peran ini. Untuk membuat armada, Anda harus memiliki peran ini di akun Anda. Jika peran ini tidak ada di AWS akun Anda dan izin IAM yang diperlukan serta kebijakan hubungan kepercayaan tidak dilampirkan, Anda tidak dapat membuat armada WorkSpaces Aplikasi.
Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan](controlling-access-checking-for-iam-service-access.md) untuk memeriksa apakah peran **AmazonAppStreamServiceAccess**layanan ada dan memiliki kebijakan yang benar dilampirkan.
**catatan**
Peran layanan ini dapat memiliki izin yang berbeda dari pengguna pertama yang memulai dengan WorkSpaces Aplikasi. Untuk detail tentang izin peran ini, lihat “AmazonAppStreamServiceAccess” di[AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md).
## ApplicationAutoScalingForAmazonAppStreamAccess
Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.
Penskalaan otomatis adalah fitur armada WorkSpaces Aplikasi. Untuk mengonfigurasi kebijakan penskalaan, Anda harus memiliki peran layanan ini di AWS akun Anda. Jika peran layanan ini tidak ada di AWS akun Anda dan izin IAM serta kebijakan hubungan kepercayaan yang diperlukan tidak dilampirkan, Anda tidak dapat menskalakan armada WorkSpaces Aplikasi.
Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan](controlling-access-checking-for-iam-autoscaling.md).
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
Peran ini adalah peran terkait layanan yang dibuat untuk Anda secara otomatis. Untuk informasi selengkapnya, lihat [Peran terkait layanan di Panduan](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) Pengguna *Application Auto Scaling*.
Application Auto Scaling menggunakan peran terkait layanan untuk melakukan penskalaan otomatis atas nama Anda. *Peran terkait layanan adalah peran* IAM yang ditautkan langsung ke layanan. AWS Peran ini mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Untuk informasi selengkapnya, lihat [Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).
## AmazonAppStreamPCAAccess
Peran ini adalah peran layanan yang dibuat untuk Anda secara otomatis saat Anda memulai WorkSpaces Aplikasi di AWS Wilayah. Untuk informasi selengkapnya tentang peran layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.
Otentikasi berbasis sertifikat adalah fitur armada WorkSpaces Aplikasi yang bergabung dengan domain Microsoft Active Directory. Untuk mengaktifkan dan menggunakan otentikasi berbasis sertifikat, Anda harus memiliki peran layanan ini di akun Anda. AWS Jika peran layanan ini tidak ada di AWS akun Anda dan izin IAM serta kebijakan hubungan kepercayaan yang diperlukan tidak dilampirkan, Anda tidak dapat mengaktifkan atau menggunakan otentikasi berbasis sertifikat.
Untuk informasi selengkapnya, lihat [Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan](controlling-access-checking-for-AppStreamPCAAccess.md).
# Memeriksa Peran dan Kebijakan AmazonAppStreamServiceAccess Layanan
Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **AmazonAppStreamServiceAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.
**Untuk memeriksa apakah peran layanan AmazonAppStreamServiceAccess IAM hadir**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, ketik **amazonappstreamservice** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **AmazonAppStreamServiceAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran.
1. Pada tab **Izin**, konfirmasikan apakah kebijakan **AmazonAppStreamServiceAccess**izin dilampirkan.
1. Kembali ke halaman **Ringkasan** peran.
1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **AmazonAppStreamServiceAccess**kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM.
## AmazonAppStreamServiceAccess kebijakan hubungan kepercayaan
Kebijakan hubungan **AmazonAppStreamServiceAccess**kepercayaan harus mencakup layanan WorkSpaces Aplikasi sebagai prinsipal. *Principal* adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan WorkSpaces Aplikasi sebagai entitas tepercaya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Memeriksa Peran dan Kebijakan ApplicationAutoScalingForAmazonAppStreamAccess Layanan
Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **ApplicationAutoScalingForAmazonAppStreamAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.
**Untuk memeriksa apakah peran layanan ApplicationAutoScalingForAmazonAppStreamAccess IAM hadir**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, ketik **applicationautoscaling** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **ApplicationAutoScalingForAmazonAppStreamAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran.
1. Pada tab **Izin**, konfirmasikan apakah kebijakan **ApplicationAutoScalingForAmazonAppStreamAccess**izin dilampirkan.
1. Kembali ke halaman **Ringkasan** peran.
1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **ApplicationAutoScalingForAmazonAppStreamAccess**kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM.
## ApplicationAutoScalingForAmazonAppStreamAccesskebijakan hubungan kepercayaan
Kebijakan hubungan **ApplicationAutoScalingForAmazonAppStreamAccess**kepercayaan harus menyertakan layanan Application Auto Scaling sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan Application Auto Scaling sebagai entitas tepercaya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Memeriksa `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Peran dan Kebijakan Terkait Layanan
Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` terkait layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.
**Untuk memeriksa apakah peran terkait layanan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` IAM ada**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, ketik **applicationautoscaling** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran.
1. Pada tab **Izin**, konfirmasikan apakah kebijakan `AWSApplicationAutoscalingAppStreamFleetPolicy` izin dilampirkan.
1. Kembali ke halaman ringkasan **Peran**.
1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM.
## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet kebijakan hubungan kepercayaan
Kebijakan hubungan `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` kepercayaan harus menyertakan **appstream.application-autoscaling.amazonaws.com** sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan **appstream.application-autoscaling.amazonaws.com** sebagai entitas tepercaya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstream.application-autoscaling.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Memeriksa Peran dan Kebijakan AmazonAppStream PCAAccess Layanan
Selesaikan langkah-langkah di bagian ini untuk memeriksa apakah peran **AmazonAppStreamPCAAccess**layanan ada dan memiliki kebijakan yang benar terlampir. Jika peran ini tidak ada di akun Anda dan harus dibuat, Anda atau administrator dengan izin yang diperlukan harus melakukan langkah-langkah untuk memulai WorkSpaces Aplikasi di akun Amazon Web Services Anda.
**Untuk memeriksa apakah peran layanan AmazonAppStream PCAAccess IAM hadir**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Di kotak pencarian, ketik **appstreampca** untuk mempersempit daftar peran yang akan dipilih, lalu pilih. **AmazonAppStreamPCAAccess** Jika peran ini terdaftar, pilih untuk melihat halaman **Ringkasan** peran.
1. Pada tab **Izin**, konfirmasikan apakah kebijakan **AmazonAppStreamPCAAccess **izin dilampirkan.
1. Kembali ke halaman ringkasan **Peran**.
1. Pada tab **Hubungan kepercayaan**, pilih **Tampilkan dokumen kebijakan**, lalu konfirmasikan apakah kebijakan hubungan **AmazonAppStreamPCAAccess **kepercayaan dilampirkan dan ikuti format yang benar. Jika demikian, hubungan kepercayaan dikonfigurasi dengan benar. Pilih **Batal** dan tutup konsol IAM.
## AmazonAppStreamPCAAccess kebijakan hubungan kepercayaan
Kebijakan hubungan **AmazonAppStreamPCAAccess**kepercayaan harus menyertakan prod.euc.ecm.amazonaws.com sebagai prinsipal. Kebijakan ini juga harus mencakup `sts:AssumeRole` tindakan. Konfigurasi kebijakan berikut mendefinisikan ECM sebagai entitas tepercaya.
**Untuk membuat kebijakan hubungan AmazonAppStream PCAAccess kepercayaan menggunakan AWS CLI**
1. Buat file JSON bernama `AmazonAppStreamPCAAccess.json` dengan teks berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"prod.euc.ecm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Sesuaikan `AmazonAppStreamPCAAccess.json` jalur sesuai kebutuhan dan jalankan perintah AWS CLI berikut untuk membuat kebijakan hubungan kepercayaan dan melampirkan kebijakan AmazonAppStream PCAAccess terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md).
```
aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
```